无论你赞同与否,微软都是当之无愧的企业身份识别标准。除了对各种标准协议的支持外,微软的产品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登录)一直都是企业身份识别标准。
但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器、操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。
当我们谈论“身份识别”时,我们指的是安全的一部分,即身份验证和授权:你是谁以及你想要做什么?
XaaS身份识别
在XX即服务(以下统称为XaaS)的营销术语中,你会看到新的IDaaS,即身份识别即服务。身份识别即服务的概念是,你可以通过Web应用程序来管理用户身份,就像你在CRM应用程序中管理销售情况一样。
但是云计算中的身份识别不止于此。例如,你创建了一个用户账户,并将他设置为具有管理职责的销售人员,他可能需要为CRM使用Salesforce.com,为电子邮件和文档使用Google Apps,以及在PaaS(例如Cloud Foundry)上部署的自定义应用程序,这个PaaS应用程序甚至可能调用Salesforce和Google Apps上的服务。
在一般情况下,你的IDaaS将使用SAML协议来处理你的不同XaaS的身份验证和授权。在某些情况下,用户可能通过Oauth协议来对IDaaS进行身份验证,以及对XaaS进行授权,但IDaaS究竟是怎么回事?
微软IDaaS
其中一个例子是微软的IDaaS。根据微软的技术人员John Shewchuk表示:“你可以认为Windows Azure Active Directory作为在云中运行的Active Directory,这是具有互联网规模、高可用性和集成灾难恢复的多租户服务。”
微软的战略是同时支持企业内部和企业外部的Active Directory以及这两者的混合模式。Shewchuk表示,Azure Active Directory是一个开放的目录,任何第三方应用程序或服务都可以使用它,并且,它支持行业标准协议,例如SAML、Oauth 2和Odata。
其他IDaaS
还有其他IDaaS,例如Ping Identity的PingOne。Ping Identity公司首席技术官Patrick Harding指出,2012年的云计算环境有别于2002年的企业内部环境。在当时,涌现出很多不同的目录,后来又被纳入AD(Active Directory),大多数企业内部的应用程序被绑定到AD进行身份验证和角色/组管理。
Harding认为,在未来,“云计算将需要SSO和用户目录/用户存储同步,我们无法避免这种趋势,因为每个云应用程序都需要一个身份存储。我们还将需要相关标准来确保这个功能的无缝执行,例如SAML和SCIM。每个主流平台都将可能需要支持这些协议的衍生协议,微软的Azure/Office 365是个例外,因为它们依赖于WS-Federation和Graph。”
这里存在一个内在冲突。当部署身份识别解决方案时,你通常会运行到边缘,在这里微软不支持SAML,而是支持竞争标准——WS-Federation。一直以来,企业内部领域的身份识别供应商没能加快最新标准的速度(SAML 1.1 vs. 2.0)或者甚至相同的标准(SAML vs. WS-Federation),结果造成往往需要定制软件和非常复杂的配置来进行集成。
唯一的供应商?
让问题更复杂的是,很多你的XaaS供应商想要成为你唯一的供应商。Red Hat公司Jboss安全架构师Anil Saldhana表示:“很多云供应商(例如Salesforce和谷歌)让客户可以选择使用客户托管身份识别供应商,这可能是唯一身份持有者,这些云供应商可以作为服务供应商,你可以使用SAML属性来传递角色等。”
SAP公司NetWeaver云解决方案的产品所有者Martin Raepple不认为在云领域存在一个主要供应商能够集中管理身份,“在过去,任何这方面的尝试都失败了,包括最突出的例子,即微软的(.Net)Passport系统。”
Saldhana统一说:“一般规模的企业不会将IaaS托管委托给另一个供应商,但我也不认为提供软件堆栈以让企业托管自己的身份系统能够成功,这并不仅仅是关于技术问题,而是关于目录(用户/角色/合作伙伴/客户)”
混合身份识别
在不久的将来,可能会出现企业内部解决方案与外部云计算的集成。Raepple表示:“很多安全供应商提供的解决方案是将员工的SSO体验从企业网络扩展到云环境,从而提供员工身份到供应商的云计算枢纽。愿意接受这种‘中间人’做法的用户肯定会采用这些解决方案,但作为平台,我们还需要支持SSO和Federation的本地功能。”
这可能会让微软发挥其“主场优势”。
身份识别危机是不成熟的表现
SAML、Oauth、OpenID等仍然是很新的标准,部署情况也很不均匀,换句话说,这仍然是一个积极发展中的领域,云计算领域仍然处于用例识别阶段,这属于非常、非常早期阶段。
鉴于供应商正在调整其平台以及该领域的不成熟性,我们现在很难看到集成了身份识别的完整的云架构。
正如Saldhana所说:“在公共云领域,仍然属于‘狂野的西部’。”(网界网 邹铮编译)