云计算如今的发展势头可谓如日中天,企业与企业之间竞争激烈,为了保持云计算所带来的竞争优势,IT部门必须把大部分的精力投入到保证系统正常运行及其稳定性上。而为了实现这一目标,他们必须检查内部选项或一种以服务为导向的架构部署。与此同时,许多企业还必须考虑到客户与应用的门户、安全性以及可访问性。涉及到这些问题,身份联合技术就大有可为了。
在一个相当新的时期内,身份联合被视作技术效率与业务能力之间保持和谐关系的一个关键。在许多方面,身份联合技术是实施云计算化的首要步骤之一。
联合身份(identity-federation)
即使在一个LAN上,身份和密码管理都是一个噩梦。现在,让我们想象一下把这个噩梦延续至云计算的世界中。在IT世界中,联合身份意味着将一个人的电子身份、属性以及个人信息进行打包,然后将其存储在多个身份管理系统中。例如,单点登陆(SSO)就是一个联合身份技术的实际应用,因为它在云中的整个IT系统、组织及不同应用中使用用户的身份验证。
大多数的组织还没有完全实施全面的云计算。但是,他们一直在实施混合云架构。这些混合云需要身份联合,以便于在内部与外部服务之间提供SSO和基于角色的访问控制。
在市场上,已经逐渐出现了一些云计算集成联合产品,如Ping Identity和Layer7。那么这些厂商是如何将身份联合作为服务来提供给用户的呢?很简单,他们期望扩展你现有的基础设施,并在云中建立其镜像。
例如,Ping Identity拥有着PingFederate服务,该服务可允许将Active Directory扩展至云。反之,这也使组织能够在他们的网络中和云中控制用户管理、策略和访问方法。使用标准的身份协议,PingFederate允许多种角色(如雇员、消费者、客户或合作伙伴)使用单一的用户名和密码访问多个云资源。现在,用户可以使用他们最初的登陆信息访问诸如Saleforce.com这样的网站了。
为了实现多个身份域中客户应用与网络服务之间的通信,客户应用和网络服务都必须能够建立相互信任的机制并交换身份信息。为了实现这一目标,Layer 7科技正致力于解决身份联合与安全性问题。 Layer 7是目前唯一一家为公司客户提供管理网络服务联合的系统的XML安全供应商,其涉及范围包括客户应用和网络服务且无需任何额外的编程工作,它还提供了一个内置的、基于SAML的安全令牌服务。
使用身份联合,解决云计算难题
虽然众多的企业可能已了解何为身份联合,但是仍有一些企业认为身份联合很难适用于他们的现有环境。当进一步了解身份联合时,我们就会发现它只不过是一个跨多个身份管理系统存储用户信息的虚拟集合。身份联合的最终目的在于使一个域的用户能够更为安全、简便地访问另一个域中的数据或系统,且无须多余的用户管理。这一目标要求所有涉及的系统使用相同的协议,以实现最大的互操作性。
让我们来看看身份联合发挥作用的四种场景吧:
1.创建多个远程站点之间的伙伴关系:身份联合中最简单的表格也检验了企业允许在WAN上实施SSO而无需多余服务器硬件和相关位置信息的能力。这意味着公司能够在远程拥有两个(或更多)简单设备,从而实现远程节点SSO功能。
2.在外部应用中的身份联合:使用专为跨云联合而设计的硬件设施,公司能够使用诸如IBM公司Websphere Application Servers这样的产品,以确保他们的应用程序在WAN上的安全性。然后,SSO就能够在这些外部应用中生效,从而实现更大的使用便利和更佳的最终用户体验。
3.公共云中的身份联合:使用公共云中的身份联合,IT经理就可以开始评判平台即服务(PaaS)了。这就可以使最终用户访问远程门户,并为IT管理人员提供对PaaS身份验证和其他安全协议的完全控制。例如,一个用户可用登陆到一个企业的设备,并即刻能够访问他们的Gmail帐户、查看他们的完整日历信息以及其他功能,而无需输入多个身份凭证。
4.与软件即服务(SaaS)进行集成:身份联合最为常见的集成就是与SaaS平台的集成。通过扩展Active Directory,用户可以使用Salesforce的门户和业务应用而无需输入其他额外的身份凭证。
当管理身份时,了解IT管理人员所面临的复杂挑战是非常重要的。随着虚拟化、SaaS架构和云计算等技术的指数型增长,如果工程师们希望解决安全性难题并为他们的最终用户提供一个更为无缝的使用体验,他们将不得不使用新的技术。