专家评论:云身份识别危机

云计算
现在,最大的身份识别问题是企业内部Active Directory集成问题,在完整的云架构中,我们应该怎么做?。

无论你赞同与否,微软都是当之无愧的企业身份识别标准。除了对各种标准协议的支持外,微软的产品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登录)一直都是企业身份识别标准。

但随着企业逐渐转移到云环境,这种情况将会改变。如果你不想要管理自己的应用程序服务器、操作系统、硬件,而是将这些转移到云计算,你还会想要管理身份识别基础设施吗?这让很多企业开始寻找身份识别解决方案,即“完整的”云架构。

当我们谈论“身份识别”时,我们指的是安全的一部分,即身份验证和授权:你是谁以及你想要做什么?

XaaS身份识别

在XX即服务(以下统称为XaaS)的营销术语中,你会看到新的IDaaS,即身份识别即服务。身份识别即服务的概念是,你可以通过Web应用程序来管理用户身份,就像你在CRM应用程序中管理销售情况一样。

但是云计算中的身份识别不止于此。例如,你创建了一个用户账户,并将他设置为具有管理职责的销售人员,他可能需要为CRM使用Salesforce.com,为电子邮件和文档使用Google Apps,以及在PaaS(例如Cloud Foundry)上部署的自定义应用程序,这个PaaS应用程序甚至可能调用Salesforce和Google Apps上的服务。

在一般情况下,你的IDaaS将使用SAML协议来处理你的不同XaaS的身份验证和授权。在某些情况下,用户可能通过Oauth协议来对IDaaS进行身份验证,以及对XaaS进行授权,但IDaaS究竟是怎么回事?

微软IDaaS

其中一个例子是微软的IDaaS。根据微软的技术人员John Shewchuk表示:“你可以认为Windows Azure Active Directory作为在云中运行的Active Directory,这是具有互联网规模、高可用性和集成灾难恢复的多租户服务。”

微软的战略是同时支持企业内部和企业外部的Active Directory以及这两者的混合模式。Shewchuk表示,Azure Active Directory是一个开放的目录,任何第三方应用程序或服务都可以使用它,并且,它支持行业标准协议,例如SAML、Oauth 2和Odata。

其他IDaaS

还有其他IDaaS,例如Ping Identity的PingOne。Ping Identity公司***技术官Patrick Harding指出,2012年的云计算环境有别于2002年的企业内部环境。在当时,涌现出很多不同的目录,后来又被纳入AD(Active Directory),大多数企业内部的应用程序被绑定到AD进行身份验证和角色/组管理。

Harding认为,在未来,“云计算将需要SSO和用户目录/用户存储同步,我们无法避免这种趋势,因为每个云应用程序都需要一个身份存储。我们还将需要相关标准来确保这个功能的无缝执行,例如SAML和SCIM。每个主流平台都将可能需要支持这些协议的衍生协议,微软的Azure/Office 365是个例外,因为它们依赖于WS-Federation和Graph。”

这里存在一个内在冲突。当部署身份识别解决方案时,你通常会运行到边缘,在这里微软不支持SAML,而是支持竞争标准——WS-Federation。一直以来,企业内部领域的身份识别供应商没能加快***标准的速度(SAML 1.1 vs. 2.0)或者甚至相同的标准(SAML vs. WS-Federation),结果造成往往需要定制软件和非常复杂的配置来进行集成。

唯一的供应商?

让问题更复杂的是,很多你的XaaS供应商想要成为你唯一的供应商。Red Hat公司Jboss安全架构师Anil Saldhana表示:“很多云供应商(例如Salesforce和谷歌)让客户可以选择使用客户托管身份识别供应商,这可能是唯一身份持有者,这些云供应商可以作为服务供应商,你可以使用SAML属性来传递角色等。”

SAP公司NetWeaver云解决方案的产品所有者Martin Raepple不认为在云领域存在一个主要供应商能够集中管理身份,“在过去,任何这方面的尝试都失败了,包括最突出的例子,即微软的(.Net)Passport系统。”

Saldhana统一说:“一般规模的企业不会将IaaS托管委托给另一个供应商,但我也不认为提供软件堆栈以让企业托管自己的身份系统能够成功,这并不仅仅是关于技术问题,而是关于目录(用户/角色/合作伙伴/客户)”

混合身份识别

在不久的将来,可能会出现企业内部解决方案与外部云计算的集成。Raepple表示:“很多安全供应商提供的解决方案是将员工的SSO体验从企业网络扩展到云环境,从而提供员工身份到供应商的云计算枢纽。愿意接受这种‘中间人’做法的用户肯定会采用这些解决方案,但作为平台,我们还需要支持SSO和Federation的本地功能。”

这可能会让微软发挥其“主场优势”。

身份识别危机是不成熟的表现

SAML、Oauth、OpenID等仍然是很新的标准,部署情况也很不均匀,换句话说,这仍然是一个积极发展中的领域,云计算领域仍然处于用例识别阶段,这属于非常、非常早期阶段。

鉴于供应商正在调整其平台以及该领域的不成熟性,我们现在很难看到集成了身份识别的完整的云架构。

正如Saldhana所说:“在公共云领域,仍然属于‘狂野的西部’。”

责任编辑:王程程 来源: 网界网
相关推荐

2012-04-10 15:05:52

OpenStack云计算

2020-11-17 09:47:33

安全机器云计算

2020-11-16 10:33:04

机器身份危机

2009-11-05 11:42:45

Unix专家

2022-04-21 15:28:56

数据安全数据泄露安全证书

2009-03-20 09:39:54

IBMSunJava

2009-12-11 10:19:54

Visual Stud

2013-05-16 10:21:45

身份识别LiveSafeMcAfee

2012-05-28 09:56:03

英特尔Salesforce云计算

2015-07-30 17:06:10

2019-03-26 15:55:35

华为云

2013-07-12 09:28:44

2019-10-18 09:20:37

身份识别网络攻击数据泄露

2010-06-07 08:55:50

Hadoop云计算

2013-03-04 09:27:34

2012-08-14 09:09:19

2012-07-20 14:21:06

云计算IT

2015-06-09 15:19:13

身份识别生物识别脑纹

2015-12-29 17:27:21

FIDO
点赞
收藏

51CTO技术栈公众号