吳明宜 |
微軟最近在專業開發者大會 (Professional Developers Conference, PDC) 上宣佈用以建立聯邦式身份認證的微軟身份平台 (Microsoft Identity Platform) 。聯邦式身份認證平台可針對企業內部和雲端上多個應用提供單一簽入 (single sign on) 。
聯邦式身份對想採用雲端運算的 IT 經理來說十分重要,因為他們必須讓使用者可以在雲端各處都享受到身份管理機制。微軟 claims-based 架構可比傳統 Active Directory 系統更容易建立使用者的聯邦式身份。這種 claims-based 架構可以從多個來源接收數位指認物 (identifier),如 LDAP 目錄,AD,Outlook 或 Lotus Notes 目錄,安全服務憑證,或 Windows 令牌 (token),微軟身份架構長 Kim Cameron 說。
一旦使用者被派發一個身份驗證碼 (verifier),中央認證機構就會比對這個「宣稱」和特定應用要求的驗證碼。如果符合,就可以開始使用應用。
在 claims-based 架構下,取得特定數位身份還不夠。因為直到中央認證機構檢查通過前,它都只是一個用戶身份的「宣稱」。也就是說,直到中央認證機構放行前,所有型態的身份都不被信任。
「在這類模型下,開發人員就不必把安全管理寫到應用中,而是去接收它。」Cameron 之前任職的 Zoomit 是發明元目錄 (meta directory),能做多個目錄和異質來源間身份協同,後為微軟收購。安全簽章是一個認證碼,只要上面的自動檢查顯示出這個簽章是有效的即可。
該平台乃遵循安全宣稱標記語言標準 (SAML) 及 WS-Federation 標準,該標準由 IBM, BMC, Verisign, CA 和 BEA (後為 Oracle 收購) 組成。雖然其他公司都支援聯邦式身份,但微軟的實作卻是獨家規格。
「把安全管理放在應用外部並非新概念,這是企業架構師長年的夢想。」但並非所有業者都像微軟一樣採行聯邦式身份管理服務或產品。許多 SaaS 業者仍採用專屬的身份管理作法,也就是認證及授權服務只適用於該廠商的線上應用服務。