互联网使银行、购物、投资和其他许多事情触手可及。但随着我们上网的时间越来越多,需要登录多个网站,经常需要记住不同的用户名和密码,这与在商场找停车位的挫败感开始不相上下。
如果管理多个身份对消费者来说是件烦人的事,那么对企业来说,这就是一件代价高昂的头痛事,因为他们越来越重视电子商务,以及电子管理供应链的便利性和成本节约。
基于这一现实,一项行业倡议应运而生,即创建一种简单而安全的在线身份管理方法,以便相关各方都能知道他们在与谁打交道,以及彼此的信任程度。行业专家说,制造商要想利用今天的电子商务,并为明天即将到来的基于网络的服务浪潮做好准备,首先必须在身份管理上打下基础。动机很简单:钱。
成本和摩擦
“这种紧迫感是这样的:你有基于网络的应用程序——它们大多与制造业的供应链相关——缺乏减少登录的手段,导致用户必须维护许多不同的账户,”丹·布鲁姆说,他是犹他州米德维尔市一家研究和咨询公司伯顿集团的副总裁兼研究主管。“每个账户都有一个服务台和一些维护,所以账户激增既有成本,也有摩擦。”
马萨诸塞州贝德福德RSA安全公司认证产品主管德里克•布林克补充道:“我们认为这将对制造业产生长期的重大影响。”这是一家主要的身份管理系统供应商。“这将大大降低他们的运营成本。”
达到这种简单而安全的身份管理状态的过程是一个复杂的过程,涉及多个论坛和标准(请参阅侧栏),以及通常一系列相互冲突的供应商观点。幸运的是,就像吃热狗一样,你不需要熟悉一些东西是如何制作的,就可以享受它的结果。
身份管理难题的第一部分是一组称为安全断言标记语言(Security Assertions Markup Language, SAML)的规范,它为在线交换安全信息提供了一个基于可扩展标记语言的公共平台。XML是广泛认可的电子商务语言。SAML的第一个版本是在2002年11月由结构化信息标准促进组织(OASIS)联盟(一个全球电子商务标准组织)采用的。
SAML规范定义了用于验证用户身份的入站和出站消息。其思想是,公司将实现SAML来为其员工创建在所有业务中使用的单一联邦标识。该身份包括saml定义的断言,断言是关于人类用户或计算机的一个或多个事实的集合。
有三种SAML断言。身份验证断言建立用户的身份。属性断言包含有关用户的相关事实,例如工作状态、信用额度或公民身份。授权断言确定允许用户做什么,例如访问数据库或进行购买。
然后可以以多种方式使用联邦标识。
通用汽车公司企业技术架构集成和标准总监里奇•塔格特说:“我相信这将对公司的经营方式产生重大影响,大多数员工在个人和职业生活中都会有五到十几个不同的在线身份。身份管理在公司内部用于医疗福利或管理退休账户等方面,可以降低雇主的成本,并为员工带来好处。”
例如,如果您的公司将其401(k)计划外包给一家公司,将其医疗保健管理外包给另一家公司,那么员工将只有一个登录登录来访问每个公司的网站,并且将自动只访问他们被允许查看的内容,只要各方都实现了基于saml的系统。如果公司添加了另一个福利合作伙伴,那么只要新的合作伙伴实现了SAML,就可以使用相同的联邦标识。
加州库比蒂诺(Cupertino)的SAML软件开发商欧立克斯(Oblix)负责产品和技术的副总裁普拉卡什•拉穆尔西(Prakash Ramamurthy)说,联邦身份不同于其他身份,就像驾照或护照不同于带有照片的信用卡一样。他说:“两张信用卡上都有你的名字和照片,但你不能在机场用信用卡作为身份证明。”“驾照有更权威的来源。”
偿还
Ramamurthy说,节省的一大成本是大大减少密码丢失,这通常被认为是任何IT帮助台最耗时的问题。他说:“光是处理丢失的密码就需要花费服务台45%到70%的时间,这是一笔很大的开支。”
但是,联合身份的更大影响在于支持电子商务,使合作伙伴和供应链管理之间的协作更容易。
马萨诸塞州剑桥市Giga信息集团的分析师兰迪•赫夫纳说:“如今,如果你想将自己的订购系统与合作伙伴的系统连接起来,你可能更倾向于进行自定义应用程序集成。”“但是当你想要连接到更多人的时候,当你想要进行应用程序到应用程序的连接时,这就是Web服务的意义所在,那么最经济有效的方式就是通过使用标准数据传输的互联网单点登录。”
Ramamurthy举了一个例子,一家飞机制造商需要提供其出售给航空公司的飞机的文件,以便航空公司的机械师能够获得维修或更换部件的信息。在过去,每个机场都需要成堆的手册。但今天,制造商可以在线保存文档。使用联邦身份,机械师可以登录到飞机制造商的门户,并立即被识别为只能访问用于维修的信息的个人。
同一航空公司拥有采购权限的个人将能够在联邦身份下订购用品。通过这种方式,飞机制造商可以以电子方式开放,以便与客户进行更密切的合作,并维护现场的安全。
Blum说,SAML也是一种病毒式传播的方式。“假设有一家公司,比如通用汽车,要求其贸易伙伴使用SAML,”他说。“一旦你与一家公司建立了合作关系,你就可以与另一家公司使用它。当人们看到它的好处时,他们就会想和其他人一起使用它,然后它就会传播开来。”
塔格特表示,通用汽车正在考虑将SAML作为其供应链管理的方法,因为另一种方法——“将我们与单个合作伙伴连接起来的一次性专有系统”——过于昂贵。
没什么大不了的
与许多技术升级不同,身份管理不需要在新硬件或网络上进行重大投资。为了建立和维护联邦身份,需要新的软件和流程。
使用最初的SAML规范的软件目前可以从多个供应商获得,包括obix和RSA Security,以及Baltimore Technologies PLC、CrossLogix Inc.、Netegrity Inc.、Novell Inc.、Sun Microsystems Inc.和IBM的Tivoli Systems。
马萨诸塞州沃尔瑟姆的Netegrity公司的首席技术官Deepak Tenasia说:“现在公司肯定要做的一件事就是询问供应商关于网络服务和联邦身份的计划。”“现在已经有很多支持SAML的产品了。大规模部署已经开始。”
Blum说,根据企业的规模和复杂性,部署可能需要几天到几个月的时间。
然而,最初的部署只是一个开始。下一个主要步骤是Web服务,它主要是计算机到计算机或应用程序到应用程序的通信,承诺自动化许多目前需要人工启动或干预的流程,例如订购和补充零件或其他商品,发出通知等等。
与此同时,在SAML的未来版本和身份管理的其他方面仍有大量工作要做。该过程的复杂性之一涉及到对Web服务应该如何向前发展缺乏一致意见。该领域的两个主要供应商IBM和Microsoft正在开发自己的Web服务安全路线图,作为WS软件堆栈的一部分,其中包括WS security、WS Trust和WS Policy。在7月,他们宣布了WS-Federation规范。
由170家公司和政府部门组成的自由联盟(Liberty Alliance)一直致力于开发一个开放的id联盟框架,该框架最终很可能与IBM/微软的开发相竞争。
分析人士赫夫纳说:“目前还不清楚他们是在碰撞,还是只是在颠簸。”“我当然可以证明,Liberty框架可以与微软和IBM正在开发的框架竞争。”
Liberty在开发过程中走得更远,并且与IBM/微软的计划不同,它依赖于一种开放标准方法,这种方法不会将任何想要使用其规范的公司锁定在单一供应商或单一方法中。
“我们的设想是,公司将能够购买现成的软件来支持这一点,或者使用第三方服务局,或者编写自己的代码,”自由联盟管理委员会(The Liberty Alliance Management Board)副主席、通用汽车的塔格特表示。就此而言,他补充说,联盟始终对希望对正在进行的规范提出意见的新成员开放。“我们意识到,这让行业感到困惑,他们希望看到围绕这一点的融合。我们正在敦促其他制造商发声。”
Burton Group的Blum建议客户现在就部署SAML,并密切关注微软和IBM正在做什么,但要等到他们的工作成为标准。他对SAML和联邦身份的另一个警告是,任何技术都不能替代对公司记录和数据的仔细管理。
“在安全方面,这可能是一个污点,”布鲁姆说,“因为你现在依赖另一家公司来维护身份验证记录,你必须能够信任这家公司。”
obix的Ramamurthy主张,任何SAML部署都包括将管理能力委托给本地分支机构或组织的能力,以便在身份管理软件中快速计算人员变动。
即使是相对简单的过程也有时间和金钱上的缺陷,分析师赫夫纳认为,制造商必须评估他们目前对在线协作的需求是否值得升级到SAML和联邦身份。他说,这一决定应该纯粹基于财务考虑。“如果我的公司有100个客户,而我通常和每个客户的两个人沟通,那么我不确定这样做是否值得。但当你达到更高的数字时,就会有明确的好处。”
通用汽车的塔格特认为,制造业社区中的许多人开始测试SAML流程,因为他们希望实现更高的自动化和更低的成本。
他说:“小企业和大型企业都可以利用这一点。”“这是开放标准的真正好处。”