設(shè)計一種云級別身份認證結(jié)構(gòu)

...v.設(shè)計一種云級別身份認證構(gòu)造這篇文章首先發(fā)表在puter雜志上，現(xiàn)在由InfoQ與IEEE計算機學(xué)會聯(lián)合為您呈現(xiàn)。在最近的IT記憶里，云迅速成為了最具爆發(fā)力的勢力之一。它提供更高的可靠性、更好的靈活度、更低的本錢和更簡單的部署。云有著無可否認的潛力，能夠讓所有的用戶和各行業(yè)受益。然而，盡管前景遠大，云仍然還很年輕。許多企業(yè)仍然對在全范圍內(nèi)采用云來處理關(guān)鍵工作表示擔憂。最常被提起的不愿意遷移到云端的理由就是對平安的擔憂。特別是管理用戶和訪問云端的權(quán)限對于組織來說是一個很大的平安方面的疑慮，也是一個棘手的問題。在云端的身份管理格外的困難，因為身份本身具有跨界的特點，而且身份管理會同時在架構(gòu)上和組織上產(chǎn)生影響。許多業(yè)者害怕使用云會把自己暴露給可能的攻擊和數(shù)據(jù)破壞。另外，很多公司并沒有充分的條件來在企業(yè)級別和云端管理身份認證，因為他們?nèi)狈`活的身份管理來囊括兩種領(lǐng)域。云計算：提高可伸縮性的標準云計算讓人們可以便利地、隨時可得地通過網(wǎng)絡(luò)訪問一個可配置計算資源共享池——網(wǎng)絡(luò)、效勞器、存儲、應(yīng)用以及效勞，這些都可以迅速地準備和發(fā)布，只需要很少的管理工作或與效勞提供商之間的互動〔請參照此〕。它讓組織能夠在不投資新的根底設(shè)施、不培訓(xùn)新員工或購置新的軟件許可權(quán)的同時即時地增加處理能力或新增功能。云計算涵蓋任何在互聯(lián)網(wǎng)上實時擴展現(xiàn)有IT能力的所有基于訂購的效勞[1]。公開云通常是指軟件即效勞〔SaaS〕應(yīng)用，像是Salesforce.所提供的，還有根底設(shè)施即效勞〔IaaS〕，像亞馬遜網(wǎng)絡(luò)效勞〔AWS〕。私有云那么是指特定組織專有，并在自身場地部署、常隱藏在防火墻之后的應(yīng)用或者平臺。性能的可伸縮性當人們考慮可伸縮性的時候，大多數(shù)的人都會立即想到一個系統(tǒng)如何處理大規(guī)模事物、每秒的浮點操作等等。云端的一個關(guān)鍵特色是它能夠通過增減計算能力來滿足變化的需求，提供有彈性的可伸縮性。比方，當很緊急地需要大規(guī)模計算能力的時候，在AmazonElasticputeCloud〔EC2〕上可以非?？斓厣壱粋€應(yīng)用，讓它使用更大的虛擬機。把這個概念再延伸一點，采用能夠支持近乎無限規(guī)模運算的N+1的體系構(gòu)造，新的云端應(yīng)用在設(shè)計上支持線性地向外擴展。因為便于開發(fā)者的廣泛使用，也因為有著令人印象深刻的效果，云計算獲得了令人矚目的成長。比方，F(xiàn)orce.——Salesfore.的云計算平臺——現(xiàn)在每季度要處理超過一百億個事物，其中超過半數(shù)是通過它的API來完成〔請參照此〕，而Twitter那么每天處理三十億次來自API的請求[2]。而互聯(lián)網(wǎng)預(yù)計在不遠的未來仍將顯著增長：AT&T預(yù)測到2015年互聯(lián)網(wǎng)流量將增加五十倍[3]。集成和管理可伸縮性一個與規(guī)模相關(guān)的不那么引人注意的挑戰(zhàn)是關(guān)于組織能以什么樣的速度來部署、集成并長期管理一個系統(tǒng)。當系統(tǒng)導(dǎo)致摩擦時——比方說在管理任務(wù)中，這會造成系統(tǒng)可伸縮性上的障礙，對于身份管理來說尤其是這樣。如果把根底設(shè)施定義為企業(yè)內(nèi)產(chǎn)生IT能力的共通硬件、軟件以及網(wǎng)絡(luò)效勞，身份管理根底設(shè)施包括了在整個企業(yè)內(nèi)使用的目錄效勞、身份和訪問管理效勞、網(wǎng)絡(luò)代理以及驗證系統(tǒng)。今天很多企業(yè)都努力想要搭建一個能夠在云架構(gòu)下工作，并可以按云的方式優(yōu)雅地升級的身份根底設(shè)施。要能夠升級來滿足云端的架構(gòu)與成長需要，系統(tǒng)架構(gòu)師必須專注于對身份的優(yōu)化管理和整合。對許多企業(yè)來說身份管理是一個采用云的關(guān)鍵性的瓶頸。架構(gòu)師明白他們的眼光必須超越云可伸縮性的根本性能層面，還要去設(shè)計一個能夠讓身份的管理和整合也具備伸縮性的戰(zhàn)略。一種云級別的身份構(gòu)造通過不同的技術(shù)、標準和用例可以獲得跨越原本分別管理的平安領(lǐng)域的身份信息的可遷移性，讓一個領(lǐng)域的用戶可以平安地無縫訪問另一個領(lǐng)域的數(shù)據(jù)和系統(tǒng)，而不需要多余的用戶管理。借此聯(lián)邦身份就把多種元素和領(lǐng)域交織在一起，就像織布一樣。過去公司把網(wǎng)絡(luò)身份存儲在目錄和數(shù)據(jù)庫里。隨著互聯(lián)網(wǎng)的成長和云端應(yīng)用的出現(xiàn)，他們發(fā)現(xiàn)需要在傳統(tǒng)網(wǎng)絡(luò)以外來管理身份。今天網(wǎng)絡(luò)管理員必須管理企業(yè)和云端應(yīng)用的多個賬戶。這種重復(fù)勞動增加了工作量，并由于管理員必須要管理多個用戶身份和密碼導(dǎo)致了平安上的隱患。與外界伙伴與承包商的合作也要求公司向外來者開放網(wǎng)絡(luò)邊界。為了保證這么多信息資產(chǎn)與數(shù)據(jù)的平安，企業(yè)必須無縫地采用身份管理來連接到云端。要實現(xiàn)成功的云端身份管理，業(yè)者必須保證身份符合云端獨特的架構(gòu)需要，把身份看作一種會整合、抽象、擴展的構(gòu)造，把身份當作IaaS交付，就像它所支持的云平臺一樣。身份必須符合云端需求身份概念層次構(gòu)造的五個領(lǐng)域必須有所開展來實現(xiàn)云級別的身份構(gòu)造：訪問控制和授權(quán)；驗證、聯(lián)邦和單點登錄〔SSO〕；用戶XX管理和準備；審計和合規(guī)；以及云平臺架構(gòu)需求。訪問控制和授權(quán)同時管理自身場地部署的和云端部署的應(yīng)用是一個復(fù)雜的任務(wù)。在云端，沒有防火墻的保護，即使對于二進制訪問來說，也無法依靠網(wǎng)絡(luò)邊界來控制。今天很多用戶在私有網(wǎng)絡(luò)之外，通過互聯(lián)網(wǎng)來訪問SaaS，不需要通過公司網(wǎng)絡(luò)。這樣授權(quán)就必須進化成為分布式模型來支持網(wǎng)絡(luò)防火墻外的用戶。深度授權(quán)這個概念在三個層次上說明了授權(quán)策略變化中的粒度。第一個層次是粗粒度的訪問控制策略，監(jiān)管用戶對應(yīng)用或資源的訪問。第二個層次更加細粒度，在數(shù)據(jù)級別來控制訪問——往往通過URL。第三個層次是最細的粒度層次，控制對函數(shù)和視圖的訪問，有時又被稱為“賦權(quán)〞〔entitlements〕。任何可伸縮的授權(quán)模型都必須反映對應(yīng)多級別粒度或深度的需求，此需求與可伸縮性嚴密結(jié)合——粒度越高，授權(quán)事務(wù)的量就越大。另一個升級訪問控制的關(guān)鍵是對訪問分組。在大型機上最早的訪問控制方式是基于手動維護的訪問控制列表〔ACLs〕。訪問控制列表最初工作得很好，因為沒有很多人使用大型機，但隨著用戶基數(shù)的擴大，它們變得難以操作，導(dǎo)致了用戶組的出現(xiàn)。用戶組訪問控制可伸縮性很好，但還是需要手動地管理組成員。這又導(dǎo)致了使用規(guī)那么來決定成員和訪問的動態(tài)用戶組管理的出現(xiàn)。現(xiàn)在，組織使用基于角色的訪問控制〔RBAC〕取代了用戶組來反映企業(yè)的成員構(gòu)造，使用基于屬性的訪問控制〔ABAC〕來處理動態(tài)許可。在云端，這些屬性和角色成員都從操作系統(tǒng)被解耦，可以通過聯(lián)邦來分布到各個系統(tǒng)。授權(quán)可以用分布式、聯(lián)邦式的模型來解決升級問題。通過把授權(quán)過程分解成為其核心的策略元素——管理、決策與實施，有可能讓各個技術(shù)與組織領(lǐng)域組成面向授權(quán)的聯(lián)邦。策略管理點、策略決策點與策略實施點必須分布在分散的地點，特別是要橫跨整個云端。身份決策點提供身份數(shù)據(jù)以進展授權(quán)規(guī)那么評估，還可以應(yīng)用平安確認標記語言〔SAML〕斷言語句或使用現(xiàn)在的HTTP頭和未來的OAuth2.0。例如，OAuth利用代理的信托模型，到達把用戶身份數(shù)據(jù)從用戶憑證抽象出來這樣一個很好的效果，還支持授權(quán)的令牌化，不過它確實需要一個理解OAuth的賦權(quán)實施架構(gòu)。無論使用哪種技術(shù)，這些授權(quán)決策必須在很短時間內(nèi)完成才能支持巨大的流量。驗證、聯(lián)邦和單點登錄聯(lián)邦的概念在防火墻內(nèi)更為常見一些，也許最好的例子就是無所不在的微軟Windows系統(tǒng)的域模型。企業(yè)可以定義不同組織間防火墻內(nèi)信托模型，允許由本地域代理的驗證通過Kerberos獲得遠程域的信任，這樣可以把多個Windows域連接在一起，讓登錄對于終端用戶透明。更新的聯(lián)邦模型超越了私有的微軟方式，放棄了Kerberos，使用一種基于XML的開放標準SAML來在平安領(lǐng)域之間——也就是說在身份提供者和效勞提供者之間，交換驗證和授權(quán)數(shù)據(jù)，實現(xiàn)了互聯(lián)網(wǎng)上的單點登錄。對于聯(lián)邦和單點登錄來說存在的問題是，已經(jīng)過去了十來年，SAML的采用還沒有超過企業(yè)應(yīng)用的百分之十，很明顯是由于根底設(shè)施軟件的超高本錢。用戶XX管理與準備現(xiàn)在的應(yīng)用，即使是那些采用了聯(lián)邦方式的應(yīng)用，都需要一個本地賬號來做用戶身份管理。挑戰(zhàn)在于管理用戶的數(shù)據(jù)，尤其一些常規(guī)的變更像密碼重置和XX注冊等。有了對應(yīng)云端的用戶管理，每個應(yīng)用都會以不同方式管理用戶，而且通常這種管理進展在應(yīng)用的內(nèi)部；用戶管理API既不一致也不標準。理想情況下，開發(fā)者將使用在用戶XX準備領(lǐng)域與SAML類似的效勞準備標記語言〔SPML〕，但是實際上現(xiàn)在只有很少幾個SPML實現(xiàn)。沒有聯(lián)邦用戶XX準備API來實現(xiàn)本地XX的自動同步，SAML的采用就還會受到局限。另外，還缺少對SAML的個人化屬性、會話上下文或即時用戶XX準備的整合支持。由于缺少廣泛應(yīng)用的用戶目錄模式定義，很難構(gòu)建一般用途的管理工具。審計和合規(guī)在云端審計方面的一個關(guān)鍵挑戰(zhàn)是要克制SaaS應(yīng)用的用戶訪問缺乏可見性的問題。使用公開的互聯(lián)網(wǎng)而不是公司網(wǎng)絡(luò)使用戶脫離了網(wǎng)絡(luò)監(jiān)控工具的可控范圍。和多數(shù)企業(yè)網(wǎng)絡(luò)不同，云端是隨處可訪問的。然而，監(jiān)管的要求是隨著司法系統(tǒng)變化的，復(fù)雜而且時常相互矛盾。行業(yè)需要框架來對應(yīng)所有的司法需要，身份管理正處在這樣一個框架的中心，因為很多監(jiān)管都是以用戶隱私和訪問作為核心問題。云平臺的架構(gòu)需求云帶來了新的架構(gòu)和平臺，需要效勞提供者添加身份相關(guān)性。特別是，很多云效勞提供者通過像是KVM或其他來自與VMware或Xen的一些托管的管理程序來提供存儲或數(shù)據(jù)庫效勞，但這些IaaS現(xiàn)在還不能把身份和訪問管理也作為效勞來提供。雖然有著很高的使用率，但虛擬化平臺無法消化使用前云計算時代網(wǎng)絡(luò)效勞器插件和代理的網(wǎng)絡(luò)訪問管理〔WAM〕帶來的固定本錢。WAM和插件之間的緊耦合已經(jīng)被證明很脆弱，而虛擬云平臺的“爆炸性的〞、高彈性的性質(zhì)使插件模型失去了可行性。行業(yè)需要一個基于代理的方法，不會加重虛擬化網(wǎng)絡(luò)和應(yīng)用效勞器的負擔。對于SaaS應(yīng)用的情形來說，整合身份管理這個工作包括實施訪問控制和支持審計兩方面內(nèi)容。這是個挑戰(zhàn)，而這挑戰(zhàn)來自多租戶模型，以及底層根底設(shè)施由SaaS提供者擁有并運行這樣一個事實。這個事實使得為每個應(yīng)用實例安裝專用代理或插件變得不可能。而且，對于多數(shù)SaaS應(yīng)用，收集審計日志是有問題的，因為往往它們和其他租戶的數(shù)據(jù)是混雜在一起的。在某些情形下，審計的細節(jié)不夠解答關(guān)鍵取證問題。需要一個松耦合的、非侵略性的身份管理平臺來從SaaS應(yīng)用本身上游施行策略。身份必須整合、擴展并抽象兩個云級別身份構(gòu)造的核心分別是單對多的集成模型，和通過網(wǎng)絡(luò)效應(yīng)來獲得利益的延伸。另外還有對通過外化和全局采用開放標準來抽象身份的需要。身份集成要集成身份根底設(shè)施和應(yīng)用就需要進化成為一種中樞輻射模型。現(xiàn)在每個應(yīng)用都要求一個不同的用戶XX，可是在單對單的根底上建立聯(lián)邦身份連接沒有可伸縮性。唯一獲得可伸縮性的方法是變換成單對多模型，在每個應(yīng)用里保存多個用戶身份。這個問題可以在數(shù)學(xué)上進展分解，如圖1a所示，一個用戶在應(yīng)用中使用單獨憑證的單對單模型可以被表示成憑證數(shù)量=〔用戶數(shù)量×應(yīng)用數(shù)量〕。一個組織的應(yīng)用的集成可以表示為數(shù)量=〔公司×集成應(yīng)用的數(shù)量〕。在圖中，這些等式以線性增長，意味著對每一個建立的新連接或部署的應(yīng)用，都在憑證數(shù)量或所需集成工作量上有一個對應(yīng)的增長，同時增加用戶和應(yīng)用數(shù)量那么導(dǎo)致指數(shù)增長。圖1.集成身份根底設(shè)施和應(yīng)用需要改變〔a〕單對單模型，其中憑證數(shù)量=〔用戶數(shù)量×應(yīng)用數(shù)量〕，而采用〔b〕單對多模型，其中憑證數(shù)量=〔用戶數(shù)量+應(yīng)用數(shù)量〕。比方說，設(shè)想有一個企業(yè)，擁有一萬名用戶〔包括顧客、雇員和合作伙伴〕，他們會訪問十五個應(yīng)用。在單對單模型下，需要十五萬個用戶憑證〔密碼〕。每年通過呼叫幫助中心重置一次密碼就會產(chǎn)生到四百五十萬美元的年管理費用。假設(shè)十五個應(yīng)用的軟件許可證、部署、集成以及維護的費用都一樣，為五萬美元每連接，集成費用就是七十五萬美元。雖然單對單模型可能在小規(guī)模下能夠正常工作，但它是不可持續(xù)的。多數(shù)從單對單架構(gòu)起步的復(fù)雜系統(tǒng)都變成了更具伸縮性的單對多模型。比方股票市場的交易中心和結(jié)算中心，它們都需要使用中樞輻射模型連接幾百萬用戶和事務(wù)；同樣的，像Expedia這樣的旅游預(yù)訂系統(tǒng)也提供了單對多模型來連接旅行者和很多航線。要在聯(lián)邦身份構(gòu)造下升級連接的數(shù)量并控制憑證的增長，云效勞提供者必須也遷移到單對多模型。他們不應(yīng)該在云端為了單點登錄和訪問直接集成應(yīng)用，這樣會制造多余的XX和憑證，而應(yīng)該使用預(yù)先集成到假設(shè)干應(yīng)用的構(gòu)造來組成聯(lián)邦。如圖1b所示，從一個單對多模型可以得出憑證數(shù)量=〔用戶數(shù)量+應(yīng)用數(shù)量〕以及連接數(shù)量=〔公司+集成應(yīng)用數(shù)量〕。把這兩個公式應(yīng)用到前面有一萬個用戶的例子的話，產(chǎn)生一萬個憑證，與單對單模型相比減少了百分之九十三。這樣每年的管理本錢就只有31，500美元，由于組織只需要一個到身份構(gòu)造的連接，年度集成費用就只要五萬美元。除了本錢上的節(jié)約，減少百分之九十以上的憑證數(shù)量還帶來實際的平安和降低威脅的好處。另外，遷移到中樞輻射架構(gòu)減少了可能出錯的組件的數(shù)量，也提高了可靠性。身份網(wǎng)絡(luò)效應(yīng)網(wǎng)絡(luò)的價值會隨著更多人的使用而上升，本身也會隨之擴展邊界。這種正網(wǎng)絡(luò)效應(yīng)的經(jīng)典例子就是：越多人有，對每個擁有者的價值就越大。隨著越來越多的用戶和應(yīng)用集成到身份網(wǎng)絡(luò)，這些益處延伸到其他網(wǎng)絡(luò)成員，僅僅是因為他們連接在這個網(wǎng)絡(luò)上。這之所以成為可能是因為身份構(gòu)造起到身份集成中介的作用，在網(wǎng)絡(luò)中被平安地共享。隨著身份構(gòu)造的升級，整個云端都獲得了好處。網(wǎng)絡(luò)效應(yīng)的例子在云端隨處可見。來看看蘋果的iTunes。當蘋果公司把應(yīng)用商店引入iTunes的時候，幾百萬用戶已經(jīng)習慣于在iTunes上購置音樂，他們能夠快捷地為任意一部iPhone、iPod或iPad從網(wǎng)絡(luò)上獲取應(yīng)用。自從2008年7月面世以來，顧客們已經(jīng)從應(yīng)用商店下載了超過七十億應(yīng)用〔請參照此〕，為蘋果帶來的巨大的收入。而且，絕大多數(shù)的采購是自助式的，沒有IT的參與，是開發(fā)者而非蘋果公司開發(fā)應(yīng)用。類似的，網(wǎng)絡(luò)效應(yīng)也使云身份受益匪淺。當供給商通過聯(lián)邦式單點登錄和用戶準備往構(gòu)造里添加新的SaaS應(yīng)用時，任何網(wǎng)絡(luò)成員都可以不需花費額外力氣地利用這個集成的成果，這都是歸功于單對多的方式。通過自助能力把集成工作分散，身份構(gòu)造的價值獲得了指數(shù)級的上升，因為在身份構(gòu)造和應(yīng)用間可以建立更多的連接。另一個網(wǎng)絡(luò)效應(yīng)為身份管理帶來正面影響的例子是Google在Google應(yīng)用里實施的強雙重認證。2010年9月，Google把一次性的驗證碼用移動〔通過短信〕發(fā)送給用戶，作為他們的密碼之外的又一層認證因素，讓企業(yè)能夠保護自己的XX。這是對平安的一大改善，目的是減少釣魚攻擊和其他密碼軟肋，但從其本身來說，它只是讓Google應(yīng)用的用戶受惠。可是當與其他身份構(gòu)造結(jié)合時，強認證的益處就擴大到整個網(wǎng)絡(luò)。特別是如果用戶對身份構(gòu)造的認證是源自Google，經(jīng)過雙重認證的考驗，那么這個可信會話就會被網(wǎng)絡(luò)上其他聯(lián)邦內(nèi)應(yīng)用成認，甚至包括那些并不需要如此強認證的應(yīng)用。通過身份構(gòu)造的聯(lián)邦化，整合和利用Google的強認證能力，云效勞提供者為自己節(jié)省了部署和管理強認證根底設(shè)施的本錢和工作量。抽象實現(xiàn)一個云級別的身份構(gòu)造需要把身份抽象成為身份效勞。應(yīng)用開發(fā)者在歷史上都是把身份塞進應(yīng)用本身，維護一個本地用戶庫來執(zhí)行認證。這導(dǎo)致了冗余和常常陳舊的數(shù)據(jù)、密碼的增加和更大的幫助中心開銷。在過去十年間，應(yīng)用從利用基于輕量級訪問協(xié)議〔LDAP〕集中認證用戶的外部目錄開場，開場外化身份管理。這對于身份管理的可伸縮性來說是重要的一步，不過還要做的更多——LDAP密碼認證還不夠。企業(yè)必須能夠使用一種以上的認證，具體要看和應(yīng)用相關(guān)的威脅的級別。外化身份管理。把公開云或私有云里的Web應(yīng)用所有的關(guān)鍵身份功能外化，開發(fā)者可以集中精力來改良應(yīng)用，企業(yè)也可以更有效率管理多個應(yīng)用的身份：訪問控制可以外化給網(wǎng)絡(luò)代理，不用再在本地應(yīng)用里執(zhí)行。聯(lián)邦和驗證可以從Web應(yīng)用外化給網(wǎng)絡(luò)效勞器或代理，這樣應(yīng)用從驗證效勞獲得一個通過驗證的用戶ID，通常是通過HTTP頭。用代理來集中記錄活動，用聚合工具來報告活動，審計也可以被外化。利用像LDAP這樣的外部用戶目錄，而不是內(nèi)部用戶數(shù)據(jù)庫，可以外化用戶管理。也可以把用戶管理API暴露給外部管理系統(tǒng)，最好是使用標準接口，如SPML。還有，用共通定義的目錄或用戶定義模式可以幫助外部身份管理。對于新的在云端設(shè)計的應(yīng)用，授權(quán)和賦權(quán)可以用新型的基于主X的模型來做外化，這里聯(lián)邦內(nèi)的伙伴會在HTTP頭里提供用戶或事物屬性，或是授權(quán)的令牌。標準。在外化身份時挑戰(zhàn)在于現(xiàn)有的應(yīng)用要修改到一個什么樣的程度，這些變更要不要影響到它的行為。改變的代價很大，許多開發(fā)者發(fā)現(xiàn)很難得到支持去把改善“排水工程〞的工作的優(yōu)先級放到顧客愿意花錢去買的功能和改良之前。這就突出了標準的需求，有了標準就可以讓開發(fā)者更容易外化身份，這樣他們就可以一次性對應(yīng)很多種身份管理技術(shù)。要理解為什么標準是已經(jīng)充分證明的獲得廣泛應(yīng)用的方式，我們只需要看看HTML、IP和SSL是怎么占領(lǐng)互聯(lián)網(wǎng)的。身份管理對于標準并不陌生，從LDAP、x509和HTTP認證可以得到證明?，F(xiàn)存的云端身份標準得到了很好的設(shè)計，有著可靠的實現(xiàn)，包括聯(lián)邦單點登錄的SAML，聯(lián)邦XX管理和準備的SPML，以及聯(lián)邦授權(quán)和訪問控制的XACML〔可擴展訪問控制標記語言〕上述這些以及其他云級別的身份標準所存在的問題與優(yōu)先級定位和采用有關(guān)。設(shè)想你買了臺電腦，附帶一個插頭，可是你只能用在百分之五到十的插座上——而這就是SAML現(xiàn)在的采用率，SPML和XACML那么落后的更多。要做到值得依賴，標準還需要更廣泛的采用。要求聯(lián)邦SAML單點登錄的用戶要比要求新功能或某個特別應(yīng)用的移動版本的用戶來的少。此外，收回實現(xiàn)SAML聯(lián)邦軟件的本錢很困難，而這本錢往往能超過十萬美元。這樣看來在改善身份根底設(shè)施上進展不佳也情有可原。要解決標準采用率問題有兩點要注意：第一點，要利用開源工具如Fedlet來降低實現(xiàn)標準的本錢；第二點，利用身份構(gòu)造來以一種較容易消費的方式來提供這些身份效勞，讓工作量和本錢盡可能低。身份根底設(shè)施即效勞根據(jù)NicholasCarr的關(guān)于IT進化成公用事業(yè)[4]的分析，類似于根底設(shè)施的電力供給是以一個獨有的模式興起的：只有具有大量資本的組織才負擔的起建造和運維自己的水輪機〔后來那么代之以發(fā)電機〕的投入。這個根底設(shè)施漸漸地集中成為一個公共事業(yè)——發(fā)電廠或公司，可能是出于像經(jīng)濟力量和XX化進程的影響。最終，分布標準和發(fā)送網(wǎng)絡(luò)的建立導(dǎo)致了對公共事業(yè)的廣泛采用，到達了規(guī)模經(jīng)濟效益、本錢降低和增加新產(chǎn)能的效果。云端身份管理也必須進化到標準化、可以被很多應(yīng)用和用戶訪問的階段。為什么它必須以與傳統(tǒng)單租戶、防火墻后身份管理軟件不同的方式來開發(fā)呢？沒有人成功地把云端的構(gòu)造和模型納入到舊有軟件過，這些舊軟件是基于一套完全不同的假設(shè)開發(fā)的。要在云的時代取得成功，組織和制造商必須要從根本上重新思考他們管理、提交和消費身份的方式。身份根底設(shè)施即效勞這個概念來自于兩個大的潮流：其一是IT從一項關(guān)鍵根底設(shè)施演變成一項效勞，其二為IT的消費品化。身份即效勞與其在開發(fā)或使用一個應(yīng)用時投資很多去做身份管理，組織還不如利用一項效勞來滿足自己的身份管理需求。身份即效勞提出了一個隨需的模型，在適當時機提供適量的能力。公司不需要更多考慮實現(xiàn)身份管理的技術(shù)，可以更關(guān)注效勞等級協(xié)議和效勞管理，而不是根底設(shè)施。這意味著身份管理方式從被公司所擁有變成被效勞提供者擁有且運行。需要投入資本來使用云效勞的身份管理解決方案和這種轉(zhuǎn)換無關(guān)。如果每個人都要買一個蜂窩發(fā)射臺才能使用移動的話，那還有多少人能用得起移動呢？移動現(xiàn)在應(yīng)用得這么廣泛是因為用戶不需要購置任何根底設(shè)施就可以使用網(wǎng)絡(luò)。他們只需要為效勞付租費，就可以訪問到整個共享的蜂窩根底設(shè)施?？紤]一下互聯(lián)網(wǎng)域名系統(tǒng)〔DNS〕骨干網(wǎng)的例子。大型的DNS效勞透明且可靠地提供效勞，提供者實際上是怎么運行域名效勞的沒有關(guān)系，重要的是域名效勞隨時可得而且正確工作。身份效勞也必須能夠像DNS效勞那樣透明可靠地工作。消費品化我們每個人每天都在生活中使用復(fù)雜的面向消費者的網(wǎng)絡(luò)應(yīng)用。比方，幾百萬用戶訪問亞馬遜來搜尋和購置物品；上億人連接到Facebook；iTunes有成百萬首歌曲、成千電視節(jié)目、電影、podcast和有聲書以供下載。我們在這樣的上的體驗讓我們期待企業(yè)系統(tǒng)也做到如此簡單、不用費力而且可靠。此外，我們都喜歡“免費又超值〞的模式，讓我們可以無需承諾和投資就試用效勞。我們還喜歡自己嘗試。我們通常希望不用IT人員的幫助、只要很少的配置工作就可以使用應(yīng)用，我們還從民間購置科技產(chǎn)品如智能手機和筆記本，而不是集中地從公司購置。任何人都可以用信用卡和用來買書或其他東西所用的同一個亞馬遜XX租來一個開發(fā)環(huán)境，同樣情況也適用于身份管理——專業(yè)人士和個人使用者間的界限變得模糊。比方說，你為了工作使用twitter或Facebook的時候，你是一個員工還是一個消費者？這兩者時常很難去區(qū)分。云效勞提供者能夠給他們的客戶更好的身份解決方案，讓他們利用專業(yè)經(jīng)歷，而不用自己來開發(fā)。他們必須從一開場就在每一個設(shè)計決策中考慮可伸縮性的問題。可惜可伸縮性往往只是在系統(tǒng)過載后才被想起。開發(fā)者在開發(fā)應(yīng)用的時候會設(shè)定對性能的預(yù)期，當滿足預(yù)期的時候，就會認為具有可伸縮性。但是當預(yù)期變化的時候問題就來了，比方有的時候產(chǎn)品出乎意外的像病毒發(fā)作一樣的爆發(fā)性地成功，又比方把應(yīng)用效勞器移植到云端。用托管管理程序來把計算能力從應(yīng)用中抽象出來是一個向上升級的簡單方法，但是多數(shù)應(yīng)用并不是采用了能夠直接利用云端所具有的N+1升級能力的架構(gòu)。穩(wěn)固了身份根底設(shè)施，效勞提供者可以獲得規(guī)模經(jīng)濟效果。就像使用固態(tài)硬盤，需要移動的局部減少了，結(jié)果運行時間和可靠性都得到了改善。每個身份集成點都是一個壓力點，而每份憑證都都擴大了攻擊的受面和潛在幫助中心本錢。展望許多大規(guī)模身份生態(tài)系統(tǒng)都有著爆發(fā)的潛力來加速云端身份的變遷。2010年3月發(fā)布的Google應(yīng)用在頭一個月就獲得了超過兩千七百萬用戶[5]；顯然，現(xiàn)在的數(shù)量應(yīng)該會高得多。其他的例子還有twitter，有一億六百萬注冊用戶，每天新增三十萬用戶[6]，還有Google的Gmail，號稱擁有一億七千萬每月都會訪問的用戶[7]。Facebook經(jīng)歷了大流行，擁有超過五億五千萬用戶——比美國、加拿大、英國和意大利的人口總和還要多[8]。由于Facebook平臺和用戶社區(qū)的封閉性，這樣龐大數(shù)量的用戶可以作為整體與身份構(gòu)造結(jié)合。當Facebook在2009年引入了OpenID身份共享的支持的時候，上億人一下子就擁有了OpenID憑證。當之前一年Google決定支持OpenID時，它一夜間就為這個市場帶來了一億用戶。云端身份隱含的結(jié)果就是，已經(jīng)被證明能夠擴展到上億規(guī)模的消費者驗證模型將成為身份構(gòu)造的一局部，賦予其關(guān)鍵的數(shù)量和規(guī)模。這些例子清楚地說明企業(yè)和云端的身份訪問架構(gòu)不但有用而且必要。云的增長可以與一個大規(guī)模地建造住宅，卻不去建造支持交通客流量的道路根底設(shè)施的城市相比。在云時代網(wǎng)絡(luò)管理員必須要管理大量用戶身份并保障他們的平安，但在身份管理的方面云的開展并沒能跟上步伐。要落實云端的益處，企業(yè)必須獲得能夠克制前云時代身份架構(gòu)局限的身份根底設(shè)施。這意味著要使用身份構(gòu)造來連接許多應(yīng)用到一個身份。身份的滋生要求一個更好的身份管理方案，不只是減少IT管理員花在管理身份上的工時，還要解決平安和隱私隱患。能夠提供企業(yè)和云端平安連接，且減少身份數(shù)量的身份構(gòu)造是加速云端全局采用的明確答案。作為根底設(shè)施效勞發(fā)布的隨需即得的基于云端的身份管理極大地惠及用戶、網(wǎng)絡(luò)管理員、應(yīng)用軟件商和效勞提供者。云雖然已經(jīng)是無所不在的技術(shù)，還是要讓身份管理構(gòu)造做到無所不在，因為云本身的增長和承受度也有賴于此。關(guān)于作者EricOlden是科羅拉多州Boulder的一家云端平安供給商Symplified的創(chuàng)立人、CEO以及主席。他的公司正在開發(fā)一個隨需信托構(gòu)造來幫助保障和促進云的采用。Olden從加州大學(xué)伯克利分校畢業(yè)。要聯(lián)絡(luò)他可以發(fā)到eoldensymplified.。puter,IEEE計算機學(xué)會的旗艦出版物，出版受到同行高度評價的、由專業(yè)人士撰寫、寫給專業(yè)人士的文章，反映了從硬件到軟件、從最新研究到新的應(yīng)用的計算技術(shù)的全景。比商貿(mào)雜志奉獻更多技術(shù)內(nèi)容，比研究學(xué)刊提供更多實用思想。puter奉獻可用于日常工作環(huán)境的有益信息。[1]

E.KnorrandG.Gruman,“WhatCloudputingReallyMeans,〞InfoWorld,7Apr.2008;

HYPERLINK".in