谷歌云增加了云身份云IAP和安全LDAP

　　谷歌昨日发布了一系列功能公告，包括组织政策限制和G套房警报中心的广泛部署。 继这一消息之后，该公司今天揭开了一个新的客户身份和访问管理(CIAM)平台、GCP的上下文感知访问以及传统应用程序和IT基础设施的安全轻量级目录访问协议(LDAP)支持的面纱。
　　＂预期已经改变，＂谷歌高级经理Karthik Jayachandran在10月初的新闻发布会上说。 ＂用户期望在多个设备之间建立敏捷的移动工作环境，这正在改变我们对安全、访问和控制的看法。 管理员想给他们这种现代的、前瞻性的体验，但他们不希望安全受到损害。 周边已经消失了。
　　这就是客户和合作伙伴云身份(CICP)的来源。 这有点吃不消，但概念很简单：一个将＂谷歌等级＂安全扩展到应用程序、服务和网站的身份管理平台。
　　Jayachandran说：＂您可能希望接受密码或社交媒体证书。 ＂Cloud Identity允许应用程序开发人员通过提供多种方式集成身份验证，将重点放在theirapp上。 我们可以用云来保护应用程序——从身份验证和身份识别的角度来看，它们的应用程序同样安全。
　　三个组件构成了CICP的核心：身份验证服务、自动威胁检测和可扩展基础设施。
　　正如Jayachandran所解释的，CICP的身份验证是建立在谷歌内部身份技术及其Firebase应用程序开发平台上的，它提供了一个可定制的框架，用于管理用户登录和登录的应用程序流。 它支持基本的电子邮件和密码认证、电话号码和社交媒体帐户，以及更复杂的方案，如安全断言标记语言(SAML)和开放ID连接(OIDC)。 它与Web和移动平台(iOS和Android)上的一系列客户端软件开发工具包(SDK)以及服务器端SDK(包括Node.js、Java和Python)兼容。
　　自动化威胁检测——CICP的第二个支柱——利用谷歌的云智能来检测账户可能被泄露的迹象。 (在未来，它将启用CICP中的双因素身份验证。) 同时，在可伸缩性方面，Jayachandran表示，CICP将包括＂企业级可用性＂和启动时的技术支持。
　　＂如果访问请求来自一个坏的IP或一个坏的网站，管理员不需要进入并手动阻止它，＂他说。 ＂我们会自动处理的。
　　云身份实际上是在2017年6月在G套房中引入的，但它本周作为一个独立的包推出。 它将在未来几周内公开发布。
　　今年7月，谷歌推出了上下文感知访问，这一功能使使用GCP的VPC服务的客户能够围绕GCP API、资源、G套房和第三方应用程序强制执行条件策略。 本质上，它允许管理员根据用户的身份、位置、设备安全状态和上下文允许或拒绝访问。
　　Jayachandran说：＂我们研究员工是谁，他们想接触什么。＂ ＂我们有八项服务，拥有超过10亿的用户......我们擅长爬网和查找糟糕的网站。 你不必担心被黑。
　　正如之前所宣布的，谷歌将把这些功能带到云身份-软件代理(IAP)的客户测试版。 从今天开始，符合条件的帐户可以管理访问GCP上托管的Web应用程序的上下文，除了身份。
　　＂例如，＂谷歌产品管理总监Karthik Lakshminarayanan在一篇博客文章中写道，＂IT和安全团队只能限制从欧洲特定国家访问他们的应用程序。＂
　　对于未启动的，轻量级目录访问协议(LDAP)是一种互联网协议，应用程序和硬件设备用于远程查找存储的数据。 Lakshminarayanan指出，许多企业都依赖它，但往往以软件即服务(SaaS)应用集成为代价。
　　＂让用户以简单的方式访问SaaS和传统应用程序具有挑战性，通常需要IT团队维护两个身份管理系统，＂他说。
　　谷歌的答案是云身份中的LDAP，它允许基于LDAP的应用程序和服务器进入GCP的身份管理平台，而不管它们是部署在现场还是部署在云中。 谷歌声称，几乎任何支持SSL的LDAP应用程序，包括那些依赖传统身份基础设施的应用程序，如Microsoft ActiveDirectory，都与安全的LDAP兼容。
　　Lakshminarayanan说：＂这意味着人们可以使用相同的Cloud Identity凭据登录G Suite和其他SaaS应用程序等服务，登录到传统应用程序中。 ＂另一个好处是管理员现在可以在一个地方管理它。
　　谷歌在云身份发布中的LDAP合作伙伴包括阿鲁巴网络(HPE)、Itopia、JAMF、Jenkins(Cloudbees)、OpenVPN、剪纸、PF感觉(Netgate)、木偶、Sophos、Splunk和按需医生。
　　谷歌表示，它将在未来几周内开始向云身份和G套房客户全面推广。
　　Lakshminarayanan说：＂我们一直在努力为客户提供更大的身份和安全能力。 ＂我们认为，保持身份和访问安全是企业向前迈进的关键，我们将继续提供创新的方式，以帮助客户获得安心。