Active Directory 联合身份验证服务 2.0:打开通往云的大门
新的 Microsoft Active Directory 联合身份验证服务旨在极大地增强云安全性。
Jeffrey Schwartz
Microsoft Active Directory 联合身份验证服务 (AD FS) 2.0 可望简化针对多个系统的安全身份验证。该服务对基于云的 Microsoft 资产组合也会发挥同样的作用。此外,经过扩展的 AD FS 2.0 互操作性有望向其他已支持标准协议的云提供商(如 Amazon.com Inc.、Google Inc. 和 Salesforce.com Inc.)提供同样的安全身份验证。
AD FS 2.0(以前称为“Geneva Server”)已于 5 月发布。人们对 Microsoft Active Directory 的这一扩展期盼已久,它提供基于声明的可互操作联合身份管理。通过将 AD FS 2.0 添加到现有 AD 部署,IT 部门可以允许各个用户只登录 Active Directory 一次,即可使用其凭据登录到其他任何声明感知系统或应用程序。
“关键在于,在从内部部署向云的转换中,我们在简化访问方式以及诸如单一登录等功能的工作方式,”Microsoft 身份和安全业务组高级总监 John“J.G.”Chirapurath 如是说。
与第一版不同,AD FS 2.0 支持广泛实施的安全声明标记语言 (SAML) 2.0 标准。许多第三方云服务都使用基于 SAML 2.0 的身份验证,它是提供与其他应用程序和云服务之间的互操作性的关键组件。
“我们将联合身份验证和基于声明的身份验证及授权视为非常重要的组件,它们对于基于云的服务的成功和采用起到关键作用,”Kevin von Keyserling 言道。Kevin von Keyserling 是位于俄亥俄州的 Certified Security Solutions Inc. (CSS)(一家系统集成商和 Microsoft 金牌认证合作伙伴)的独立总裁兼首席执行官。
虽然 AD FS 2.0 不一定能够解决在将传统系统和数据迁移到云时所遇到的全部安全问题,但人们还是普遍认为它消除了一个严重障碍,特别是对于诸如 SharePoint 这类的应用程序,毫无疑问,就应用程序总体而言也同样如此。由于存在安全问题并缺乏对身份验证的控制,许多企业对于云服务(如 Windows Azure)的使用都表现出不太情愿。
“安全[问题],特别是身份和身份管理,可能是实现云计算理想境界的一个最大障碍,”Chirapurath 表示,“如同电子邮件导致对 Active Directory 的爆炸式使用一样,Active Directory 联合身份验证服务也会对云产生相同效果。”
由于 AD FS 2.0 能够轻松集成到 Windows Azure 中所运行的应用程序之中,因此组织可以使用基于声明的数字令牌,这些令牌可用于 Windows Server 2008 和基于云的 Microsoft 服务,从而实现混合云网络。这样做的目标是让用户可以无缝地实现到 Windows Server 或 Windows Azure 的身份验证,并将这些凭据与可以接受基于 SAML 2.0 的令牌的应用程序进行共享。
开发人员可以使用 Microsoft Windows Identity Foundation (WIF) 使其 .NET 应用程序识别身份。
WIF 为 Microsoft 基于声明的身份标识模型提供了基础框架。通过在 Microsoft .NET Framework 中实现,使用 WIF 开发的应用程序可提供身份验证架构,如标识特性、角色、组和策略,以及管理这些声明的方法。由企业开发人员和 ISV 基于 WIF 构建的应用程序也将能够接受这些声明。
AD FS 2.0 中的传递联合身份验证可通过接受基于 Web Services 联合身份验证 (WSFED)、WS-Trust 和 SAML 标准的令牌来启用。尽管 Microsoft 对使用 WSFED 的倡导由来已久,但直到 18 个月以前才同意支持更广泛采用的 SAML 规范。
试水银行业
Danny Kim(位于波士顿的 Microsoft 金牌认证合作伙伴 FullArmor Corp. 的 CTO)对 AD FS 2.0 进行了压力测试,他表示自己已有很多客户希望使用该服务将系统部署到云中。
“AD FS 2.0 将身份链接回我们的服务器空间和基于云的服务,我们在所有这些环境中只需使用一个版本,”Kim 说道。
据 Kim 所言,这些客户希望立即进行部署,以允许用户针对在 FullArmor 基于 Windows Azure 的系统上承载的应用程序进行身份验证,纽约的一家主要投资银行便是其中一个客户。
“这是一家安全意识很强的公司,声称‘除非可保证安全,否则我们不会在云中部署这些服务’,”Kim 说道。Kim 同时补充说,一旦证明迁移到云后的安全性,这家银行便可以最终停止购买和运行服务器。Kim 解释说,AD FS 2.0 会将用户的令牌映射到 AD 中,该令牌又会传递到其他支持 AD FS 2.0 的系统。
Microsoft 官员表示,Microsoft 现在也可以将这些声明传递到任何基于 SAML 的系统,这同样十分重要。通过自由联盟(监督身份管理规范的标准组织),Microsoft 通过了与其他供应商之间的互操作性测试。
“我们与一些供应商一起合作… 他们全面测试了 SAML 协议的实施,发现它在一系列测试用例中都符合标准,”Matt Steele 如是说。Matt Steele 是 Microsoft AD FS 团队的高级项目经理,在发布了 AD FS 候选发布版之后,他在 Microsoft 第 9 频道视频中作此评述。“这意味着我们终于能够得偿所愿,可以宣布 AD FS 2.0 实现了 SAML 协议,并且我们可在所有这些测试用例中与所有这些供应商进行互操作。”
实施是否会与测试相符?
仍然有人认为 Microsoft 可能有些言过其实。例如,Ping Identity Corp.(该公司提供自己的可在多个平台间工作的单一登录服务器)的 CTO Patrick Harding 认为,SAML 令牌与其他供应商的平台所提供令牌的兼容程度还有待观察。
Harding 的公司与 Microsoft 既是竞争对手又是合作伙伴,Harding 表示:“我们在 SAML 方面已开展了大约四年的工作。我们很清楚,实验室中的 SAML 与实际应用中的 SAML 可能有很大差别,尤其是在许多 SaaS [软件即服务] 供应商都选择编写自有 SAML 实现时,这些实现之间总是存在细微的差别。”
Harding 还想知道 .NET 开发社区要多久才能接受 WIF。“WIF 的理念固然不错,但需要开发人员从头学习一种全新的模式和一个全新的开发框架,以了解要如何将其应用程序集成到 AD FS 之中,”Harding 说道。
不过 Kim 不赞同这种看法。他表示:“我认为,对于熟悉 .NET 环境的开发人员,并不需要太多学习”。
Quest 公司致力于开发常用的开发工具,同样也能够降低该学习难度。作为补充,Sotnikov 称:“一些工具和云平台并不真的允许我们重复使用我们现有的 C++ 和 C# 代码,但是此解决方案做到了这一点,可重复使用高达 50% 的现有代码。”
抛开这些问题,Harding 承认,AD FS 2.0 的发布可能会为新的云计算计划铺平道路。他说:“AD FS 2.0 很了不起,因为它证实了联合身份管理的重要性;它将成为云计算和 SaaS 计算的必备条件。相关各方都会随着 Microsoft 水涨船高,这会使人们欣然接受联合身份验证已成为现实这一事实。”
情况不明朗
就在发布 AD FS 2.0 的前几天,Microsoft 搁置了其用于信息卡的 CardSpace 身份标识选择器下一个版本(称为 CardSpace 2.0)的发布,该版本旨在为管理多个登录提供一个通用的 UI。CardSpace 2.0 从去年开始就在进行测试,可与 AD FS 2.0 及 WIF 一起使用。为了给 CardSpace 2.0 beta 评估人员提供沟通的桥梁,Microsoft 最近发布一个 AD FS 2.0 加载项的社区技术预览版 (CTP),该加载项使 Windows Server 可以颁发信息卡。
Microsoft Forefront 安全组的高级产品经理 Joel Sider 表示:“在信息卡空间方面会出现许多新情况,尤其是在考虑加密技术时,如我们在 RSA 大会上推出的 U-Prove。此外,还有像 OpenID 这样的新标准。我们希望能够应对这些新趋势。”
这提出了一个问题:CardSpace 2.0 是否有出头之日?Sider 认为:“肯定会为信息卡提供支持;我们在信息卡方面的工作正在进行并且进展良好。”Microsoft 未指明何时更新其 CardSpace 2.0 计划,不过有些人对该技术的前途表示怀疑。
据 Harding 所说,考虑到 CardSpace 2.0“有限的应用范围,它的前途未卜并不令人惊讶”。“不幸的是,这也令在 Microsoft 的劝说下已接受 InfoCard 模型的人和公司备感沮丧。”
但在今年 3 月初,当 Microsoft 公司可信计算的副总裁 Scott Charney 在旧金山的年度 RSA 大会上推出该公司的 U-Prove 技术 CTP 时,计划的改变在某种程度上已不可避免。U-Prove 产品以数字令牌颁发为中心,这些令牌使用户可以控制与令牌接收方共享的信息量。
针对 AD FS 2.0 使用时,U-Prove 使用户可以在受信任域间进行联合身份验证。Microsoft 根据其开放规范承诺书 (OSP) 发布了 U-Prove,还免费提供了两个参考工具包,用于按照 FreeBSD 许可实现算法。而且,Microsoft 根据其 OSP 发布了另一个规范,用于将 U-Prove 集成到开放源代码身份信息选择器中。至于这对 .NET 和开发源代码社区是否会接受 U-Prove 起到多大作用,仍有待观察。
云过渡
众多 Windows IT 专业人员和安全专家都十分看好 AD FS 2.0。有些人坚信 AD FS 2.0 会在提供增强的云安全性方面发挥重要作用,CSS 的 Von Keyserling 便是其中一员。
von Keyserling 说:“我们一直在与一些超大型跨国公司合作,帮助它们构建可以更轻松过渡到云计算环境的联合身份验证模型。这可以扩展有助于在具有独立身份的组织间管理身份的能力。”
例如,根据 von Keyserling 的观点,如果 CSS 和某个客户希望合作开发在本地承载、通过共享服务器池承载或在云中承载的系统,则两个组织实际上可以将其服务联合在一起,从而使双方都能更加方便地管理自己员工的身份。
他还补充道:“在使用现有身份基础结构并将其向上一直应用于云(由 Microsoft 承载或通过托管 SharePoint 承载)中时,在我们看来,身份肯定处于安全性的中心位置,并且必然是云总体安全性的非常关键的考虑因素。”
Chirapurath 说这是 Microsoft 内部关注的重点:“谈到身份,它实际上是存储的关键,因为身份表明您是谁以及您可以执行什么操作。云计算所遇到的挑战有很多都属于身份的范畴。AD FS 使您可以将这些内部部署身份与云共享;它可以是 Windows Azure 或任何支持 SAML 或 [WS 标准] 的其他云,因此您可以利用对内部部署 Active Directory 的现有投资,并使这些身份可用于云计算工作。”
AD FS 2.0 实施
Microsoft 声称 AD FS 2.0 可以在 AD 之上实施,而无需任何架构扩展。它需要安装在 Windows Server 2008 或 Windows Server 2008 R2 上。
Microsoft 还希望 Windows 企业采用新的 Forefront Identity Manager (FIM) 2010 平台(已于 3 月发布)。FIM 是一个存储库,用于管理身份、访问权限和凭据以及与这些内容关联的策略。它还使 IT 经理可以通过基于 SharePoint 的管理控制台管理身份。
与云安全相关的许多问题可能会阻碍将应用程序部署到云中。合规性、数据完整性以及了解多用户身份验证的意义便是其中几个问题。
然而,在涉及到身份管理时,Microsoft 和其他公司已在支持基础结构以传递通用身份方面取得了重要进展 — 不过在客户端仍需一些工作。尽管如此,借助 AD FS 2.0,考虑使用云服务的企业可以通过将免费升级添加到 Windows Server 而从中受益。
von Keyserling 认为:“最终用户在云中可获得与在其自有网络中一样的体验;这是使这些大型企业希望采用联合身份验证服务并进行推广的优势或推动因素之一。它可提供云服务而不必停止和处理密码重设和凭据管理,使 [公司] 可以专注于扩展其业务策略,而不是处理安全问题的日常细节。”
.jpg)
Jeffrey Schwartz (jschwartz@1105media.com) 是 Redmond 杂志的总编辑。
边栏:重要术语
- Active Directory 联合身份验证服务 (AD FS) 2.0:针对 Active Directory 的扩展,旨在通过 Windows Server、Windows Azure 及其他云服务和应用程序
- 无缝地实现基于声明的联合身份管理。
- SAML 2.0:该广为接受的 XML 标准用于在安全域之间交换身份信息,现在包含在 AD FS 2.0 之中。
- WSFED:WS 联合身份验证是 AD FS 最初构建所基于的核心规范。随着 SAML 成为事实标准,Microsoft 在新版本中增加了对该规范的支持。
- Windows Identity Foundation (WIF):WIF 为 Microsoft 基于声明的身份标识模型 提供了基础框架。通过在 .Net Framework 中实现,应用程序可提供身份验证架构,如标识特性、角色、组和策略,以及管理这些声明的方法。由企业开发人员和 ISV 构建的基于 WIF 的应用程序也将能够接受这些声明。
- CardSpace v1:Microsoft .NET Framework 中的一个组件,可提供 Windows 7 和 Windows Vista 内置的身份信息选择器。
- U-Prove: 它以数字令牌的颁发为中心,这些令牌使用户可以控制与令牌接收方共享的信息量。针对 AD FS 2.0 使用时,U-Prove 使用户可以在受信任域间进行联合身份验证。在 3 月发布了社区技术预览版。
- OpenID:用于提供标识符的事实 标准,受 Microsoft、Google Inc.、Yahoo!Inc.、VeriSign Inc. 以及许多重要博客和社交网站支持。
—J.S.