专家评论:云身份识别危机

来源: 网界网
2012/11/12 10:26:23
但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器、操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。



分享到: 新浪微博 腾讯微博
本文关键字: 云计算 云安全 身份识别

无论你赞同与否,微软都是当之无愧的企业身份识别标准。除了对各种标准协议的支持外,微软的产品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登录)一直都是企业身份识别标准。

但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。

当我们谈论“身份识别”时,我们指的是安全的一部分,即身份验证和授权:你是谁以及你想要做什么?

XaaS身份识别

在XX即服务(以下统称为XaaS)的营销术语中,你会看到新的IDaaS,即身份识别即服务。身份识别即服务的概念是,你可以通过Web应用程序来管理用户身份,就像你在CRM应用程序中管理销售情况一样。

但是云计算中的身份识别不止于此。例如,你创建了一个用户账户,并将他设置为具有管理职责的销售人员,他可能需要为CRM使用Salesforce.com,为电子邮件和文档使用Google Apps,以及在PaaS(例如Cloud Foundry)上部署的自定义应用程序,这个PaaS应用程序甚至可能调用Salesforce和Google Apps上的服务。

在一般情况下,你的IDaaS将使用SAML协议来处理你的不同XaaS的身份验证和授权。在某些情况下,用户可能通过Oauth协议来对IDaaS进行身份验证,以及对XaaS进行授权,但IDaaS究竟是怎么回事?

微软IDaaS

其中一个例子是微软的IDaaS。根据微软的技术人员John Shewchuk表示:“你可以认为Windows Azure Active Directory作为在云中运行的Active Directory,这是具有互联网规模、高可用性和集成灾难恢复的多租户服务。”

微软的战略是同时支持企业内部和企业外部的Active Directory以及这两者的混合模式。Shewchuk表示,Azure Active Directory是一个开放的目录,任何第三方应用程序或服务都可以使用它,并且,它支持行业标准协议,例如SAML、Oauth 2和Odata。

其他IDaaS

还有其他IDaaS,例如Ping Identity的PingOne。Ping Identity公司首席技术官Patrick Harding指出,2012年的云计算环境有别于2002年的企业内部环境。在当时,涌现出很多不同的目录,后来又被纳入AD(Active Directory),大多数企业内部的应用程序被绑定到AD进行身份验证和角色/组管理。

Harding认为,在未来,“云计算将需要SSO和用户目录/用户存储同步,我们无法避免这种趋势,因为每个云应用程序都需要一个身份存储。我们还将需要相关标准来确保这个功能的无缝执行,例如SAML和SCIM。每个主流平台都将可能需要支持这些协议的衍生协议,微软的Azure/Office 365是个例外,因为它们依赖于WS-Federation和Graph。”

这里存在一个内在冲突。当部署身份识别解决方案时,你通常会运行到边缘,在这里微软不支持SAML,而是支持竞争标准——WS-Federation。一直以来,企业内部领域的身份识别供应商没能加快最新标准的速度(SAML 1.1 vs. 2.0)或者甚至相同的标准(SAML vs. WS-Federation),结果造成往往需要定制软件和非常复杂的配置来进行集成。

唯一的供应商?

让问题更复杂的是,很多你的XaaS供应商想要成为你唯一的供应商。Red Hat公司Jboss安全架构师Anil Saldhana表示:“很多云供应商(例如Salesforce和谷歌)让客户可以选择使用客户托管身份识别供应商,这可能是唯一身份持有者,这些云供应商可以作为服务供应商,你可以使用SAML属性来传递角色等。”

SAP公司NetWeaver云解决方案的产品所有者Martin Raepple不认为在云领域存在一个主要供应商能够集中管理身份,“在过去,任何这方面的尝试都失败了,包括最突出的例子,即微软的(.Net)Passport系统。”

Saldhana统一说:“一般规模的企业不会将IaaS托管委托给另一个供应商,但我也不认为提供软件堆栈以让企业托管自己的身份系统能够成功,这并不仅仅是关于技术问题,而是关于目录(用户/角色/合作伙伴/客户)”

混合身份识别

在不久的将来,可能会出现企业内部解决方案与外部云计算的集成。Raepple表示:“很多安全供应商提供的解决方案是将员工的SSO体验从企业网络扩展到云环境,从而提供员工身份到供应商的云计算枢纽。愿意接受这种‘中间人’做法的用户肯定会采用这些解决方案,但作为平台,我们还需要支持SSO和Federation的本地功能。”

这可能会让微软发挥其“主场优势”。

身份识别危机是不成熟的表现

SAML、Oauth、OpenID等仍然是很新的标准,部署情况也很不均匀,换句话说,这仍然是一个积极发展中的领域,云计算领域仍然处于用例识别阶段,这属于非常、非常早期阶段。

鉴于供应商正在调整其平台以及该领域的不成熟性,我们现在很难看到集成了身份识别的完整的云架构。

正如Saldhana所说:“在公共云领域,仍然属于‘狂野的西部’。”(邹铮编译)

责编:杨雪姣
vsharing 微信扫一扫实时了解行业动态
portalart 微信扫一扫分享本文给好友
著作权声明:kaiyun体育官方人口 文章著作权分属kaiyun体育官方人口 、网友和合作伙伴,部分非原创文章作者信息可能有所缺失,如需补充或修改请与我们联系,工作人员会在1个工作日内配合处理。
最新专题
IT系统一体化时代来了

2009年Oracle 用Exadata服务器告诉企业,数据中心的IT服务一体化解决方案才是大势所趋,而当前企业对大数据处理的..

高性能计算——企业未来发展的必备..

“天河二号”问鼎最新全球超级计算机500强,更新的Linpack值让世界认识到了“中国速度”。但超算不能只停留于追求..

    畅享
    首页
    返回
    顶部
    ×
    畅享IT
      信息化规划
      IT总包
      供应商选型
      IT监理
      开发维护外包
      评估维权
    客服电话
    400-698-9918
    Baidu
    map