专家评论:云身份识别危机

无论你赞同与否,微软都是当之无愧的企业身份识别标准。除了对各种标准协议的支持外,微软的产品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登录)一直都是企业身份识别标准。

但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器、操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。

当我们谈论“身份识别”时,我们指的是安全的一部分,即身份验证和授权:你是谁以及你想要做什么?

XaaS身份识别

在XX即服务(以下统称为XaaS)的营销术语中,你会看到新的IDaaS,即身份识别即服务。身份识别即服务的概念是,你可以通过Web应用程序来管理用户身份,就像你在CRM应用程序中管理销售情况一样。

但是云计算中的身份识别不止于此。例如,你创建了一个用户账户,并将他设置为具有管理职责的销售人员,他可能需要为CRM使用Salesforce.com,为电子邮件和文档使用Google Apps,以及在PaaS(例如Cloud Foundry)上部署的自定义应用程序,这个PaaS应用程序甚至可能调用Salesforce和Google Apps上的服务。

在一般情况下,你的IDaaS将使用SAML协议来处理你的不同XaaS的身份验证和授权。在某些情况下,用户可能通过Oauth协议来对IDaaS进行身份验证,以及对XaaS进行授权,但IDaaS究竟是怎么回事?

微软IDaaS

其中一个例子是微软的IDaaS。根据微软的技术人员John Shewchuk表示:“你可以认为Windows Azure Active Directory作为在云中运行的Active Directory,这是具有互联网规模、高可用性和集成灾难恢复的多租户服务。”

微软的战略是同时支持企业内部和企业外部的Active Directory以及这两者的混合模式。Shewchuk表示,Azure Active Directory是一个开放的目录,任何第三方应用程序或服务都可以使用它,并且,它支持行业标准协议,例如SAML、Oauth 2和Odata。

其他IDaaS

还有其他IDaaS,例如Ping Identity的PingOne。Ping Identity公司首席技术官Patrick Harding指出,2012年的云计算环境有别于2002年的企业内部环境。在当时,涌现出很多不同的目录,后来又被纳入AD(Active Directory),大多数企业内部的应用程序被绑定到AD进行身份验证和角色/组管理。

Harding认为,在未来,“云计算将需要SSO和用户目录/用户存储同步,我们无法避免这种趋势,因为每个云应用程序都需要一个身份存储。我们还将需要相关标准来确保这个功能的无缝执行,例如SAML和SCIM。每个主流平台都将可能需要支持这些协议的衍生协议,微软的Azure/Office 365是个例外,因为它们依赖于WS-Federation和Graph。”

这里存在一个内在冲突。当部署身份识别解决方案时,你通常会运行到边缘,在这里微软不支持SAML,而是支持竞争标准——WS-Federation。一直以来,企业内部领域的身份识别供应商没能加快最新标准的速度(SAML 1.1 vs. 2.0)或者甚至相同的标准(SAML vs. WS-Federation),结果造成往往需要定制软件和非常复杂的配置来进行集成。

唯一的供应商?

让问题更复杂的是,很多你的XaaS供应商想要成为你唯一的供应商。Red Hat公司Jboss安全架构师Anil Saldhana表示:“很多云供应商(例如Salesforce和谷歌)让客户可以选择使用客户托管身份识别供应商,这可能是唯一身份持有者,这些云供应商可以作为服务供应商,你可以使用SAML属性来传递角色等。”

SAP公司NetWeaver云解决方案的产品所有者Martin Raepple不认为在云领域存在一个主要供应商能够集中管理身份,“在过去,任何这方面的尝试都失败了,包括最突出的例子,即微软的(.Net)Passport系统。”

Saldhana统一说:“一般规模的企业不会将IaaS托管委托给另一个供应商,但我也不认为提供软件堆栈以让企业托管自己的身份系统能够成功,这并不仅仅是关于技术问题,而是关于目录(用户/角色/合作伙伴/客户)”

混合身份识别

在不久的将来,可能会出现企业内部解决方案与外部云计算的集成。Raepple表示:“很多安全供应商提供的解决方案是将员工的SSO体验从企业网络扩展到云环境,从而提供员工身份到供应商的云计算枢纽。愿意接受这种‘中间人’做法的用户肯定会采用这些解决方案,但作为平台,我们还需要支持SSO和Federation的本地功能。”

这可能会让微软发挥其“主场优势”。

身份识别危机是不成熟的表现

SAML、Oauth、OpenID等仍然是很新的标准,部署情况也很不均匀,换句话说,这仍然是一个积极发展中的领域,云计算领域仍然处于用例识别阶段,这属于非常、非常早期阶段。

鉴于供应商正在调整其平台以及该领域的不成熟性,我们现在很难看到集成了身份识别的完整的云架构。

正如Saldhana所说:“在公共云领域,仍然属于‘狂野的西部’。”(网界网 邹铮编译)

(责任编辑:蒙遗善)

时间: 2024-09-12 11:14:55

专家评论:云身份识别危机的相关文章

英特尔的McAfee将生物身份识别引入云存储

英特尔正在引进新思路以保证公有云的安全.英特尔将提供一项服务,在用户 经过面孔识别和语音识别之后,允许用户访问在线文件.英特尔旗下的McAfee将增加一个名为"LiveSafe"的产品.这个产品提供1GB容量的在线存储,可通过生物身份识别来访问.LiveSafe有一个基 于网站的管理控制台,可以通过面孔识别.语音识别或者输入PIN号码对用户进行身份识别.LiveSafe还包括杀毒和其它安全功能.McAfee把这项服务比喻为云中的在线储藏室,可以在 那里存储敏感的信息.通过平板电脑.智能

云计算中的身份识别和数据保护

RSA,EMC (NYSE:EMC)信息安全事业部日前发布了新一期的RSA ®安全概要,题为<云计算中的身份识别和数据保护:建立可信任环境的最佳实施方案>.此概要为需要应对云计算中的身份认证和数据安全挑战的机构提供了指导和最佳的可行方案.本期的RSA安全概要集合了云计算安全领域的顶级技术专家的意见,以帮助机构了解如何构建与云服务有关的可信任环境,如何防御网络欺诈,如何应对云环境下新的法规遵从的挑战.RSA安全概要的作者为多位来自EMC和VMware的业界最著名的安全和虚拟化专家,包括RSA,

深入探究云计算身份识别服务器开发(银行、证券行业实例)

问题描述 最近在学习的过程中,看到一份好资料,也推荐给大家,是基于证券公司.银行背景下开发的一套用于云计算环境下身份识别服务器开发的教程,叫<银行.证券行业云计算身份识别服务器深度开发(令牌加密算法.认证协议.驱动.云布署)>涉及到令牌加密算法.认证协议.驱动.云布署等技术,内容很多,我也是在网上下载的,具体的大家可以下来学习下载地址:http://pan.baidu.com/share/link?shareid=2069202496&uk=3593504264&third=1

【高通倾向拒绝博通收购】博通拟以1300亿美元收购高通,IT史最大收购案能否成功(专家评论)

芯片制造商博通公司(Broadcom Corporation)宣布, 拟以每股70美元现金和发行股份方式收购高通,合计作价1300亿美元,主要是为了加强其在无线市场上的地位.这将成为电子科技行业最大并购案.并购完成后,博通2017财年收入预计达到510亿美元,EBITDA约为230亿美元,这样,博通的体量将成为仅次于英特尔和三星电子的全球第三大芯片商. 高通公司表示,将审查该提案,并为股东的最佳利益行事.熟悉此事的人士告诉路透社,该公司倾向于拒绝这一出价过低并充满风险的提案. 博通公司是全球领先

2016年安全身份识别主流趋势

安全身份识别解决方案商HID Global通过从不同行业市场的重要客户那里所获得的深刻洞察,以及公司最新解决方案在前瞻性合作伙伴和全球各地的终端用户中进行的试点项目与正式部署情况,确定了2016年最值得业界关注的安全趋势.HID Global 广阔的行业视角,使得公司有能力精准指出其认为将会在今年对身份信息与门禁管理,公民身份识别以及物联网(IoT)产生最重大影响的五个主要发展方向. "我们正在关注新的一年中将会出现的几大发展趋势,包括对于以移动性为核心,可以更好满足用户体验的安全技术的需求在不

当人体器官还不能作为普及的身份识别工具时

当人体器官还不能作为普及的身份识别工具时 太阳火神的美丽人生 (http://blog.csdn.net/opengl_es) 本文遵循"署名-非商业用途-保持一致"创作公用协议 转载请保留此句:太阳火神的美丽人生 -  本博客专注于 敏捷开发及移动和物联设备研究:iOS.Android.Html5.Arduino.pcDuino,否则,出自本博客的文章拒绝转载或再转载,谢谢合作. 当人体器官如视网膜,指纹,人脸识别(补充一个,叫做声纹)等,还不能作为普及的身份识别工具时, 也或者还不

Integralis加强自身云身份认证服务

本文讲的是Integralis加强自身云身份认证服务,SafeNet公司日前宣布推出SafeNet即时身份认证服务,这是一种全新的基于云身份认证的服务.这种云身份认证服务解决方案专门针对服务提供商环境而设计的,它使服务提供商能够迅速地为自己的企业用户推出认证即服务.这样一来,服务提供商便能够增加自己的每用户平均收入(ARPU),极大地降低提供和实施强身份认证的成本和复杂性,同时增强自己的安全性和合规性. SafeNet即时身份认证服务的发布进一步确立了SafeNet在身份认证行业的领先地位.今年

精通Python网络爬虫:核心技术、框架与项目实战.3.5 身份识别

3.5 身份识别 在爬虫对网页爬取的过程中,爬虫必然需要访问对应的网页,正规的爬虫一般会告诉对应网页的网站站长其爬虫身份.网站的管理员则可以通过爬虫告知的身份信息对爬虫的身份进行识别,我们称这个过程为爬虫的身份识别过程. 那么,爬虫应该如何告知网站站长自己的身份呢? 一般地,爬虫在对网页进行爬取访问的时候,会通过HTTP请求中的User Agent字段告知自己的身份信息.一般爬虫访问一个网站的时候,首先会根据该站点下的Robots.txt文件来确定可爬取的网页范围,Robots协议是需要网络爬虫

DB2专家王云谈商业智能BI_DB2

正在看的db2教程是:DB2专家王云谈商业智能BI. 王云说:"既然讲商业智能,我们大家都在讲及时性,我们讲要有绩效,要有BPM,我自己就来看看我们能不能在这个会场上,我们来实践一下,如果大家抬头看着我,我就讲,大家头低下去了,我就不讲,这就是绩效的考验. 怎么讲呢,也不要重复很多体裁,大家很多专家报告了很多事情,我就有一个感触,这样讲吧,我们说今天是我听到信息化产业最多的一个机会,从来没听过这么多IT这个词,我刚才听到,我刚刚说我们大家来实践一下这个BI,刚才我们听到"四拍"