本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
身份联合验证和单点登录
确保核心系统之间一致的身份管理是成功且安全地采用任何技术的关键。教育机构越来越多地采用基于云的身份和单点登录解决方案,例如 AWS IAM Identity Center
其中许多机构仍在为其本地环境维护 Active Directory 和 Shibboleth 等身份管理和目录服务。其可以与基于云的解决方案集成,为您的学生和教职员工提供集中式身份管理和单点登录。云解决方案提供商应拥有强大的 easy-to-integrate身份管理平台,允许您通过云身份提供商将身份与现有应用程序、SaaS 解决方案和云服务联合起来。下图展示一个示例架构。
此架构遵循以下建议:
-
选择主要战略云提供商。此架构 AWS 用作主要的云提供商。通过与云身份提供者以及本地现有身份管理和目录服务集成,此架构支持自动预调配和管理对主要云提供商服务以及其他应用程序和 SaaS 解决方案的访问权限。随着越来越多的应用程序和服务添加到该机构的技术产品组合,这可确保以一致、易于管理的方式满足安全和治理要求。
-
区分 SaaS 应用程序和基础云服务。该架构集成了多种类型的基于云的、SaaS 和本地身份系统,以提供对 AWS 云 服务和其他应用程序的访问。许多基于云的身份提供者和单点登录解决方案也是 SaaS 应用程序,它们可以使用原生集成和 SAML 等标准协议来跨环境工作。
-
为每个云服务提供商制定安全和治理要求。此架构符合众多安全框架发布的身份和访问管理指引,包括美国国家标准与技术研究所(NIST)网络安全框架(CSF)、NIST 800-171 和 NIST 800-53。与 AWS Organizations
、AWS Identity and Access Management (IAM) 以及其他 AWS 安全、身份与合规服务 的集成可帮助根据组权限提供安全、精细的访问控制。 -
在切实可行的情况下,尽可能采用云原生托管服务。此架构使用基于云的托管服务进行身份管理和单点登录。这可减少在基础设施管理上花费的时间和精力,使维护这些关键系统变得更加容易。
-
在现有本地投资激励继续使用时,实施混合架构。此架构集成了用于托管 Active Directory、轻型目录访问控制(LDAP)和 Shibboleth 工作负载的基础设施现有的本地投资,并提供了最终将核心身份服务迁移到基于云的基础设施的路径。此外,如果您的本地工作负载需要基于证书的 AWS 资源访问权限,则可以使用AWS Identity and Access Management Roles Anywhere。
