本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。 # 聯合身分和單一登入 確保核心系統之間的一致身分管理是成功且安全地採用任何技術的關鍵。教育機構越來越採用雲端型身分和單一登入解決方案,例如 [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)、Microsoft Entra ID (先前稱為 Azure Active Directory)、Okta、JumpCloud、OneLogin、Ping Identity 和 CyberArk,以簡化身分管理、降低操作負擔,並集中強制執行最佳實務,例如多重驗證和最低權限存取。 其中許多機構仍會為其內部部署環境維護身分管理和目錄服務,例如 Active Directory 和 Shibboleth。這些可以與雲端型解決方案整合,為您的學生、教職員和員工啟用集中式身分管理和單一登入。雲端解決方案提供者應擁有強大且easy-to-integrate身分管理平台,可讓您透過雲端身分提供者將身分聯合到現有的應用程式、SaaS 解決方案和雲端服務。下圖顯示範例架構。 ![\[Identity management flow from on-premises systems to AWS 服務 via cloud identity providers.\]](http://docs.aws.amazon.com/zh_tw/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png) 此架構遵循下列建議: + **選取主要的策略性雲端供應商。 **此架構使用 AWS 做為主要雲端提供者。透過與內部部署的雲端身分提供者和現有身分管理和目錄服務整合,此架構支援自動佈建和管理主要雲端提供者的服務和其他應用程式和 SaaS 解決方案的存取。這可確保在將更多應用程式和服務新增至機構的技術產品組合時,以一致、易於管理的方式滿足安全和控管要求。 + **區分 SaaS 應用程式和基礎雲端服務。 **此架構整合了多種類型的雲端型、SaaS 和內部部署身分系統,以提供對 AWS 雲端 服務和其他應用程式的存取。許多雲端型身分提供者和單一登入解決方案也是 SaaS 應用程式,他們可以使用原生整合和標準通訊協定,例如 SAML 來跨環境運作。 + **為每個雲端服務供應商建立安全與控管要求。 **此架構遵循許多安全架構發行的身分和存取管理指引,包括國家標準技術研究所 (NIST) 網路安全架構 (CSF)、NIST 800-171 和 NIST 800-53。與 [AWS Organizations](https://aws.amazon.com/organizations/)、 [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) 和其他[AWS 安全、身分和合規服務的](https://aws.amazon.com/products/security/)整合,有助於根據群組許可提供安全、精細的存取控制。 + **盡可能且實際地採用雲端原生受管服務。 **此架構使用雲端型受管服務進行身分管理和單一登入。這可減少基礎設施管理所花費的時間和能源,並讓您更輕鬆地維護這些關鍵系統。 + **當現有的現場部署投資鼓勵持續使用時,實作混合架構。 **此架構在託管 Active Directory、Lightweight Directory Access Control (LDAP) 和 Shibboleth 工作負載的基礎設施中整合現有的內部部署投資,並提供最終將核心身分服務移至雲端基礎設施的路徑。此外,如果您的現場部署工作負載需要以憑證為基礎的 AWS 資源存取權,您可以使用 [AWS Identity and Access Management Roles Anywhere](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)。