IETF拟制定云身份管理新标准

　　制定一种通用机制来管理云应用中的用户身份，支持这一想法的多家企业将在本月末向互联网的主要标准组织IETF的巴黎会议提交标准议案。

　　目前已有一个简单云身份管理(SCIM)规范存在，该规范主要由一批安全软件厂商支持，包括思科、Courion、Ping Identity、UnboundID和SailPoint。还有一批主要的云厂商，如Salesforce、谷歌和VMware也支持这一规范。

　　但SCIM是否应成为IETF获准成立的工作组，从而最终成为一种行业标准，一直是个有争议的问题。

　　IETF将在3月29日召开的一次会议上讨论是否成立提议中的SCIM工作组。今年1月，IETF已创建了一组邮件列表来讨论SCIM。

　　SCIM的支持者们称，这一协议会让企业更易于控制对存储在公有云应用，如Salesforce、Workday、Taleo、Box和其他应用中的数据的访问。

　　Gartner也支持SCIM，认为它可以作为在云应用中预设和解预设员工的一种简单方法，而这一过程目前在大多数企业都是手工处理的。Gartner的一位研究副总裁Mark Diodati曾在2月末的一篇文章中写道，“SCIM似乎依然在路上。”

　　强烈支持SCIM的一家厂商就是UnboundID，它主要面向运营商销售身份管理基础设施软件。

　　UnboundID的CEO Steve Shoaff解释说，“从云到云，或者从云到企业应用，还没有一种传递身份的有效方式。UnboundID只是交付了一种SCIM商用版本的厂商之一，这种版本可允许企业广播SCIM事件，并接收SCIM事件。这是一种现代协议和方法，可在云提供商之间共享用户身份。我们的全部产品组合都是围绕SCIM构建的，希望因此能真正构建身份经济。”

　　支持者们认为，SCIM和先前的一些身份管理标准，如SPML相比优势还是有的，那就是它的轻量级，它不尝试做太多的功能，而且使用的是Web服务方式。

　　可替代SCIM的方法就是每个云应用的专利API的泛滥。这种情形下，会要求安全软件厂商如Courion和SailPoint为了预设每个云应用，必须创建众多的客户连接器。

　　与之相反，SCIM则可提供一种标准方法，可以将身份数据从企业内部应用迁移到云应用，或者从一个云应用迁移到另一个云应用。

　　Ping Identity的CTO Patrick Harding说，“我们看到很多企业都对SCIM有兴趣，因为我们在这里还没有完善的标准。所有厂商都在开发他们自己的API。正因为此，我们去年和所有主要的SaaS厂商一起合作，想研发一种标准的API机制，使用户的身份管理自动化。”

　　SCIM规范1.0版本是去年12月获批的。

　　支持者们预计，今年将会有大量支持SCIM 1.0的安全产品和云应用出现。

　　“SCIM的发展动力非常关键，”UnboundID的营销副总裁Andy Land说。“我们已得知，谷歌、WebEx、VMware都声称准备支持SCIM。还有一大批小厂商、中间件厂商也在开发支持SCIM的产品。到2012年底，我们将会看到SCIM在企业中实施。”

　　Harding称，SCIM可为企业CIO们解决一个关键问题，CIO们在其现有的身份管理基础架构上花费了数百万美元，购买微软的Active Directory，和其他厂商的身份认证和法规遵从产品。他们希望能够扩展其身份管理功能，以最少的附加成本覆盖到云应用上。

　　“我认为，2012年将会看到更多企业采用SCIM，”Harding说。“这将允许企业更有成本效益地在SaaS和云应用中管理用户，这要比为个别的API开发连接器或者手动管理好得多。”

　　IETF已经在研发一种相关的Web身份认证协议，叫做OATH，该协议可提供一种单一的用户身份认证体验，无论用户是在接入网络还是在访问云应用。