為了保持云計算所帶來的競爭優(yōu)勢，IT部門必須把大部分的精力投入到保證系統(tǒng)正常運行及其穩(wěn)定性上。為了實現(xiàn)這一目標，他們必須檢查內(nèi)部選項或一種以服務(wù)為導(dǎo)向的架構(gòu)部署。同時，許多企業(yè)還必須擔(dān)心客戶與應(yīng)用的門戶、安全性以及可訪問性。這就是身份聯(lián)合技術(shù)發(fā)揮作用之所在了。

　　在一個相當新的時期內(nèi)，身份聯(lián)合被視作技術(shù)效率與業(yè)務(wù)能力之間保持和諧關(guān)系的一個關(guān)鍵。在許多方面，身份聯(lián)合技術(shù)是實施云計算化的首要步驟之一。

　　聯(lián)合身份（identity-federation）

　　即使在一個LAN上，身份和密碼管理都是一個噩夢?，F(xiàn)在，讓我們想象一下把這個噩夢延續(xù)至云計算的世界中。在IT世界中，聯(lián)合身份意味著將一個人的電子身份、屬性以及個人信息進行打包，然后將其存儲在多個身份管理系統(tǒng)中。例如，單點登陸（SSO）就是一個聯(lián)合身份技術(shù)的實際應(yīng)用，因為它在云中的整個IT系統(tǒng)、組織及不同應(yīng)用中使用用戶的身份驗證。

　　大多數(shù)的組織還沒有完全實施全面的云計算。但是，他們一直在實施混合云架構(gòu)。這些混合云需要身份聯(lián)合，以便于在內(nèi)部與外部服務(wù)之間提供SSO和基于角色的訪問控制。

　　在市場上，已經(jīng)逐漸出現(xiàn)了一些云計算集成聯(lián)合產(chǎn)品，如Ping Identity和Layer7。那么這些廠商是如何將身份聯(lián)合作為服務(wù)來提供給用戶的呢？很簡單，他們期望擴展你現(xiàn)有的基礎(chǔ)設(shè)施，并在云中建立其鏡像。

　　例如，Ping Identity擁有著PingFederate服務(wù)，該服務(wù)可允許將Active Directory擴展至云。反之，這也使組織能夠在他們的網(wǎng)絡(luò)中和云中控制用戶管理、策略和訪問方法。使用標準的身份協(xié)議，PingFederate允許多種角色（如雇員、消費者、客戶或合作伙伴）使用單一的用戶名和密碼訪問多個云資源。現(xiàn)在，用戶可以使用他們最初的登陸信息訪問諸如Saleforce.com這樣的網(wǎng)站了。

　　為了實現(xiàn)多個身份域中客戶應(yīng)用與網(wǎng)絡(luò)服務(wù)之間的通信，客戶應(yīng)用和網(wǎng)絡(luò)服務(wù)都必須能夠建立相互信任的機制并交換身份信息。為了實現(xiàn)這一目標，Layer 7科技正致力于解決身份聯(lián)合與安全性問題。 Layer 7是目前唯一一家為公司客戶提供管理網(wǎng)絡(luò)服務(wù)聯(lián)合的系統(tǒng)的XML安全供應(yīng)商，其涉及范圍包括客戶應(yīng)用和網(wǎng)絡(luò)服務(wù)且無需任何額外的編程工作，它還提供了一個內(nèi)置的、基于SAML的安全令牌服務(wù)。

　　使用身份聯(lián)合，解決云計算難題

　　雖然眾多的企業(yè)可能已了解何為身份聯(lián)合，但是仍有一些企業(yè)認為身份聯(lián)合很難適用于他們的現(xiàn)有環(huán)境。當進一步了解身份聯(lián)合時，我們就會發(fā)現(xiàn)它只不過是一個跨多個身份管理系統(tǒng)存儲用戶信息的虛擬集合。身份聯(lián)合的最終目的在于使一個域的用戶能夠更為安全、簡便地訪問另一個域中的數(shù)據(jù)或系統(tǒng)，且無須多余的用戶管理。這一目標要求所有涉及的系統(tǒng)使用相同的協(xié)議，以實現(xiàn)最大的互操作性。

　　讓我們來看看身份聯(lián)合發(fā)揮作用的四種場景吧：

　　1.創(chuàng)建多個遠程站點之間的伙伴關(guān)系：身份聯(lián)合中最簡單的表格也檢驗了企業(yè)允許在WAN上實施SSO而無需多余服務(wù)器硬件和相關(guān)位置信息的能力。這意味著公司能夠在遠程擁有兩個（或更多）簡單設(shè)備，從而實現(xiàn)遠程節(jié)點SSO功能。

　　2.在外部應(yīng)用中的身份聯(lián)合：使用專為跨云聯(lián)合而設(shè)計的硬件設(shè)施，公司能夠使用諸如IBM公司W(wǎng)ebsphere Application Servers這樣的產(chǎn)品，以確保他們的應(yīng)用程序在WAN上的安全性。然后，SSO就能夠在這些外部應(yīng)用中生效，從而實現(xiàn)更大的使用便利和更佳的最終用戶體驗。

　　3.公共云中的身份聯(lián)合：使用公共云中的身份聯(lián)合，IT經(jīng)理就可以開始評判平臺即服務(wù)（PaaS）了。這就可以使最終用戶訪問遠程門戶，并為IT管理人員提供對PaaS身份驗證和其他安全協(xié)議的完全控制。例如，一個用戶可用登陸到一個企業(yè)的設(shè)備，并即刻能夠訪問他們的Gmail帳戶、查看他們的完整日歷信息以及其他功能，而無需輸入多個身份憑證。

　　4.與軟件即服務(wù)（SaaS）進行集成：身份聯(lián)合最為常見的集成就是與SaaS平臺的集成。通過擴展Active Directory，用戶可以使用Salesforce的門戶和業(yè)務(wù)應(yīng)用而無需輸入其他額外的身份憑證。

　　當管理身份時，了解IT管理人員所面臨的復(fù)雜挑戰(zhàn)是非常重要的。隨著虛擬化、SaaS架構(gòu)和云計算等技術(shù)的指數(shù)型增長，如果工程師們希望解決安全性難題并為他們的最終用戶提供一個更為無縫的使用體驗，他們將不得不使用新的技術(shù)。