專家評論：雲身份識別危機

無論你贊同與否，微軟都是當之無愧的企業身份識別標準。 除了對各種標準協定的支援外，微軟的產品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登錄 )一直都是企業身份識別標準。

但隨著企業逐漸轉移到雲環境，這種情況將會改變。 如果你不想要管理自己的應用程式伺服器、作業系統、硬體，而是將這些轉移到雲計算，你還會想要管理身份識別基礎設施嗎?這讓很多企業開始尋找身份識別解決方案，即「完整的」雲架構。

當我們談論「身份識別」時，我們指的是安全的一部分，即身份驗證和授權：你是誰以及你想要做什麼?

XaaS身份識別

在XX即服務(以下統稱為XaaS)的行銷術語中，你會看到新的IDaaS，即身份識別即服務。 身份識別即服務的概念是，你可以通過Web應用程式來管理使用者身份，就像你在CRM應用程式中管理銷售情況一樣。

但是雲計算中的身份識別不止于此。 例如，你創建了一個使用者帳戶，並將他設置為具有管理職責的銷售人員，他可能需要為CRM使用Salesforce.com，為電子郵件和文檔使用Google Apps，以及在PaaS(例如Cloud Foundry) 上部署的自訂應用程式，這個PaaS應用程式甚至可能調用Salesforce和Google Apps上的服務。

在一般情況下，你的IDaaS將使用SAML協定來處理你的不同XaaS的身份驗證和授權。 在某些情況下，使用者可能通過Oauth協定來對IDaaS進行身份驗證，以及對XaaS進行授權，但IDaaS究竟是怎麼回事?

微軟IDaaS

其中一個例子是微軟的IDaaS。 根據微軟的技術人員John Shewchuk表示：「你可以認為Windows Azure Active Directory作為在雲中運行的Active Directory，這是具有互聯網規模、高可用性和集成災害復原的多租戶服務。 」

微軟的戰略是同時支援企業內部和企業外部的Active Directory以及這兩者的混合模式。 Shewchuk表示，Azure Active Directory是一個開放的目錄，任何協力廠商應用程式或服務都可以使用它，並且，它支援行業標準協定，例如SAML、Oauth 2和Odata。

其他IDaaS

還有其他IDaaS，例如Ping Identity的PingOne。 Ping Identity公司首席技術官Patrick Harding指出，2012年的雲計算環境有別于2002年的企業內部環境。 在當時，湧現出很多不同的目錄，後來又被納入AD(Active Directory)，大多數企業內部的應用程式被綁定到AD進行身份驗證和角色/組管理。

Harding認為，在未來，「雲計算將需要SSO和使用者目錄/使用者存儲同步，我們無法避免這種趨勢，因為每個雲應用程式都需要一個身份存儲。 我們還將需要相關標準來確保這個功能的無縫執行，例如SAML和SCIM。 每個主流平臺都將可能需要支援這些協定的衍生協定，微軟的Azure/Office 365是個例外，因為它們依賴于WS-Federation和Graph。 」

這裡存在一個內在衝突。 當部署身份識別解決方案時，你通常會運行到邊緣，在這裡微軟不支援SAML，而是支援競爭標準——WS-Federation。 一直以來，企業內部領域的身份識別供應商沒能加快最新標準的速度(SAML 1.1 vs. 2.0)或者甚至相同的標準(SAML vs. WS-Federation)，結果造成往往需要定制軟體和非常複雜的配置來進行集成。

唯一的供應商?

讓問題更複雜的是，很多你的XaaS供應商想要成為你唯一的供應商。 Red Hat公司Jboss安全架構師Anil Saldhana表示：「很多雲供應商(例如Salesforce和谷歌)讓客戶可以選擇使用客戶託管身份識別供應商，這可能是唯一身份持有者，這些雲供應商可以作為服務供應商， 你可以使用SAML屬性來傳遞角色等。 」

SAP公司NetWeaver雲解決方案的產品擁有者Martin Raepple不認為在雲領域存在一個主要供應商能夠集中管理身份，「在過去，任何這方面的嘗試都失敗了，包括最突出的例子，即微軟的(.Net)Passport系統。 」

Saldhana統一說：「一般規模的企業不會將IaaS託管委託給另一個供應商，但我也不認為提供軟體堆疊以讓企業託管自己的身份系統能夠成功，這並不僅僅是關於技術問題，而是關於目錄(使用者/角色/合作夥伴/客戶)」

混合身份識別

在不久的將來，可能會出現企業內部解決方案與外部雲計算的集成。 Raepple表示：「很多安全供應商提供的解決方案是將員工的SSO體驗從商業網路擴展到雲環境，從而提供員工身份到供應商的雲計算樞紐。 願意接受這種‘中間人’做法的使用者肯定會採用這些解決方案，但作為平臺，我們還需要支援SSO和Federation的本地功能。 」

這可能會讓微軟發揮其「主場優勢」。

身份識別危機是不成熟的表現

SAML、Oauth、OpenID等仍然是很新的標準，部署情況也很不均勻，換句話說，這仍然是一個積極發展中的領域，雲計算領域仍然處於用例識別階段，這屬於非常、非常早期階段。

鑒於供應商正在調整其平臺以及該領域的不成熟性，我們現在很難看到集成了身份識別的完整的雲架構。

正如Saldhana所說：「在公共雲領域，仍然屬於‘狂野的西部’。 」（網界網 鄒錚編譯）

(責任編輯：蒙遺善)