28、多云环境下的身份验证、访问管理与数据安全策略

多云环境下的身份验证、访问管理与数据安全策略

1. 多云环境中的身份联合

在多云环境中，企业需要在不同的云解决方案之间进行身份联合。以Azure为例，Azure使用Azure Active Directory（AAD），它并非等同于传统的Active Directory（AD），AAD是Azure中的认证服务，以AD作为目录。其主要功能是利用现有的AD将身份同步到Azure云。同步过程借助Azure AD Connect实现。

AAD为企业员工提供了一种登录和访问不同平台资源的机制，这些资源可以是Azure自身的资源，也可以是企业网络中系统托管的应用程序。同时，AAD还支持访问诸如Office 365等SaaS解决方案以及能与Azure集成的应用程序。AAD通过单点登录（SSO）确保用户只需登录一次，并且采用多因素认证（MFA）增强安全性，例如用户输入密码登录后，还需要通过短信验证码、移动设备上的认证应用或指纹等进行二次验证。

企业网络中的域与Azure云中的企业域之间的联合通过Active Directory Federation Services（ADFS）实现。在Azure中，企业云域位于公共云自身的域上，以“onmicrosoft.com”标识。例如，公司X的域为“companyx.com”，其在Azure中的域可能是“company.onmicrosoft.com”，然后需要使用ADFS在企业域和Azure域之间建立信任关系。

同样的原理也适用于AWS和GCP。在AWS中，ADFS可作为AWS Federated Authentication服务的组件启用。用户通过ADFS针对中央身份存储AD进行身份验证，验证后ADFS返回一个断言，允许用户使用AW