為了保持云計(jì)算所帶來的競爭優(yōu)勢(shì)，IT部門必須把大部分的精力投入到保證系統(tǒng)正常運(yùn)行及其穩(wěn)定性上。為了實(shí)現(xiàn)這一目標(biāo)，他們必須檢查內(nèi)部選項(xiàng)或一種以服務(wù)為導(dǎo)向的架構(gòu)部署。同時(shí)，許多企業(yè)還必須擔(dān)心客戶與應(yīng)用的門戶、安全性以及可訪問性。這就是身份聯(lián)合技術(shù)發(fā)揮作用之所在了。

　　在一個(gè)相當(dāng)新的時(shí)期內(nèi)，身份聯(lián)合被視作技術(shù)效率與業(yè)務(wù)能力之間保持和諧關(guān)系的一個(gè)關(guān)鍵。在許多方面，身份聯(lián)合技術(shù)是實(shí)施云計(jì)算化的首要步驟之一。

　　聯(lián)合身份（identity-federation）

　　即使在一個(gè)LAN上，身份和密碼管理都是一個(gè)噩夢(mèng)?，F(xiàn)在，讓我們想象一下把這個(gè)噩夢(mèng)延續(xù)至云計(jì)算的世界中。在IT世界中，聯(lián)合身份意味著將一個(gè)人的電子身份、屬性以及個(gè)人信息進(jìn)行打包，然后將其存儲(chǔ)在多個(gè)身份管理系統(tǒng)中。例如，單點(diǎn)登陸（SSO）就是一個(gè)聯(lián)合身份技術(shù)的實(shí)際應(yīng)用，因?yàn)樗谠浦械恼麄€(gè)IT系統(tǒng)、組織及不同應(yīng)用中使用用戶的身份驗(yàn)證。

　　大多數(shù)的組織還沒有完全實(shí)施全面的云計(jì)算。但是，他們一直在實(shí)施混合云架構(gòu)。這些混合云需要身份聯(lián)合，以便于在內(nèi)部與外部服務(wù)之間提供SSO和基于角色的訪問控制。

　　在市場(chǎng)上，已經(jīng)逐漸出現(xiàn)了一些云計(jì)算集成聯(lián)合產(chǎn)品，如Ping Identity和Layer7。那么這些廠商是如何將身份聯(lián)合作為服務(wù)來提供給用戶的呢？很簡單，他們期望擴(kuò)展你現(xiàn)有的基礎(chǔ)設(shè)施，并在云中建立其鏡像。

　　例如，Ping Identity擁有著PingFederate服務(wù)，該服務(wù)可允許將Active Directory擴(kuò)展至云。反之，這也使組織能夠在他們的網(wǎng)絡(luò)中和云中控制用戶管理、策略和訪問方法。使用標(biāo)準(zhǔn)的身份協(xié)議，PingFederate允許多種角色（如雇員、消費(fèi)者、客戶或合作伙伴）使用單一的用戶名和密碼訪問多個(gè)云資源?，F(xiàn)在，用戶可以使用他們最初的登陸信息訪問諸如Saleforce.com這樣的網(wǎng)站了。

　　為了實(shí)現(xiàn)多個(gè)身份域中客戶應(yīng)用與網(wǎng)絡(luò)服務(wù)之間的通信，客戶應(yīng)用和網(wǎng)絡(luò)服務(wù)都必須能夠建立相互信任的機(jī)制并交換身份信息。為了實(shí)現(xiàn)這一目標(biāo)，Layer 7科技正致力于解決身份聯(lián)合與安全性問題。 Layer 7是目前唯一一家為公司客戶提供管理網(wǎng)絡(luò)服務(wù)聯(lián)合的系統(tǒng)的XML安全供應(yīng)商，其涉及范圍包括客戶應(yīng)用和網(wǎng)絡(luò)服務(wù)且無需任何額外的編程工作，它還提供了一個(gè)內(nèi)置的、基于SAML的安全令牌服務(wù)。

　　使用身份聯(lián)合，解決云計(jì)算難題

　　雖然眾多的企業(yè)可能已了解何為身份聯(lián)合，但是仍有一些企業(yè)認(rèn)為身份聯(lián)合很難適用于他們的現(xiàn)有環(huán)境。當(dāng)進(jìn)一步了解身份聯(lián)合時(shí)，我們就會(huì)發(fā)現(xiàn)它只不過是一個(gè)跨多個(gè)身份管理系統(tǒng)存儲(chǔ)用戶信息的虛擬集合。身份聯(lián)合的最終目的在于使一個(gè)域的用戶能夠更為安全、簡便地訪問另一個(gè)域中的數(shù)據(jù)或系統(tǒng)，且無須多余的用戶管理。這一目標(biāo)要求所有涉及的系統(tǒng)使用相同的協(xié)議，以實(shí)現(xiàn)最大的互操作性。

　　讓我們來看看身份聯(lián)合發(fā)揮作用的四種場(chǎng)景吧：

　　1.創(chuàng)建多個(gè)遠(yuǎn)程站點(diǎn)之間的伙伴關(guān)系：身份聯(lián)合中最簡單的表格也檢驗(yàn)了企業(yè)允許在WAN上實(shí)施SSO而無需多余服務(wù)器硬件和相關(guān)位置信息的能力。這意味著公司能夠在遠(yuǎn)程擁有兩個(gè)（或更多）簡單設(shè)備，從而實(shí)現(xiàn)遠(yuǎn)程節(jié)點(diǎn)SSO功能。

　　2.在外部應(yīng)用中的身份聯(lián)合：使用專為跨云聯(lián)合而設(shè)計(jì)的硬件設(shè)施，公司能夠使用諸如IBM公司W(wǎng)ebsphere Application Servers這樣的產(chǎn)品，以確保他們的應(yīng)用程序在WAN上的安全性。然后，SSO就能夠在這些外部應(yīng)用中生效，從而實(shí)現(xiàn)更大的使用便利和更佳的最終用戶體驗(yàn)。

　　3.公共云中的身份聯(lián)合：使用公共云中的身份聯(lián)合，IT經(jīng)理就可以開始評(píng)判平臺(tái)即服務(wù)（PaaS）了。這就可以使最終用戶訪問遠(yuǎn)程門戶，并為IT管理人員提供對(duì)PaaS身份驗(yàn)證和其他安全協(xié)議的完全控制。例如，一個(gè)用戶可用登陸到一個(gè)企業(yè)的設(shè)備，并即刻能夠訪問他們的Gmail帳戶、查看他們的完整日歷信息以及其他功能，而無需輸入多個(gè)身份憑證。

　　4.與軟件即服務(wù)（SaaS）進(jìn)行集成：身份聯(lián)合最為常見的集成就是與SaaS平臺(tái)的集成。通過擴(kuò)展Active Directory，用戶可以使用Salesforce的門戶和業(yè)務(wù)應(yīng)用而無需輸入其他額外的身份憑證。

　　當(dāng)管理身份時(shí)，了解IT管理人員所面臨的復(fù)雜挑戰(zhàn)是非常重要的。隨著虛擬化、SaaS架構(gòu)和云計(jì)算等技術(shù)的指數(shù)型增長，如果工程師們希望解決安全性難題并為他們的最終用戶提供一個(gè)更為無縫的使用體驗(yàn)，他們將不得不使用新的技術(shù)。