联合身份管理真相

申请免费试用、咨询电话：400-8352-114

随着基于Web的应用不断增多，身份管理开始逐渐得到用户的重视。这种建立在Web上的单次登录方式正给用户带来极大的便利，同时它还带来了意想不到的安全助益以及潜在缺点。那么，用户该如何对企业员工及其业务合作伙伴实现身份管理，通过简化了的登录方式，带来最大的商业价值？该如何进行具体部署，逐步推进身份管理的应用？为此，本栏目特组织身份管理专题，针对相关问题进行解答。

Aramark是一家年产值110亿美元的食品服务公司，它似乎是率先使用联合身份管理的公司——让业务合作伙伴可以自动访问自己的应用系统，且不需要多道口令。

Aramark有合适的客户：每年有大笔预算的大学和《财富》500强公司。它也有合适的电子商务经营模式：每周来自425个地方250家公司的员工登录、使用Aramark的基于Web的专有软件MyAssistant.com，他们可以订购从三明治、巧克力饼、会议室到麦克风的一切东西。今年，Aramark应一个客户的要求，开始让该客户的4500名员工只需登录到该公司的网络上，就可以登录到MyAssistant.com。

那么，为什么Aramark的其他业务合作伙伴还没有加入进来呢？事实证明，因业务和安全需求有必要使用联合安全管理的Aramark也清楚地知道，很少有公司准备好与业务合作伙伴达成这样的密切关系，并采用如此大胆的安全措施。

从积极方面来看，Aramark的IT副总裁Steve Erickson提到Aramark实施该技术时说：“这把安全义务从我们转移到了客户身上，因为客户知道其员工什么时候离开组织。这从本质上也使我们的应用更安全了。”

尽管联合身份管理具有种种潜在的好处，但也许永远也无法在少数几个特定应用领域以外流行起来。的确，公司在匆忙实施联合身份管理项目之前谨小慎微是明智之举。历史上不乏这样的先例，原本有望引起革命的通信方法因采用者寥寥而失败：传真电报、1964年世界博览会上的可视电话和卫星电话等。现在，我们根本不能肯定联合身份管理是否会达到这样的数量：足够多的人拥有它，以至于让人人都想拥有它。

Chris Gervais是评估这项技术的波士顿Partners HealthCare的高级研究分析师，他说：“显然，要是我们分析一下业务需求，联合身份管理技术会提供价值，但那样我们得找到与之联合的其他人。这跟早期电话存在的问题一样，你有电话并不重要，重要的是你想与之通话的对方也有电话。”

联合的实质

联合身份管理本身并不是安全项目，但因为联合身份管理与访问有关，所以给安全负责人带来了大好机会。咨询公司Ponica的创办人、百事可乐公司前任CISO Bryan Palma说：“这是一项支持技术，而不是防火墙之类的预防技术。”因为身份管理主要是让“好人”进入访问，而不是把“坏人”挡在外面， Palma说。“CISO可通过它为企业带来正面影响。”首席安全官（CSO）在分析随之而来的难题时，应牢记这种回报。

联合身份管理需要一系列复杂的技术和业务流程，但目的很简单：跨越管理边界，自动共享身份信息。这些边界可能在服务提供者和客户之间，Aramark属于这种情况。一个典型案例是美国运通公司，它的企业客户允许员工不需要另外登录，即可访问出差和费用管理服务。

边界也可能在制造商和客户之间。譬如说，波音公司就与航空公司客户合作或者“联合”，西北航空公司的机修工可以无缝访问保存在波音公司服务器上的最新维修手册。

第三种边界在公司和外包商之间。这种联合的一个早期例子就是辛辛那提的Fifth Third Bank。该银行已决定外包部分人力资源职能，但仍希望员工易于访问福利信息。

最后，联合甚至可以把组织内部连接起来。得克萨斯大学正在实行庞大的联合身份管理项目，将把所有边远校园的行政职能连接起来。

从最终用户的角度来看，这一切意味着基于Web的单次登录，用户不必向另一个计算机网络自报家门。在企业的帮助下，计算机可以把他介绍给另一个计算机网络，只要共享采用约定格式的一组证书，验证就会自动进行。

在幕后，通常实现这一切的标准名为安全声明标记语言（SAML），这种XML协议可用来共享有关某人身份、允许哪些操作的信息。含有这种身份信息的SAML“令牌”在属于联合系统的不同网络上的计算机之间来回传送：一方充当“声明方”，负责发送令牌；另一方充当“依赖方”，负责接收令牌。

Fifth Third Bank的首席技术架构师Jeff Anderson说：“这让人觉得好像一方是控制方，另一方是被控制方，但这只是个术语而已。”这家银行已经部署了三个联合身份管理系统，并且正准备再部署11个系统。“声明方”可以是任何一方，甚至是第三方，双方必须同意允许访问，任何一方都可以随时取消访问权。Anderson说，重要的是，“声明方”的系统既要可信，又要安全。在理想及标准化的环境下，整个信任圈轻而易举就能以这种方式相互联系。

标准问题

联合身份管理方案不止一两种。SAML是由结构化信息标准促进组织（OASIS）制订的，这个非营利性组织得到了EDS、IBM和Sun等重量级IT厂商的资助，旨在推动及促进Web服务。

最初，OASIS在联合身份管理方面的工作与另一家行业组织——自由联盟（Liberty Alliance）开展的工作一样。自由联盟由同样这些IT厂商，以及包括通用汽车和富达在内的非技术公司创办而成，目的在于形成联合身份管理方面的最佳实践，它实际上使用了OASIS已确定的SAML令牌。

用Gartner公司副总裁Ray Wagner的话来说，自由联盟和OASIS两个组织所从事工作之间的区别好比是购买电影票和进入电影院之间的区别。“SAML就是那张电影票，自由联盟就是你朝检票人员走过去、出示进入电影院的门票。”

好消息是，去年自由联盟把大量工作移交给了OASIS，如今最新版本的SAML（2.0）采用了这些令牌处理协议。

同时，微软及IBM已制订了一项不同的专有规范，名为WS-Federation。WS-Federation让客户可以使用名为微软活动目录联合服务的产品，把安装的活动目录与其他活动目录连接起来。该系统可以读取SAML令牌以及其他类型的身份信息，不过处理令牌的方式并不相同。

虽然微软向OASIS提交了一系列规范以便开放使用，但到目前为止，它还没有发布WS-Federation。据微软公司发言人声称，眼下也没有这样做的计划。与此同时，许多组织因许可问题而不愿实施基于WS-Federation的项目，而是转向SAML/Liberty。

Wagner说：“安装的各大系统都使用SAML令牌和自由联盟的协议，这些人没有在空等微软。”

实际上，许多人说联合身份管理就是SAML。纽约市麦格劳—希尔出版公司的副总裁兼CSO Dennis Brixius说：“如果你谈论一种真正的联合，它其实是指SAML。WS-Federation也许与SAML一样好，但采用它的厂商并不多。”

这可以归结为，如果我选择A，但你选择了B，那就无法联系。最后我们会有两个标准吗？绝对如此，但有两个标准只会加大业务经营成本。

眼下，成本来自可以使用这两种协议的工具。联合工具厂商正在把结合WS-Federation和SAML/Liberty两种协议的功能加入到产品中，其中就有RSA、拥有Tivoli产品线的IBM、Ping Identity，以及收购了Trustgenix的惠普。然后，客户要把这些产品与身份管理基础设施或者想要允许用户访问的任何应用程序集成起来。

从安全角度来看，公司应当走哪条路线不但取决于操作环境，还取决于选择开放源代码方案还是选择专有方案。采用任何一种规范的组织越多，将来它就越会吸引黑客寻找漏洞。

迄今为止，咨询公司ICSynergy已开展了大约九个联合身份管理项目。创办人兼CTO Martin Gee说：“开放源代码的支持者说，通过把一切公开，每个人都可以不断提高安全。另一些人却坚持认为，如果开放，每个人都知道如何侵入。”

简化但不简单

不管贵公司想选择哪种实施方案，联合身份管理可以立即带来极为明显的安全好处：简化口令管理。如今用户抱怨口令太多，联合身份管理可以大大缓解这种压力。

得克萨斯大学的副校长兼CIO Clair Goldsmith通过把自己的75个口令保存到硬盘上的加密区域来跟踪这些口令。Goldsmith说：“我知道，我们根本无法实现单次登录——我没有乱说。”这所学校实施大规模的联合身份管理计划已有两年，但他也知道，减少登录次数不失为让大家接受项目的好方法。

这正是这所大学最初部署Shibboleth（大学组织推行的一种SAML）的原因，旨在让管理得克萨斯大学15个边远校园的行政人员可以轻松访问奥斯汀总部的无线网络。

Goldsmith说：“以前，他们只能前往行政办公室，设法用笔记本电脑登录到网络上，却上不了。然后，他们回到自己的办公室，抱怨前一天他们去了行政大楼，却无法访问网络。”

如今，员工们打开笔记本电脑后，“会出现一个本地网页，显示‘请选择所在院校’，可以选择任何一个院校，然后被引到该院校，即可登录上去。然后，系统会传回我们能识别的一部分特定数据即SAML令牌，我们就允许员工访问系统。”

这简化了最终用户和技术支持人员的工作，不过Goldsmith觉得这也提高了网络安全性：个人受到了所在院校的审查，所以Goldsmith的人员不必跟踪谁可以访问大学资源。系统并没有加强验证机制——它只是解决了一个问题。Goldsmith说：“联合身份管理无疑比开放式无线网络来得安全。”

这一切为我们带来了联合身份管理的第二个明显的好处：简化了用户配置。管理身份最棘手的一个方面就是跟踪哪些用户离开了公司或者换了工作。即便是在一家公司里面，这项工作也很难。想设法跨公司边界进行跟踪简直是不可能的，身份联合管理再次解决了这个问题。自由联盟管理委员会主席George Goodman提到自由联盟力图解决的安全问题时说：“往往出现这一幕，A公司制作的磁带上附有用户名和口令，然后把磁带送到B公司。我们多次听到这样的说法，‘过去我们就是这么做的。’”如今，许多公司可以就哪些身份信息需要从一家组织传到另一家组织达成共识，并通过安全通道（HTTPS）来传送。

Goodman说：“这不用交换不必要的信息，从而提高了安全性。”此外，这也简化了审查谁可以访问什么资源的问题，因为所有这些信息都集中放在一个地方。

当然，单次登录实际上也给了想方设法破坏网络安全的人更大的支配权。考虑到内部攻击，这不是一个小问题。CSO们需要在安全方面作一权衡：联合身份管理解决的问题是不是比它带来的问题来得严重？

更重要的是，联合身份管理的核心是关系，这需要权衡风险。顾问Gee说：“你要假定，你可以承受与第三方建立这种关系带来的风险。从某种意义上来说，这在安全方面可能没有好处，但你建立的业务关系对贵公司来说大有意义。”

建立信任而不是组建技术往往是实施任何项目最困难的一部分。即便是在一所大学里面，Goldsmith也发现这是个难题。他说：“所有院校都有自己的特性，而现在我们试图让这些院校信任对方。随着我们不断前行，这将是惟一可行的办法。”

寻找商业理由

今年8月，Milliman Benefit资源中心的负责人兼主任Craig Burma正在给一个新的联合项目作最后改进。Burma说，他清晰地记得项目动工的那天，Milliman的一个大客户（一家顶尖经纪行）要求他为这家经纪行的客户提供无缝访问Milliman的养老金服务的便利。

那家经纪行打电话给Milliman，说自己正设法与一新客户达成交易。该经纪行将管理新客户的员工退休计划，但这个准客户希望其员工能够访问养老金信息（经纪行把它外包给了Milliman），且不需要另一个口令。为此，Milliman只好建立身份联合系统，获得员工提供给这家经纪行的身份信息，然后利用这些信息传送养老金信息。

Burma回忆说：“我们当时就立即回复‘我们能做到’。”但要兑现这种承诺，确实面临很大的压力，这需要检查中央身份存储库——RSA的联合身份管理器（ Federated Identity Manager），弄清楚用户身份、他需要访问哪些东西，而不是要求提供用户名和口信。Burma说：“五年前，你要是对我说，我非常信任这套系统，会给人看社会安全号码、配偶姓名以及养老金，我会用一片讥笑声把你赶出房间。”

减少一次登录可以节省多少成本，这很难评估。不过，因为你可以提供的IT功能而获得新客户显然极为重要。在将来，实施了身份联合系统的人认为会有更多的投资回报。Erickson提到Aramark的单次登录具有的优点时说：“我们正在尽量简化人们购买我们产品的流程。”

说到安全，联合身份管理可能会带来回报，也可能不会。Gartner公司的Wagner说：“联合主要带来两个优点——便利与支持业务。与商业效益相比，安全方面的提高并不大。我们只想确保我们的系统与以前一样安全。”

至于商业理由？也许这要由别人来确定。

Brixius说：“公司会最终承担进行联合身份的成本。”他正在确保麦格劳－希尔公司落实一套可靠的内部身份管理系统，期望将来实现身份联合。“会有许多决策将基于降低风险、简化流程、为我们的客户创造价值。我认为，将会有投资回报，而获得投资回报的公司将成为推动力量，使我们能够实施这项技术来支持业务需求。”

链接：联合身份管理实战

1.如何选择合作伙伴

Fifth Third Bank很早就采用了联合身份管理，它曾经帮助并且正在帮助几个业务合作伙伴组建联合身份管理系统。它又是如何确定哪些合作伙伴是合适对象的呢？首席技术架构师Jeff Anderson说，以下是这家银行采取的方式：

● 通过单次登录使用应用程序有什么商业价值？

● 另一家公司是稳定的提供者吗？

● 这属于哪种关系：企业对企业、企业对消费者还是企业对员工？企业对员工关系不太复杂，因为你对信息有比较大的控制权，而且法规需求比较少。

● 应用程序的使用频率如何？多少人在使用？如果每年只有少数几人在使用应用程序，不可能会有充足的理由需要联合。

● 另一家公司对单次登录的熟悉程度如何？Anderson说：“要是他们从来没有听说过安全声明标记语言（SAML），我们知道那会很难。”

2. 如何选择项目

得克萨斯大学的结构就像一家独立的公司——行政总部加上作为独立部门运作的16所院校。一个大规模的联合身份管理项目将把其整个州的各行政职能部门联系起来，而得克萨斯大学部署的第一个部分就是授予来访行政人员访问总部Wi-Fi网络的权限。为什么是Wi-Fi网络？CIO Clair Goldsmith说，以下是小组选择这个项目所用的标准。

● 访问不是关键任务型的系统。即便部署出现了问题，受到的影响也极小。

● 每所院校都参与其中。一旦系统运行起来，Goldsmith就会知道所需的各部分已到位。

● 在任何一所院校，不是许多人都参与其中。事实上，任何问题不会牵涉大量的人。

● 项目具有重要地位。校长及其他来访行政人员可能会把积极改进的信息带回本校园。(ccw)