无论你赞同与否,微软都是当之无愧的企业身份识别标准。除了对各种标准协议的支持外,微软的产品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登录)一直都是企业身份识别标准。

但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器、操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。

当我们谈论“身份识别”时,我们指的是安全的一部分,即身份验证和授权:你是谁以及你想要做什么?

XaaS身份识别

在XX即服务(以下统称为XaaS)的营销术语中,你会看到新的IDaaS,即身份识别即服务。身份识别即服务的概念是,你可以通过Web应用程序来管理用户身份,就像你在CRM应用程序中管理销售情况一样。

但是云计算中的身份识别不止于此。例如,你创建了一个用户账户,并将他设置为具有管理职责的销售人员,他可能需要为CRM使用Salesforce.com,为电子邮件和文档使用Google Apps,以及在PaaS(例如Cloud Foundry)上部署的自定义应用程序,这个PaaS应用程序甚至可能调用Salesforce和Google Apps上的服务。

在一般情况下,你的IDaaS将使用SAML协议来处理你的不同XaaS的身份验证和授权。在某些情况下,用户可能通过Oauth协议来对IDaaS进行身份验证,以及对XaaS进行授权,但IDaaS究竟是怎么回事?

微软IDaaS

其中一个例子是微软的IDaaS.根据微软的技术人员John Shewchuk表示:“你可以认为Windows Azure Active Directory作为在云中运行的Active Directory,这是具有互联网规模、高可用性和集成灾难恢复的多租户服务。”

微软的战略是同时支持企业内部和企业外部的Active Directory以及这两者的混合模式。Shewchuk表示,Azure Active Directory是一个开放的目录,任何第三方应用程序或服务都可以使用它,并且,它支持行业标准协议,例如SAML、Oauth 2和Odata.

其他IDaaS

还有其他IDaaS,例如Ping Identity的PingOne.Ping Identity公司首席技术官Patrick Harding指出,2012年的云计算环境有别于2002年的企业内部环境。在当时,涌现出很多不同的目录,后来又被纳入AD(Active Directory),大多数企业内部的应用程序被绑定到AD进行身份验证和角色/组管理。

Harding认为,在未来,“云计算将需要SSO和用户目录/用户存储同步,我们无法避免这种趋势,因为每个云应用程序都需要一个身份存储。我们还将需要相关标准来确保这个功能的无缝执行,例如SAML和SCIM.每个主流平台都将可能需要支持这些协议的衍生协议,微软的Azure/Office 365是个例外,因为它们依赖于WS-Federation和Graph.”

这里存在一个内在冲突。当部署身份识别解决方案时,你通常会运行到边缘,在这里微软不支持SAML,而是支持竞争标准——WS-Federation.一直以来,企业内部领域的身份识别供应商没能加快最新标准的速度(SAML 1.1 vs. 2.0)或者甚至相同的标准(SAML vs. WS-Federation),结果造成往往需要定制软件和非常复杂的配置来进行集成。

唯一的供应商?

让问题更复杂的是,很多你的XaaS供应商想要成为你唯一的供应商。Red Hat公司Jboss安全架构师Anil Saldhana表示:“很多云供应商(例如Salesforce和谷歌)让客户可以选择使用客户托管身份识别供应商,这可能是唯一身份持有者,这些云供应商可以作为服务供应商,你可以使用SAML属性来传递角色等。”

SAP公司NetWeaver云解决方案的产品所有者Martin Raepple不认为在云领域存在一个主要供应商能够集中管理身份,“在过去,任何这方面的尝试都失败了,包括最突出的例子,即微软的(。Net)Passport系统。”

Saldhana统一说:“一般规模的企业不会将IaaS托管委托给另一个供应商,但我也不认为提供软件堆栈以让企业托管自己的身份系统能够成功,这并不仅仅是关于技术问题,而是关于目录(用户/角色/合作伙伴/客户)”

混合身份识别

在不久的将来,可能会出现企业内部解决方案与外部云计算的集成。Raepple表示:“很多安全供应商提供的解决方案是将员工的SSO体验从企业网络扩展到云环境,从而提供员工身份到供应商的云计算枢纽。愿意接受这种‘中间人’做法的用户肯定会采用这些解决方案,但作为平台,我们还需要支持SSO和Federation的本地功能。”

这可能会让微软发挥其“主场优势”。

身份识别危机是不成熟的表现

SAML、Oauth、OpenID等仍然是很新的标准,部署情况也很不均匀,换句话说,这仍然是一个积极发展中的领域,云计算领域仍然处于用例识别阶段,这属于非常、非常早期阶段。

鉴于供应商正在调整其平台以及该领域的不成熟性,我们现在很难看到集成了身份识别的完整的云架构。

关注中国IDC圈官方微信:idc-quan 我们将定期推送IDC产业最新资讯

查看心情排 行你看到此篇文章的感受是:


  • 支持

  • 高兴

  • 震惊

  • 愤怒

  • 无聊

  • 无奈

  • 谎言

  • 枪稿

  • 不解

  • 标题党
2019-07-30 19:15:23
云安全 腾讯牵头制定首个“零信任”安全技术行业标准
7月25日,在中国通信标准化协会CCSA TC8 WG3第60次工作会议上,由腾讯牵头提案的“零信任安全技术-参考框架”行业标准正式通过权威专家组评审并成功立项。 <详情>
2019-07-30 12:48:00
云安全 云安全的12个阴暗面
过去十年,云计算和云安全已经取得长足进步,越来越多的企业对云安全的认知,从最初的顾忌和恐慌,转变为盲目的信任和依赖。但是近年来随着国内外云安全事件的不断发作,企 <详情>
2019-07-30 12:26:08
云安全 长亭科技全线产品升级支持IPv6防护服务
IPv6 能够提供更广泛的互联网连接,促进物联网、人工智能等新技术应用的发展,是全球公认的下一代互联网解决方案。在国家政策的大力推动下,各行业IPv6改造都在如火如荼地 <详情>
2019-07-25 17:40:43
云资讯 多云和安全注意事项
随着企业将工作负载从内部数据中心迁移到云平台,采用多个云平台已经为各种规模的企业带来了一些变革性的运营实践。应用程序环境从内部部署转向公共云,从裸机转移到容器, <详情>
2019-07-23 12:32:21
云安全 云安全风险概览 企业上云后的安全风险概览
数据和各类服务向云端迁移不禁让很多企业开始重新思考自己的网络安全体系。企业上云后究竟会面临什么样的安全风险? <详情>