Active Directory Federation Services 2.0:迎接雲端時代
全新的 Microsoft Active Directory Federation Services 誓言大幅提升雲端安全性。
Jeffrey Schwartz
Microsoft 的 Active Directory Federation Services (AD FS) 2.0 誓言要簡化對多個系統進行的安全驗證,同時也誓言要簡化雲端式 Microsoft 公事包。此外,AD FS 2.0 的延伸互通性還會提供相同的安全驗證給其他已經支援標準通訊協定的雲端提供者 (例如 Amazon.com Inc.、Google Inc. 和 Salesforce.com Inc.)。
AD FS 2.0 於 5 月發行,其前身是「Geneva Server」。這是 Microsoft Active Directory 令人期待已久的延伸產品,主要在提供可互通的宣告式聯盟識別管理。透過將 AD FS 2.0 加入現有的 AD 部署,IT 容許個人使用者登入 Active Directory 一次,然後再使用他們的認證,登入其他任何可感知宣告的系統或應用程式。
Microsoft 的識別與安全性事業群資深總監 John “J.G.” Chirapurath 表示:「重要的是,我們要簡化存取的運作方式,以及像單次登入這類作業從內部部署到雲端的運作方式。」
AD FS 2.0 與第一版不同之處在於,它支援廣為實作的安全宣示標記語言 (Security Assertion Markup Language,SAML) 2.0 標準。許多協力廠商雲端服務都採用 SAML 2.0 型驗證;這是提供其他應用程式和雲端服務互通性的重要元件。
Certified Security Solutions Inc. (CSS) (一家位於美國俄亥俄州獨立城的系統整合廠商和微軟黃金級認證合作夥伴 (Microsoft Gold Certified Partner)) 的總裁暨執行長 Kevin von Keyserling 表示:「我們認為聯盟和宣告式驗證和授權,對於雲端服務成功和實行與否,具有相當重要的影響。」
AD FS 2.0 不見得能解決所有將傳統系統和資料轉移到雲端的相關安全性問題,但是不可否認的,它的確排除了一個重大的障礙 — 尤其對於 SharePoint 這類應用程式更是,當然對所有的應用程式也是。許多企業基於安全性的顧慮,以及缺乏驗證控制權,都表示不願使用像 Windows Azure 這類的雲端服務。
Chirapurath 說道:「安全性 [問題],尤其是那些身分的識別與管理,大概是達到雲端運算最高境界的最大阻礙。就像電子郵件使得 Active Directory 用量爆增,Active Directory Federation Services 也會對雲端產生同樣的影響。」
由於 AD FS 2.0 可輕易整合至在 Windows Azure 內執行的應用程式,因此公司可以使用宣告式數位權杖,它可與 Windows Server 2008 和雲端型 Microsoft 服務搭配使用,提供混合式的雲端網路。其目標是讓使用者順利通過驗證,進入 Windows Server 或 Windows Azure,並與可接受 SAML 2.0 權杖的應用程式共用那些認證。
開發人員也可以讓他們的 .NET 應用程式以 Microsoft Windows Identity Foundation (WIF) 識別身分。
WIF 提供 Microsoft 宣告式身分模型的基礎架構。以 WIF 開發的應用程式是在 Microsoft .NET Framework 中實作,具備識別屬性、角色、群組和原則等驗證結購描述,並提供管理該些宣告的方法。由企業開發人員和 ISV 根據 WIF 建置的應用程式,也可以接受這些宣告。
AD FS 2.0 中的傳遞聯盟驗證是透過接受以 Web Services Federation (WSFED)、WS-Trust 和 SAML 標準為基礎的權杖而啟用。Microsoft 長期推廣 WSFED,一直到 18 個月前才同意支援更受到廣泛採用的 SAML 規格。
絕無戲言
Danny Kim 是位於波士頓微軟黃金級認證合作夥伴 FullArmor Corp. 的技術長,曾對 AD FS 2.0 做過壓力測試,他說已有重要客戶向他表示要用它將系統部署到雲端。
Kim 說道:「AD FS 2.0 可將身分連結回我們的伺服器空間和雲端服務,而且我們的版本全部適用於那些環境。」
據 Kim 表示,紐約一家主要投資銀行也表示要立即推行這項產品,讓使用者向裝載於 FullArmor Windows Azure 系統的應用程式進行驗證。
他說道:「這家公司非常注重安全性,他們說:『除非能夠保證安全性,否則絕不會將這些服務部署到雲端。』」他同時說道,該銀行表示只要移到雲端的安全無虞,他們就會停止購買和執行伺服器。Kim 解釋,AD FS 2.0 會將使用者的權杖對應到 AD,再傳遞給其他具備 AD FS 2.0 功能的系統。
此外,Microsoft 員工表示,Microsoft 現在也可以將那些宣告傳遞給任何 SAML 型系統。Microsoft 是透過一家監督身分管理規格的標準組織 Liberty Alliance,與其他廠商進行互通性測試。
Microsoft AD FS 小組的資深專案經理 Matt Steele 在 AD FS Release Candidate 版本公佈之後,在 Microsoft Channel 9 影片中提到:「我們和一群廠商共同合作 … 他們負責檢測 SAML 通訊協定實作,結果發現它在極大多數的測試案例都是相容的。也就是說,我們終於可以一償宿願,對外宣傳 AD FS 2.0 實作 SAML 通訊協定,而且我們與所有這些測試案例的所有廠商全部互通。」
實作可與測試相提並論嗎?
也有人認為 Microsoft 有過度吹噓之嫌。舉個例說,根據 Ping Identity Corp. (該公司提供自己的單次登入、適用於多個平台的伺服器) 的技術長 Patrick Harding 表示,SAML 權杖與由其他廠商平台所提供的權杖的相容程度,還有待觀察。
Harding 的公司與 Microsoft 既是競爭者也是合作夥伴,他說道:「我們使用 SAML 已有四年之久,我們很清楚實驗室裡的 SAML 和現實生活中的 SAML 很可能有天壤之別,尤其當您與許多選擇撰寫自己 SAML 實作的 SaaS [軟體即服務] 廠商合作時更是如此 — 它們永遠不可能完全一樣的。」
Harding 也很好奇 .NET 開發社群接受 WIF 的速度有多快。他說道:「雖然立意不錯,開發人員確實還是需要從頭學習 WIF 的全新範例和全新開發架構,以及如何將應用程式整合到 AD FS。」
只是 Kim 不認同這個做法。他說:「對於那些熟悉 .NET 環境的開發人員來說,我覺得應該不會有明顯挑高的學習曲線。」
Quest 也開發了熟悉的開發工具以降低不明顯的學習曲線。這可說是一項意外收穫,Sotnikov 說道:「有些工具和雲端平台並不能真正讓我們重複使用現有的 C++ 和 C# 程式碼,但是這套解決方案卻可以讓我們重複使用高達 50% 的現有程式碼。」
撇開這些議題不談,Harding 認為 AD FS 2.0 的發行很可能是為了替新的雲端運算方案舖路。他說:「AD FS 2.0 可不是泛泛之輩,因為它證明了聯盟身分管理的重要性;同時它也是雲端運算和 SaaS 運算不可或缺的因素。所有的船隻都隨著 Microsoft 的潮水起落,而這也讓大家明白聯盟可不是說說而已。」
根本不可能
就在 AD FS 2.0 發行的前幾天,Microsoft 將它下一版的 CardSpace 資訊卡身分識別選取器 (名為 CardSpace 2.0) 暫時喊停,該產品的目的是提供一個管理多次登入用的共同 UI。CardSpace 2.0 自去年開始推出 Beta 版,它可與 AD FS 2.0 和 WIF 搭配使用。為了為 CardSpace 2.0 Beta 評估者提供橋梁,Microsoft 最近發行了 AD FS 2.0 附加元件的社群技術預覽 (CTP),它可以讓 Windows Server 發行資訊卡。
Microsoft Forefront 安全性群組的資深產品經理 Joel Sider 說道:「資訊卡的內容非常豐富,尤其我們在 RSA 會議發表的密碼編譯技術 (例如 U-Prove) 更是。另外還有像 OpenID 之類的新標準。我們想要設法因應一些新趨勢。」
不過這又帶出一個問題:CardSpace 2.0 會公開發行嗎?Sider 說道:「資訊卡所獲得的肯定是無庸置疑的,我們對於資訊卡的投入一直都很積極。」Microsoft 雖然沒有提到何時更新其 CardSpace 2.0 計劃,但是有部分人士對於這項技術的前途並不看好。
Harding 表示,對於有人質疑 CardSpace 2.0 的前途,「由於其採用有限的緣故,所以也不令人意外。不過,它也的確惹惱了那些在 Microsoft 強烈攻勢下購入資訊卡模型的個人和公司。」
但是當 Microsoft 公司高可信度運算的副總裁 Scott Charney 於今年 3 月初在舊金山舉行的年度 RSA 會議當中,發表該公司 U-Prove 技術的 CTP 之後,改變計劃也成了在所難免的做法。U-Prove 產品的重點在於數位權杖的發行,數位權杖容許使用者控制要與權杖接受者分享多少資訊。
U-Prove 與 AD FS 2.0 互相對立,U-Prove 可讓使用者聯合信任網域間的身分識別。Microsoft 是根據其開放規格承諾書 (Open Specification Promise,OSP) 發行 U-Prove,並且捐贈兩種根據 FreeBSD 授權來執行演算法的參考工具組。不僅如此,Microsoft 還根據其 OSP,發表將 U-Prove 整合到開放原始碼身分識別選取器所用的第二種規格。到底 .NET 和開放原始碼社群接不接受 U-Prove,還有待觀察。
雲端轉換
許多 Windows IT 專家和安全性專家似乎很看好 AD FS 2.0。CSS 的 Von Keyserling 就是其中一位,他認為 AD FS 2.0 在提升雲端安全性方面將扮演關鍵性的角色。
von Keyserling 說道:「我們一直與超大型全球化企業保持合作關係,協助他們建置聯盟模型,讓他們更順利的轉換到雲端運算環境。它能擴充功能,協助在具有個別身分的組織當中管理身分識別。」
舉個例說,von Keyserling 認為如果 CSS 和其中一個客戶想要在本機、雲端或是透過共用伺服器集區加以裝載的系統上共同合作,這兩家公司可以實際結合他們的服務,讓雙方能夠更方便的管理自家員工的身分識別。
他又說道:「使用現有的身分識別基礎結構,將它套用到雲端 (由 Microsoft 裝載或是透過裝載的 SharePoint),在我們看來,身分識別當然是安全性最重要的一環,而且對於整體的雲端安全性來說,當然也是非常關鍵性的考量。」
Chirapurath 認為那是 Microsoft 關注的焦點。他說道:「身分對於商店來說確實很重要,因為身分代表您是什麼人以及您可以做什麼。很多時候雲端運算的挑戰在於身分識別。AD FS 容許您與雲端分享那些內部部署身分;雲端可能是 Windows Azure,也可能是任何其他支援 SAML 或 [WS 標準] 的雲端,因此您可以將現有的投資運用在內部部署 Active Directory,讓那些身分在您的雲端運算有效發揮作用。」
AD FS 2.0 實作
Microsoft 表示,AD FS 2.0 可以利用 AD 為基礎加以實作,無需擴充結構描述。它必須安裝在 Windows Server 2008 或 2008 R2 上。
Microsoft 也希望 Windows 商店會採用 3 月份新推出的 Forefront Identity Manager (FIM) 2010 平台。FIM 是一個存放庫,負責管理身分識別、存取權限和認證,以及與其相關的原則。它也容許 IT 管理者透過 SharePoint 系統管理主控台來管理身分識別。
許多與雲端安全性有關的問題,很可能成為在雲端部署應用程式的嚴重問題。合規性、資料完整性以及瞭解多重租賃的涵意,都是其中少數幾個問題。
但是提到身分識別管理,Microsoft 和其他公司在強化基礎結構來傳遞一般身分這方面,已經有了長足的進步 — 只不過工作仍由用戶端執行。僅管如此,有了 AD FS 2.0 之後,考慮採用雲端服務的企業,還是可以藉由在 Windows Server 加入這項免費升級而受惠。
von Keyserling 說道:「一般使用者在雲端可以享有在自己網路內部同樣的使用體驗;這對於那些有意採用 Federation Services 並加以擴充的大型企業來說,是一項利多或誘因。它提供不需停下來處理密碼重設和認證管理的雲端服務,容許 [公司] 專心執行他們的商業策略,而無需處理安全性問題的日常鎖事。」
.jpg)
Jeffrey Schwartz (jschwartz@1105media.com) 是《 Redmond 》雜誌的特約編輯。
資訊看板:重要識別碼
- Active Directory Federation Services (AD FS) 2.0:這是 Active Directory 的延伸工具,它保證能夠讓宣告式聯盟身分識別管理順利透過
- Windows Server、Windows Azure 及其他雲端服務和應用程式進行。
- SAML 2.0:現在 AD FS 2.0 已經具備在安全性網域之間交換身分識別資訊所用的廣受支援的 XML 標準了。
- WSFED:WS-Federation 是最初建置 AD FS 所依據的核心規格。由於 SAML 已經成為業界約定俗成的標準,因此 Microsoft 也在新版加入該規格的支援。
- Windows Identity Foundation:WIF 提供 Microsoft 宣告式身分模型的基礎架構。這些應用程式是在 .NET Framework 中實作,具備識別屬性、角色、群組和原則等驗證結購描述,並提供管理該些宣告的方法。由企業開發人員和 ISV 根據 WIF 建置的應用程式,也可以接受這些宣告。
- CardSpace v1:是 Microsoft .NET Framework 中的一個元件,提供 Windows 7 和 Windows Vista 原始的身分識別選取器。
- U-Prove:這著重的是數位權杖的發行,數位權杖容許使用者控制要與接受權杖的一方分享多少資訊。U-Prove 與 AD FS 2.0 互相對立,U-Prove 可讓使用者聯合信任網域間的身分識別。社群技術預覽是在三月份推出。
- OpenID:是提供識別碼所用的現行標準, 受到 Microsoft、Google Inc.、Yahoo!Inc., VeriSign Inc. 和一些主要部落格與社交網站的支援。
—J.S.