五步实现多云平台的身份管理

要接纳，不要抗拒。去中心化可带来更顺畅的云迁移过程。 

《RightScale云状态》报告表明，采用基础设施即服务（IaaS）或平台即服务（PaaS）的公司企业几乎都不会只用一家提供商。他们大多从亚马逊AWS、微软Azure和谷歌GCP等主流公有云提供商中选择三家或更多家。

推动多云平台采用的趋势有很多，比如对敏捷性、灵活性和可扩展的更高要求，需要更好的网络性能和风险管理，想要避免供应商锁定和获得更具竞争力的定价等。

但每个云平台都使用各自特有的内置身份系统，导致相互之间无法通连。同时，管理SaaS应用访问的身份即服务（IDaaS）解决方案，又引入了另一个独立的身份存储。尽管云采纳一直在加速发展，但许多公司企业仍使用混合模式，在本地运行大多数关键业务应用，从而造成更多互不通连的身份孤岛。

因此，多云和混合云共存引入了一种固有的分布式架构，跨越多个平台和身份系统。这种“新常态”是变革性的，与此前的模式完全不同。

采用分布式安全模型

由于很多用户从防火墙外访问应用和数据，身份已成为新的安全边界，导致实现跨多云和混合云架构的安全面临更为复杂的挑战。 

首先，很多公司企业尝试手动设置多云基础设施，但很快发现，由于缺乏人手和专业技能，身份管理工作无法推进，导致出现配置错误、处理时间延长和成本开销增加。此外，在迁移至新云基础设施的同时，大多数公司企业还得大量投入必须维护的旧有系统。这就迫使IT部门在可预见的将来同时支持云和现场应用，多云挑战更加复杂了。

但我们可以通过下面五个步骤，顺利创建和实现成功的多云身份策略。

第1步：拥抱去中心化

解决多云身份问题的最佳方法就是使用分布式架构。编排软件可用于充当云和本地身份系统之间的“卡扣”，还可以统一策略管理和实施。

第2步：现代化！不要迁移旧有基础设施

迁移计划中不要包含互不通连的身份孤岛。可以运用身份即服务升级和现代化这些身份功能。这样可以合并策略并简化角色和组，检查是否有凭证被盗，锁定休眠帐户，强制用户安全地重新激活帐户。

第3步：在应用和身份生态系统中整合可见性

要有效实施新的身份策略，必须了解清楚现有应用和身份系统的位置。每个应用和身份系统之间的依赖关系是什么？当前存在哪些身份工作流，谁有权访问什么？使用正确的工具可以加快和简化这一发现和映射过程。

第4步：用标准而不是API进行集成

在更新身份系统时，避免锁定到专有系统或写入过时的API。要使用SAML、OIDC和SCIM等标准。另外，与其执行多个一对一集成，不如充分利用抽象层提供的一对多集成的灵活性。采用这种方法还无需重写应用就能与新身份系统互操作。

第5步：制定分阶段迁移计划

将复杂的迁移分解为更小、更易于管理的多个阶段，可以更轻松地进行迁移。例如，分组迁移和规划增量转移将最大限度地减少中断和风险。根据应用的迁移复杂性对应用进行分组，还有助于预测和避免迁移期间的潜在阻碍，例如：

·复杂 = 基于Cookie的会话和IAM SDK

·中等 = HTTP标头和自定义属性

·简单 = 基于SAML和OIDC标准的会话

审查您当前使用的功能中有哪些可以继续使用，并确定支持多云环境需新增哪些功能。在可以停用全部旧有基础设施之前，会有一段时间需要一定程度的新旧系统共存支持。最后，计算淘汰旧有基础设施可以节省的成本，将之指定用于资助其他创新。

《RightScale云状态》报告：

https://resources.flexera.com/web/media/documents/rightscale-2019-state-of-the-cloud-report-from-flexera.pdf（点击阅读原文查看报告）

关键词：多云；身份管理；IDaaS；