本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。 # 区分 SaaS 应用程序和基础云服务 大多数教育机构已经采用软件即服务(SaaS)应用程序。SaaS 为您的机构提供由服务提供商运行和管理的完整解决方案。常见的 SaaS 应用程序包括文字处理和电子邮件等生产力应用程序,但许多任务关键型工作负载中也存在 SaaS 选项,例如企业资源规划(ERP)、学生信息系统(SIS)和学习管理系统(LMS)。当您的机构采用 SaaS 产品时,您的 IT 团队不必考虑如何维护服务或如何管理基础设施,您的用户只需使用该服务即可。这种交付模式减轻了 IT 员工的管理负担。许多机构选择在其 IT 策略中采用“SaaS 优先”方法,特别是其 IT 团队没有足够的时间、资源或技能来充分自行托管相同的应用程序时。即使您有可以自行托管的资源,采用 SaaS 解决方案并将资源投入到其他项目中,可能仍然更具成本效益。 当您使用 SaaS 应用程序时,您的 IT 团队不必管理底层基础设施,因此供应商托管应用程序的位置(本地数据中心、您的主要云提供商或备用云提供商)变得不那么重要。选择主要战略云提供商后,您可以选择使用托管在其他云提供商或本地供应商数据中心内的 SaaS 产品。相反,即使您的 SaaS 应用程序托管在一个云提供商中,您也可以根据该提供商在非 SaaS 工作负载方面的优势选择不同的主要战略云提供商。对于 SaaS 来说,托管环境之间的区别不如自托管应用程序那么重要。但是,在评估 SaaS 如何作为您的 IT 策略的一部分融入云时,仍应考虑以下关键问题。 + **SaaS 应用程序是否具有高可用性和可扩展性?** 许多供应商已经决定在其 SaaS 产品中采用云。这样供应商就能享受到云带来的提高可用性和可扩展性的优势。此外,由于供应商可以采用云责任共担模式,而不是管理和维护物理基础设施,因此其可以投入更多的时间和资源来提供新功能。由于这些优势,您应该更喜欢云优先并提供云托管解决方案的提供商。 + **SaaS 应用程序能否满足您的安全要求?** 在评估 SaaS 时,务必了解应用程序存储了哪些数据、如何使用这些数据以及采取了哪些安全控制措施来保护这些数据。尽管您可能无法像在自有的自托管环境中那样直接控制数据存储,但应确保供应商拥有相应的机制和控制措施来妥善处理您的数据。注意哪些安全功能是 SaaS 解决方案内置的,哪些功能需要额外配置。云使 SaaS 提供商能够构建更多可用和可扩展的解决方案,并且由于[责任共担模式](https://aws.amazon.com/compliance/shared-responsibility-model/),他们还可以构建更安全的解决方案。您应该更喜欢利用云安全工具和服务作为其解决方案一部分的提供商。 + **哪些人员拥有 SaaS 应用程序数据?您如何访问这些数据?** 使用 SaaS 时,您信任提供商能够妥善处理您所在机构的数据。请务必查看 SaaS 应用程序的服务条款和服务水平协议,以了解数据所有权、可用性和耐久性等影响因素。评估备份或导出数据的机制;如果您决定更换提供商或提供商停止服务,这些机制尤其重要。 + **您的其他服务和自托管应用程序是否能与 SaaS 应用程序集成,而无论环境如何?** 在采用 SaaS 解决方案时,很容易假设共享相同托管环境的服务和应用程序(即使用同一云提供商或同一供应商数据中心的应用程序)将实现更加无缝的集成。但是,当今大多数 SaaS 解决方案都广泛支持 API 和第三方集成,因此不必将自身局限于在同一环境中托管的解决方案。如果存在必要的集成,这些解决方案不必共享相同的底层环境。例如,假设你正在使用 SaaS 解决方案,例如 Google 云端硬盘或 Microsoft 来存储基于云 OneDrive 的学生文件。要向学生提供虚拟桌面和应用程序流,您可能会认为 [Amazon Appl WorkSpaces ic](https://aws.amazon.com/appstream2/) ations最适合您的要求。尽管这些服务在不同的环境中运行,但 WorkSpaces 应用程序已与 Google 云端硬盘和 Microsoft 进行了原生集成 OneDrive,因此您的学生可以继续使用其现有存储空间。 + **SaaS 应用程序是否支持集中式身份管理?** 为防止您的 IT 团队不得不管理分散的身份存储和避免用户必须记住多组凭证,请确保您的 SaaS 解决方案支持与您现有的身份管理或单点登录解决方案集成。分散的身份管理会降低工作效率,并可能导致权限蔓延和弱密码等不良安全实践。如果所需的 SaaS 解决方案不支持单点登录或您现有的身份存储,请评估采用该解决方案的业务价值是否超过给用户和员工增加的负担。 + **如何保护与 SaaS 应用程序的网络通信?** 在某些情况下,您可能需要自托管应用程序才能与 SaS 应用程序通信。通常,这种通信将通过 APIs 适当的身份验证和授权机制进行保护。但是,根据这两个应用程序的托管环境,可能需要备选或额外的机制来简化或保护该通信。例如,如果您向云提供商自托管应用程序,并且需要将其与在同一云提供商托管的 SaaS 应用程序集成,则该供应商可能会提供多种连接选项。你可以使用云特定的对等连接 APIs、私有接口或私有接口,例如[AWS PrivateLink](https://aws.amazon.com/privatelink/)防止该通信通过公共互联网。同样,如果您的本地应用程序通过 [AWS Direct Connect](https://aws.amazon.com/directconnect/) 等服务与云提供商建立专用网络连接,则您可以使用相同的连接与在同一云提供商托管的 SaaS 应用程序进行通信。