身份联合：确保您的扩展企业的安全

在业务方面，与合作伙伴公司协作以便为客户和员工提供产品和服务，这是可望提高收入、客户忠诚度和竞争优
势的头等大事。但对于 IT 来说，这些多方关系以及作为 Web 服务的交付的发展产生如何管理用户身份方面的
非常棘手的问题。

合作机构如何验证一个包含不同合作伙伴域的延伸企业的数千甚至数百万个数字身份 — 同时还能够为用户提
供单点登录 (SSO)？IT 如何保护对应用程序和信息的访问并确保安全地提供 Web 服务？多个 IT 系统和如何验
证和授予 （比如说） 无线电话客户或股票交易者的身份？

答案就是身份联合 — 使合作机构可以安全地在多个域之间共享数字身份的技术和标准。身份联合提供一个可
检查的框架，通过这个框架，机构相信外部用户已通过可信合作伙伴的验证，并在合作伙伴站点之间实现 SSO。

尽管许多公司正在开始使用 Web 服务安全技术确保联合交易的安全，而其他机构仍然依靠点到点解决方案，而
这些解决方案都非常复杂，且缺乏通过联合实现的基于身份的较高水平的安全性。例如，安全套接字层 (SSL) 安
全机制不提供身份捕获，没有审核功能，没有执行手段，无法证明 Web 服务交易中发生的事情。而领先的身份联
合解决方案中都内置了上述功能。

从 SSO 到 SOA 的旅程
身份联合这一概念已经出现好几年时间了。起初，焦点在
于开发使合作机构能够安全地共享身份的通用标准。由于
与越界公司开展生意往来的每个公司必须有效解决如何
跨界管理身份的问题，身份联合越来越成为 IT 界和商界
的一个热门话题。身份联合在应对这一基本挑战方面的作用是在以下三个阶段体现出来的。

第 1 阶段：内部 SSO。 联合身份的前身用于内部 SSO – 使员工能够用单个用户名和密码在单个安全域内登录到
多个应用程序。这一阶段重视解决最基本的 SSO 问题，但确保身份安全已经变得更加复杂起来。现在，随着越来
越多的员工求助于面向消费者的 Web 应用程序 （如 Google Calendar、Facebook 和 WordPress） 作为内部应
用程序的替代方案或组件，对于确保身份安全的联合 SSO 的需求在企业内正在显著增长。

第 2 阶段：面向企业外部网络。 对于企业外部网络级的联合的需求不仅受到通过外包来降低成本的机会的驱动，而且还受到公司利用联合扩展面向客户的服务和增加收入的能力的推动。联合提供一种安全地使一个公司能够安全地利用其他公司的资源 （反之亦然） 的非常具有吸引力的方法。

第 3 阶段：Web 服务安全。 注意力转向确保机构提供的 Web 服务的安全的挑战方面。这可以通过将身份联合与验证访问 Web 服务的用户的身份的过程捆绑在一起来实现。在此情况下，对 Web 服务的访问的安全性通过 面向服务的架构 (SOA) 内的联合驱动的身份管理解决方案来确保。

利用一个基于标准的身份联合解决方案，机构不必在作为 Web 服务开发并提供的每个应用程序内构建安全机制。这对于能够扩展为确保数百万笔交易的安全至关重要，而这么大的交易量正是现今许多以服务为中心的网站所遇到的典型情况，尤其是在交易驱动的行业，例如，金融服务业和电信业。

随着像 SAML （安全声明标记语言）、WS-Federation、WS-Security、WS-Trust 等标准逐渐成熟，身份联合正在走出象牙塔，进入基于标准的服务提供的现实世界。然而，即使应用范围扩大了，关于身份联合的某些神话仍会存在：

神话 1：联合实施起来需要花费太长时间。事实并非如此。多数情况下，可以在 90 天内实施一个端到端解决方案。其中大部分时间通常花费在架构设计和规划上，实际部署时间不过数周甚至数天时间。

神话 2：联合成本非常高，需要大量投资。由于实施时间期限非常短，因而身份联合解决方案非常划算，而且一旦实施到位，就成为一个可扩展且可重复利用的解决方案，该解决方案在帮助增加收入的同时，还有助于降低经营成本。

神话 3：联合需要一个现有的访问管理基础设施。事实上并不需要。一个良好的联合解决方案与架构无关，而且不应要求机构改变其现有身份基础设施。

神话 4：联合、Web 服务安全以及访问管理必须具备需要单独授权和部署的独立产品。对于 Sun 公司来说，并非如此。Sun Java 系统访问管理器是一个完全独立的 Java EE 应用程序，它在单个产品中包含了联合、访问管理和 Web 服务安全。

Sun 联合身份管理解决方案
Sun Java 系统访问管理器和 Sun Java 系统联合管理器满足了提供联合功能的可扩展的、基于标准的、可快速部署的身份管理解决方案的需要。

访问管理器以及联合管理器都具有高度可集成的与基础设施无关的联合解决方案，这些解决方案可快速推广，因而可以将访问管理迅速延伸到合作伙伴、外包商以及其他外部用户。联合管理器 （访问管理器的一个子集） 是一个可在公司现有身份基础设施上实施的只联合解决方案，而访问管理器涵盖访问管理、联合和 Web 服务安全这三个基本要素。

此软件是根据开放源代码 OpenSSO 代码库构建的，下一个版本将重视简化，以使用户能够利用下面几个方面的扩展支持和功能容易地完成普通任务：

• 访问管理：集中式配置和部署，并支持 XACML （可扩展访问控制标记语言）
• 联合管理：扩展的互操作，支持针对 Web 服务的 WS-Federation 1.1 规范
• Web 服务安全：适用于 Sun、IBM 和 BEA 的 Web 和应用服务器的新型 Web 服务安全插件

下面介绍几家公司如何使 Sun Java 系统访问管理器服务于身份联合的几个示例。

制造业:简化合作伙伴服务访问方法
世界最大汽车制造商之一想要通过简化其员工访问公司业务合作伙伴的服务的方法，来为发展更有效的业务合作伙伴关系铺平道路。基于联合的 SSO 是赋予员工在不必针对不同合作伙伴使用不同密码的情况下安全地访问来自多个业务合作伙伴的服务的关键。

该公司通过实施 Sun Java 系统访问管理器，使超过 70,000 名员工能够不必登录到另外一个网站即可直接访问受到合作伙伴防火墙保护的员工福利信息。而且由于 Sun 的联合解决方案基于标准，该公司能够灵活地无限制地发展其合作伙伴关系，并利用它们来寻找新的商业机会。

电信业：在多个域之间启动服务
一家全球性解决方案提供商承接了一个包含数据联合的大型用户数据集成项目，这家提供商所提供的解决方案使电信提供商能够提供服务。该公司实施了 Sun 公司用于 SSO 的 Java 系统访问管理器以成倍增加网络和服务、允许内容服务提供商通过运营商门户提供服务，并向用户提供新的增值服务 （如网上旅游规划和管理） 以及将天气和交通报告发送到移动设备，等等。

实施工作是一套综合性数据集成方法的组成部分，如下图所示，数据集成工作非常复杂且充满挑战，需要从数据集中进行到网络内数据整合，再到网络间联合。

银行业：使安全的联合 SSO 在真实世界中发挥作用
美国头号零售银行 — 美国首家提供在线帐户访问的银行 — 想要使其客户能够在网上查看付讫支票的影像，但却不想承担因为这项服务而实施和内部管理必需的 IT 基础设施所产生的负担。为此，该银行正在使用 Sun Java 系统访问管理器与一家合作伙伴进行联合，该合作伙伴提供这项服务并融入 Web 服务安全机制。

在这个示例中，基于联合的 SSO 使银行客户能够安全地登录到银行的网上服务并无缝地查看支票影像，而不必在合作伙伴站点重新进行身份验证。由于联合管理器与基础设施无关，这项功能实施起来非常容易，无论是银行还是合作伙伴都不必对现有身份管理基础设施进行修改。

后续内容：SOA 中的联合
随着越来越多的公司寻找一个在多个合作伙伴之间实现安全、高效和低成本的网上协作的基础，身份联合称为近来人们高度关注的话题。身份联合为在机构之间安全地提供服务和共享信息提供的多种可能性正在获得广泛认可。

与此同时，公司希望摆脱实体与应用程序之间的成本高昂的点到点连接。利用 SOA 及其基于组建的模式，构建针对联合的安全框架正在变得越来越容易。