無論你贊同與否，微軟都是當之無愧的企業身份識別標準。除了對各種標準協議的支持外，微軟的產品套件(包括Certificate Server、SCCM、Active Directory、Active Directory Federation Services以及核心的Windows登錄)一直都是企業身份識別標準。

但隨著企業逐漸轉移到云環境，這種情況將會改變。如果你不想要管理自己的應用程序服務器、操作系統、硬件，而是將這些轉移到云計算，你還會想要管理身份識別基礎設施嗎?這讓很多企業開始尋找身份識別解決方案，即“完整的”云架構。

當我們談論“身份識別”時，我們指的是安全的一部分，即身份驗證和授權：你是誰以及你想要做什么?

XaaS身份識別

在XX即服務(以下統稱為XaaS)的營銷術語中，你會看到新的IDaaS，即身份識別即服務。身份識別即服務的概念是，你可以通過Web應用程序來管理用戶身份，就像你在CRM應用程序中管理銷售情況一樣。

但是云計算中的身份識別不止于此。例如，你創建了一個用戶賬戶，并將他設置為具有管理職責的銷售人員，他可能需要為CRM使用Salesforce.com，為電子郵件和文檔使用Google Apps，以及在PaaS(例如Cloud Foundry)上部署的自定義應用程序，這個PaaS應用程序甚至可能調用Salesforce和Google Apps上的服務。

在一般情況下，你的IDaaS將使用SAML協議來處理你的不同XaaS的身份驗證和授權。在某些情況下，用戶可能通過Oauth協議來對IDaaS進行身份驗證，以及對XaaS進行授權，但IDaaS究竟是怎么回事?

微軟IDaaS

其中一個例子是微軟的IDaaS。根據微軟的技術人員John Shewchuk表示：“你可以認為Windows Azure Active Directory作為在云中運行的Active Directory，這是具有互聯網規模、高可用性和集成災難恢復的多租戶服務。”

微軟的戰略是同時支持企業內部和企業外部的Active Directory以及這兩者的混合模式。Shewchuk表示，Azure Active Directory是一個開放的目錄，任何第三方應用程序或服務都可以使用它，并且，它支持行業標準協議，例如SAML、Oauth 2和Odata。

其他IDaaS

還有其他IDaaS，例如Ping Identity的PingOne。Ping Identity公司***技術官Patrick Harding指出，2012年的云計算環境有別于2002年的企業內部環境。在當時，涌現出很多不同的目錄，后來又被納入AD(Active Directory)，大多數企業內部的應用程序被綁定到AD進行身份驗證和角色/組管理。

Harding認為，在未來，“云計算將需要SSO和用戶目錄/用戶存儲同步，我們無法避免這種趨勢，因為每個云應用程序都需要一個身份存儲。我們還將需要相關標準來確保這個功能的無縫執行，例如SAML和SCIM。每個主流平臺都將可能需要支持這些協議的衍生協議，微軟的Azure/Office 365是個例外，因為它們依賴于WS-Federation和Graph。”

這里存在一個內在沖突。當部署身份識別解決方案時，你通常會運行到邊緣，在這里微軟不支持SAML，而是支持競爭標準——WS-Federation。一直以來，企業內部領域的身份識別供應商沒能加快***標準的速度(SAML 1.1 vs. 2.0)或者甚至相同的標準(SAML vs. WS-Federation)，結果造成往往需要定制軟件和非常復雜的配置來進行集成。

唯一的供應商?

讓問題更復雜的是，很多你的XaaS供應商想要成為你唯一的供應商。Red Hat公司Jboss安全架構師Anil Saldhana表示：“很多云供應商(例如Salesforce和谷歌)讓客戶可以選擇使用客戶托管身份識別供應商，這可能是唯一身份持有者，這些云供應商可以作為服務供應商，你可以使用SAML屬性來傳遞角色等。”

SAP公司NetWeaver云解決方案的產品所有者Martin Raepple不認為在云領域存在一個主要供應商能夠集中管理身份，“在過去，任何這方面的嘗試都失敗了，包括最突出的例子，即微軟的(.Net)Passport系統。”

Saldhana統一說：“一般規模的企業不會將IaaS托管委托給另一個供應商，但我也不認為提供軟件堆棧以讓企業托管自己的身份系統能夠成功，這并不僅僅是關于技術問題，而是關于目錄(用戶/角色/合作伙伴/客戶)”

混合身份識別

在不久的將來，可能會出現企業內部解決方案與外部云計算的集成。Raepple表示：“很多安全供應商提供的解決方案是將員工的SSO體驗從企業網絡擴展到云環境，從而提供員工身份到供應商的云計算樞紐。愿意接受這種‘中間人’做法的用戶肯定會采用這些解決方案，但作為平臺，我們還需要支持SSO和Federation的本地功能。”

這可能會讓微軟發揮其“主場優勢”。

身份識別危機是不成熟的表現

SAML、Oauth、OpenID等仍然是很新的標準，部署情況也很不均勻，換句話說，這仍然是一個積極發展中的領域，云計算領域仍然處于用例識別階段，這屬于非常、非常早期階段。

鑒于供應商正在調整其平臺以及該領域的不成熟性，我們現在很難看到集成了身份識別的完整的云架構。

正如Saldhana所說：“在公共云領域，仍然屬于‘狂野的西部’。”