近年來，很多基于云的服務公司，包括Zappos、Evernote和LinkedIn，都被不計其數的用戶密碼泄露事件攻破。雖然有大量關于確保密碼管理和存儲的安全的文章來反映這樣的事件，但是實際上訪問云服務需要的遠不止用戶名和密碼身份認證。

幸運的是，日益增加的云提供商正在提供更健壯的身份認證衡量，以及更強有力的身份認證和基于角色的訪問控制。然而，每一個提供商的身份認證產品究竟怎么樣呢?

在這篇技巧中，我們將探究一些主要云提供商的多因子身份認證選擇，細化挑戰和優勢，涉及使用更有效的公有云中的身份認證和身份認證技術。

云端多因子身份認證

在討論公有云提供商時，有兩個大名鼎鼎的公司，即亞馬遜Web服務(AWS)和微軟Windows Azure，因此我們將關注這兩個提供商的身份認證功能。

微軟最近發布了其Windows Azure多因子身份認證服務器，這也是微軟2013年收購的一家廠商的PhoneFactor軟件的升級版本。簡而言之，提供了一些簡單的身份認證特性。除了Azure用戶密碼，開發者現在可以在一次身份認證事件發生時，通過電子郵件、電話、文本和其他的途徑通知用戶，附加的PIN或者身份認證口令需要參與完成完整的身份認證活動。

微軟通過集成內置的本地和基于Azure的Active Directory用戶存儲庫，讓這種形式的身份認證更吸引人，允許本地部署和集成Active Directory和應用。此外，多因子身份認證現在何以同RADIUS、輕量目錄訪問協議 (LDAP)和互聯網信息服務器(IIS)Web應用結合，也可以輕松擴展和集成到Azure云端。在本地和Azure云中能夠進行多因子身份認證集成為用戶提供了極大便利，對于混合云部署提供了更多保障，內部云和公有云場景中也是如此。

AWS的產品如何對應微軟的最新云身份認證產品呢?首先亞馬遜在創建的AWS身份和訪問管理(IAM)角色中為管理AWS賬戶和用戶提供了多因子身份認證。亞馬遜Web服務還允許將軟口令(soft-token)集成到計算機、平板電腦和智能手機上，這些設備上運行的應用基于時間的一次性密碼標準，主要包括谷歌動態口令、AWS針對安卓的虛擬MFA以及Windows Phone設備的動態口令。用戶可以購買Gemalto硬件口令，用來替代。

很多其他的云提供商提供了類似微軟和亞馬遜的多因子認證選擇，大多數關注移動設備并且利用文本、電話集合的方式，或者是本地生產的代碼。谷歌為例，通過移動設備上的本地應用生成驗證碼提供了第二種身份認證因子(除了用戶名和密碼)，或者是用文本或電話將代碼發送到移動設備上。這個代碼必須在輸入用戶名和密碼之后輸入才能完成任何谷歌應用的完整訪問。

云身份認證障礙

我們已經通過一些領先的云提供商確立了一些有效的身份認證的特性，但是在部署和管理公有云中的多因子身份認證時，企業面臨的主要挑戰是什么呢?首先，正如上面所提到的，大多數選擇關注移動設備，因此如果設備一旦被竊或者遺失，用戶賬戶至少在短期內處于潛在的奉獻中。然而，這種風險是大多數“軟”口令身份認證工具的固有風險，企業在通過這種途徑進行認證的時候需要接受這種風險。另一個問題在于用戶如果忘了PIN碼或者遺失硬件口令，云提供商提供支持就很重要。在使用云提供商的身份認證工具和支持產品時，要確保審查清楚不同的支持服務水平協議和選擇。

最后，現有應用和企業的IAM基礎架構的兼容性是個挑戰，尤其是當企業已經使用了多因子選擇，不同于云提供商所使用的。最終一些企業就可以賺到身份認證即服務提供商，他們可以處理健壯的身份認證、身份認證和聯合，而不是在提供商層面實施這樣的內部功能。出于這個原因，微軟最近的身份認證產品可能比其他的混合云部署和集成內部應用和系統的云提供商，提供了更多的靈活性。

總結

很像傳統的企業IT環境，身份認證仍舊是云環境中棘手的問題。多因子身份認證服務目前在類似微軟和AWS這樣的廠商中有望解決這些問題，但是如果脆弱或者不兼容的選擇出現了，企業必須警惕可能的問題。通過提前花時間確保云提供商提供了有效且兼容的身份認證服務，隨后可能避免這樣的問題。