無論你贊同與否，微軟都是當(dāng)之無愧的企業(yè)身份識別標(biāo)準(zhǔn)。除了對各種標(biāo)準(zhǔn)協(xié)議的支持外，微軟的產(chǎn)品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登錄)一直都是企業(yè)身份識別標(biāo)準(zhǔn)。

但隨著企業(yè)逐漸轉(zhuǎn)移到云環(huán)境，這種情況將會改變。如果你不想要管理自己的應(yīng)用程序服務(wù)器、操作系統(tǒng)、硬件，而是將這些轉(zhuǎn)移到云計算，你還會想要管理身份識別基礎(chǔ)設(shè)施嗎?這讓很多企業(yè)開始尋找身份識別解決方案，即“完整的”云架構(gòu)。

當(dāng)我們談?wù)?ldquo;身份識別”時，我們指的是安全的一部分，即身份驗證和授權(quán)：你是誰以及你想要做什么?

XaaS身份識別

在XX即服務(wù)(以下統(tǒng)稱為XaaS)的營銷術(shù)語中，你會看到新的IDaaS，即身份識別即服務(wù)。身份識別即服務(wù)的概念是，你可以通過Web應(yīng)用程序來管理用戶身份，就像你在CRM應(yīng)用程序中管理銷售情況一樣。

但是云計算中的身份識別不止于此。例如，你創(chuàng)建了一個用戶賬戶，并將他設(shè)置為具有管理職責(zé)的銷售人員，他可能需要為CRM使用Salesforce.com，為電子郵件和文檔使用Google Apps，以及在PaaS(例如Cloud Foundry)上部署的自定義應(yīng)用程序，這個PaaS應(yīng)用程序甚至可能調(diào)用Salesforce和Google Apps上的服務(wù)。

在一般情況下，你的IDaaS將使用SAML協(xié)議來處理你的不同XaaS的身份驗證和授權(quán)。在某些情況下，用戶可能通過Oauth協(xié)議來對IDaaS進(jìn)行身份驗證，以及對XaaS進(jìn)行授權(quán)，但I(xiàn)DaaS究竟是怎么回事?

微軟IDaaS

其中一個例子是微軟的IDaaS。根據(jù)微軟的技術(shù)人員John Shewchuk表示：“你可以認(rèn)為Windows Azure Active Directory作為在云中運行的Active Directory，這是具有互聯(lián)網(wǎng)規(guī)模、高可用性和集成災(zāi)難恢復(fù)的多租戶服務(wù)。”

微軟的戰(zhàn)略是同時支持企業(yè)內(nèi)部和企業(yè)外部的Active Directory以及這兩者的混合模式。Shewchuk表示，Azure Active Directory是一個開放的目錄，任何第三方應(yīng)用程序或服務(wù)都可以使用它，并且，它支持行業(yè)標(biāo)準(zhǔn)協(xié)議，例如SAML、Oauth 2和Odata。

其他IDaaS

還有其他IDaaS，例如Ping Identity的PingOne。Ping Identity公司***技術(shù)官Patrick Harding指出，2012年的云計算環(huán)境有別于2002年的企業(yè)內(nèi)部環(huán)境。在當(dāng)時，涌現(xiàn)出很多不同的目錄，后來又被納入AD(Active Directory)，大多數(shù)企業(yè)內(nèi)部的應(yīng)用程序被綁定到AD進(jìn)行身份驗證和角色/組管理。

Harding認(rèn)為，在未來，“云計算將需要SSO和用戶目錄/用戶存儲同步，我們無法避免這種趨勢，因為每個云應(yīng)用程序都需要一個身份存儲。我們還將需要相關(guān)標(biāo)準(zhǔn)來確保這個功能的無縫執(zhí)行，例如SAML和SCIM。每個主流平臺都將可能需要支持這些協(xié)議的衍生協(xié)議，微軟的Azure/Office 365是個例外，因為它們依賴于WS-Federation和Graph。”

這里存在一個內(nèi)在沖突。當(dāng)部署身份識別解決方案時，你通常會運行到邊緣，在這里微軟不支持SAML，而是支持競爭標(biāo)準(zhǔn)——WS-Federation。一直以來，企業(yè)內(nèi)部領(lǐng)域的身份識別供應(yīng)商沒能加快***標(biāo)準(zhǔn)的速度(SAML 1.1 vs. 2.0)或者甚至相同的標(biāo)準(zhǔn)(SAML vs. WS-Federation)，結(jié)果造成往往需要定制軟件和非常復(fù)雜的配置來進(jìn)行集成。

唯一的供應(yīng)商?

讓問題更復(fù)雜的是，很多你的XaaS供應(yīng)商想要成為你唯一的供應(yīng)商。Red Hat公司Jboss安全架構(gòu)師Anil Saldhana表示：“很多云供應(yīng)商(例如Salesforce和谷歌)讓客戶可以選擇使用客戶托管身份識別供應(yīng)商，這可能是唯一身份持有者，這些云供應(yīng)商可以作為服務(wù)供應(yīng)商，你可以使用SAML屬性來傳遞角色等。”

SAP公司NetWeaver云解決方案的產(chǎn)品所有者M(jìn)artin Raepple不認(rèn)為在云領(lǐng)域存在一個主要供應(yīng)商能夠集中管理身份，“在過去，任何這方面的嘗試都失敗了，包括最突出的例子，即微軟的(.Net)Passport系統(tǒng)。”

Saldhana統(tǒng)一說：“一般規(guī)模的企業(yè)不會將IaaS托管委托給另一個供應(yīng)商，但我也不認(rèn)為提供軟件堆棧以讓企業(yè)托管自己的身份系統(tǒng)能夠成功，這并不僅僅是關(guān)于技術(shù)問題，而是關(guān)于目錄(用戶/角色/合作伙伴/客戶)”

混合身份識別

在不久的將來，可能會出現(xiàn)企業(yè)內(nèi)部解決方案與外部云計算的集成。Raepple表示：“很多安全供應(yīng)商提供的解決方案是將員工的SSO體驗從企業(yè)網(wǎng)絡(luò)擴(kuò)展到云環(huán)境，從而提供員工身份到供應(yīng)商的云計算樞紐。愿意接受這種‘中間人’做法的用戶肯定會采用這些解決方案，但作為平臺，我們還需要支持SSO和Federation的本地功能。”

這可能會讓微軟發(fā)揮其“主場優(yōu)勢”。

身份識別危機(jī)是不成熟的表現(xiàn)

SAML、Oauth、OpenID等仍然是很新的標(biāo)準(zhǔn)，部署情況也很不均勻，換句話說，這仍然是一個積極發(fā)展中的領(lǐng)域，云計算領(lǐng)域仍然處于用例識別階段，這屬于非常、非常早期階段。

鑒于供應(yīng)商正在調(diào)整其平臺以及該領(lǐng)域的不成熟性，我們現(xiàn)在很難看到集成了身份識別的完整的云架構(gòu)。

正如Saldhana所說：“在公共云領(lǐng)域，仍然屬于‘狂野的西部’。”