重新评估云中的身份认证管理系统

　　认证管理保证了跨越多个系统的用户身份的一致性。该技术自动化战略性的IT任务，结合用户权限和用户身份的限制，允许员工只访问自己权限以内的数据。目的是通过确保资源的稳定性从而维护企业安全。另外，随着云计算越来越多地深入到数据中心管理，基于云计算的系统面临新的挑战。

　　政府的规章制度要求企业对用户的身份进行审计，以确保与动作一致。但是最近，身份管理由于其他原因变得更加重要。在过去的几年里，移动设备的使用已经激增，员工使用云资源在不同的设备上工作的现象已经变得普遍。身份管理系统允许员工在多个设备上使用相同的身份。

　　全面的身份管理系统还可以处理可扩展性问题。在一个小型企业中，追踪每个员工的帐号并不是一件具有挑战性的工作。但是随着设备和员工数量的增加，追踪帐号使用就变得非常困难。

　　云中的身份管理更加复杂

　　技术趋势是周期性的，身份管理就是一个完美的例子，一切旧的又变成新的。

　　很多年前，我在一家大型保险公司工作。当时我们有一台服务器，存储了所有的东西。但是随着我们终端用户的增加，该服务器很快就不够用了，我们不得不将资源移到新的服务器上。

　　那时，每个服务器有自己的权限机制，每个用户需要多个用户帐号——每个服务器都得有一个。如果用户需要重置密码，每个服务器上的密码也都要重置。这种分离的用户帐户是一个巨大的管理负担。

　　最后，微软的活动目录和Novell目录服务等技术帮助我们解决了这些问题。即使在现在，活动目录允许用户拥有单独的一套证书，在整个组织中都可以使用。

　　问题是，组织经常结合使用已有的资源和云资源，这又会产生多个帐号问题。尽管有例外（如微软Office 365），但大多数云应用和组织中的本地活动目录不同步。例如，我的云备份和我的本地活动目录不同步。云计费应用程序也不例外。常见的情况是，终端用户通过活动目录帐号访问本地资源，同时也拥有独立的云应用帐号。

　　这就产生了一些问题。首先，随着组织使用越来越多的云应用，需要记住的用户名和密码的数量也暴涨。尽管有人认为分离的帐号能够改善整体的安全性，但真正的经验表明，每个用户积累的一套认证信息不得不将记录下来保存，从而产生了安全风险。

　　分离帐号产生的另外一个问题是，增加管理负担。设立新的用户帐号会变成一个耗费时间的过程，因为每个用户的云应用必须另外单独设立。同样，密码设置也变得复杂，比如，用户说不清楚到底哪个密码需要重置。

　　为了解决这些问题，认证管理提供给用户一套可以普遍使用的单独的认证。虽然减少用户认证的数量能够摆脱烦人的认证管理现状，重要的是要记住，更多的是认证管理，而不仅仅是提供给最终用户single sign-on功能。

　　活动目录的限制

　　很多组织使用活动目录作为认证用户的首要机制，因此考虑什么样的活动目录能够用于身份管理系统是有意义的。

　　一般来说，活动目录可以提供用户认证和资源的访问控制（比如，活动目录内部资源和应用组策略安全的资源）。活动目录帐号允许访问网络共享文件或本地应用。

　　活动目录认证还提供外部资源的访问控制。Windows Server允许创建联合信任，允许一个活动目录森林信任另一个。如果活动目录和另外的资源比如云应用之间没有信任关系，然后它没有为资源执行身份验证的权限。这种的信任关系在一个组织中的终端用户需要访问另个收购的组织网络中的资源的情况下很有帮助。这些类型的特性无需更改多个系统就可以对用户进行验证。这种集中认证对管理员来说是一种福利，因为它消除了成倍的手工任务。