越來(lái)越多的組織轉(zhuǎn)向了軟件即服務(wù)（SaaS），把它做為解決企業(yè)需求的一種方法，而不必承擔(dān)管理和維護(hù)應(yīng)用的負(fù)擔(dān)。作為SaaS的用戶，你必須得到供應(yīng)商的保證，他們是否充分保護(hù)你財(cái)產(chǎn)中的數(shù)據(jù)。但是一旦涉及到使用本地應(yīng)用集成基于云的應(yīng)用時(shí)，一致性和訪問(wèn)管理就是你的責(zé)任了。

集成SaaS和本地應(yīng)用不會(huì)改變安全實(shí)踐太多，隨著更廣泛的治理的產(chǎn)生。這成為了一個(gè)問(wèn)題“你怎樣建立一個(gè)規(guī)則，規(guī)定誰(shuí)可以使用云資源，以及怎樣使用，”Jason Bloomberg說(shuō)，Dovel技術(shù)公司ZapThink的總裁。

“最初的考慮與身份管理有關(guān)。如果你有第三方的SaaS應(yīng)用，那么你就不會(huì)發(fā)現(xiàn)所有內(nèi)部用戶的身份和權(quán)限，”Bloomberg說(shuō)。例如，SaaS應(yīng)用可能提供了訪問(wèn)權(quán)限控制，但它們不控制組織內(nèi)部的使用權(quán)限。

另外，集成SaaS應(yīng)用和本應(yīng)用的組織冒著“暴露訪問(wèn)憑證，給惡意軟件提供訪問(wèn)本地資源的權(quán)限”的風(fēng)險(xiǎn)，Scott Crawford說(shuō)，他是企業(yè)管理協(xié)會(huì)（Enterprise Management Associates）的管理研究主管。“你想要保護(hù)憑證不受那樣的利用。”

當(dāng)本地應(yīng)用需要與基于的應(yīng)用交互是，本地應(yīng)用就需要“告訴”基于云的應(yīng)用，用戶確實(shí)是得到正確的授權(quán)來(lái)做所有他或她想做的。這是通過(guò)授權(quán)標(biāo)記到云上的一件事，Bloomberg解釋說(shuō)。然而，這并不如聽起來(lái)那么簡(jiǎn)單，因?yàn)樵撇荒芸偸抢斫庥脩羰褂玫氖跈?quán)方式。

“云供應(yīng)商對(duì)于用戶供給品的細(xì)粒度控制有不同的支持，因此可以給各種不同的功能建議權(quán)限。通常，一個(gè)SaaS供應(yīng)商給一個(gè)用戶只提供一個(gè)登錄，或允許你進(jìn)入他們的系統(tǒng)和提供用戶。它會(huì)根據(jù)內(nèi)部用戶的環(huán)境不同而設(shè)置不同。這變成了一項(xiàng)挑戰(zhàn)。你怎樣擴(kuò)展你的身份管理到云中？” Bloomberg說(shuō)。

在某些情況下，SaaS提供商可能提供功能使用企業(yè)身份訪問(wèn)他們的應(yīng)用程序。例如，SalesForce最近介紹的SalesForce Identity，它提供了一個(gè)單一可靠的身份，可以用于訪問(wèn)所有企業(yè)應(yīng)用。盡管如此，不是所有的SaaS供應(yīng)商都提供這一功能，而且責(zé)任在于用戶。

“從SaaS供應(yīng)商的角度來(lái)看，所見即所得，”Bloomberg說(shuō)。“面臨的挑戰(zhàn)是從根本上提供給內(nèi)部用戶產(chǎn)品用于使用第三方應(yīng)用，然后建立和加強(qiáng)規(guī)范，規(guī)定誰(shuí)可以使用那個(gè)應(yīng)用，并在本質(zhì)上聯(lián)合身份到云上，”他說(shuō)。

第三方解決方案就像來(lái)自于Okta和Symplified所提供給SaaS應(yīng)用的單點(diǎn)登錄服務(wù)一樣。這些聯(lián)合身份驗(yàn)證技術(shù)依賴于一個(gè)標(biāo)識(shí)，代表成功識(shí)別個(gè)人與企業(yè)注冊(cè)，并且把這個(gè)標(biāo)識(shí)傳遞給應(yīng)用程序，而不用暴露，Crawford解釋道。

聯(lián)合身份驗(yàn)證技術(shù)位于本地非軍事區(qū)（demilitarized zone），并管理著所有本地應(yīng)用向SaaS應(yīng)用的請(qǐng)求。“來(lái)自于本地的所有請(qǐng)求必須受到控制。而唯一的辦法就是通過(guò)這個(gè)備用的治理工具。該是治理工具來(lái)決定是否所有請(qǐng)求得到正確授權(quán)，” Bloomberg說(shuō)。

這些聯(lián)合身份驗(yàn)證工具，也被稱為云治理工具，云治理應(yīng)用和身份管理即服務(wù)，是單點(diǎn)登錄的產(chǎn)物。客觀說(shuō)，用戶有單獨(dú)的用戶名和密碼對(duì)于他們的本地應(yīng)用程序。IT組織試圖在這些資源中充分利用單點(diǎn)登錄，并且已經(jīng)成功地以一個(gè)用戶名和登錄，使用Microsoft Active Directory來(lái)支持用戶訪問(wèn)微軟資源。同樣，聯(lián)合身份驗(yàn)證允許用戶登錄到一個(gè)Web應(yīng)用程序和進(jìn)行其它訪問(wèn)。“我們現(xiàn)在來(lái)看看，通過(guò)更加無(wú)縫給用戶受權(quán)，來(lái)擴(kuò)展SaaS環(huán)境到一個(gè)更廣的功能上，” Crawford說(shuō)。