制定一种通用机制来管理云应用中的用户身份,支持这一想法的多家企业将在本月末向互联网的主要标准组织IETF的巴黎会议提交标准议案。
目前已有一个简单云身份管理(SCIM)规范存在,该规范主要由一批安全软件厂商支持,包括思科、Courion、Ping Identity、UnboundID和SailPoint。还有一批主要的云厂商,如Salesforce、谷歌和VMware也支持这一规范。
但SCIM是否应成为IETF获准成立的工作组,从而最终成为一种行业标准,一直是个有争议的问题。
IETF将在3月29日召开的一次会议上讨论是否成立提议中的SCIM工作组。今年1月,IETF已创建了一组邮件列表来讨论SCIM。
SCIM的支持者们称,这一协议会让企业更易于控制对存储在公有云应用,如Salesforce、Workday、Taleo、Box和其他应用中的数据的访问。
Gartner也支持SCIM,认为它可以作为在云应用中预设和解预设员工的一种简单方法,而这一过程目前在大多数企业都是手工处理的。Gartner的一位研究副总裁Mark Diodati曾在2月末的一篇文章中写道,“SCIM似乎依然在路上。”
强烈支持SCIM的一家厂商就是UnboundID,它主要面向运营商销售身份管理基础设施软件。
UnboundID的CEO Steve Shoaff解释说,“从云到云,或者从云到企业应用,还没有一种传递身份的有效方式。UnboundID只是交付了一种SCIM商用版本的厂商之一,这种版本可允许企业广播SCIM事件,并接收SCIM事件。这是一种现代协议和方法,可在云提供商之间共享用户身份。我们的全部产品组合都是围绕SCIM构建的,希望因此能真正构建身份经济。”
支持者们认为,SCIM和先前的一些身份管理标准,如SPML相比优势还是有的,那就是它的轻量级,它不尝试做太多的功能,而且使用的是Web服务方式。
可替代SCIM的方法就是每个云应用的专利API的泛滥。这种情形下,会要求安全软件厂商如Courion和SailPoint为了预设每个云应用,必须创建众多的客户连接器。
与之相反,SCIM则可提供一种标准方法,可以将身份数据从企业内部应用迁移到云应用,或者从一个云应用迁移到另一个云应用。
Ping Identity的CTO Patrick Harding说,“我们看到很多企业都对SCIM有兴趣,因为我们在这里还没有完善的标准。所有厂商都在开发他们自己的API。正因为此,我们去年和所有主要的SaaS厂商一起合作,想研发一种标准的API机制,使用户的身份管理自动化。”
SCIM规范1.0版本是去年12月获批的。
支持者们预计,今年将会有大量支持SCIM 1.0的安全产品和云应用出现。
“SCIM的发展动力非常关键,”UnboundID的营销副总裁Andy Land说。“我们已得知,谷歌、WebEx、VMware都声称准备支持SCIM。还有一大批小厂商、中间件厂商也在开发支持SCIM的产品。到2012年底,我们将会看到SCIM在企业中实施。”
Harding称,SCIM可为企业CIO们解决一个关键问题,CIO们在其现有的身份管理基础架构上花费了数百万美元,购买微软的Active Directory,和其他厂商的身份认证和法规遵从产品。他们希望能够扩展其身份管理功能,以最少的附加成本覆盖到云应用上。
“我认为,2012年将会看到更多企业采用SCIM,”Harding说。“这将允许企业更有成本效益地在SaaS和云应用中管理用户,这要比为个别的API开发连接器或者手动管理好得多。”
IETF已经在研发一种相关的Web身份认证协议,叫做OATH,该协议可提供一种单一的用户身份认证体验,无论用户是在接入网络还是在访问云应用。
