身分聯合：保護您的延伸企業

在業務面，與合作夥伴公司合作以提供產品和服務給客戶及員工，是最優先的事，這可保證增加收益、提高客戶忠誠度與競爭優勢。但對 IT 而言，這些多方關係的成長和據以提供 Web 服務，創造了如何管理使用者身份的棘手問題。

對於散佈在不同合作夥伴領域延伸企業中的數千或甚至數百萬個人，合作的組織如何確認其數位身分 — 同時提供使用者單一登入 (SSO)？IT 如何保護對於應用程式與資訊的存取，以及提供安全的 Web 服務？多重 IT 系統如何驗證與授權身分？像是手機客戶或股票交易員？

答案是身分聯合 — 這些技術和標準，可讓合作組織安全地共用跨多重網域間的數位身分。身分聯合提供可稽核的框架，組織可藉以接受經過受信任合作夥伴認證的外部使用者，並在各合作夥伴網站間啟用 SSO。

當許多公司開始使用 Web 服務安全性來保護聯合交易，其他公司則繼續仰賴點對點解決方案 - 此方案過度複雜，並缺少聯合功能可達成的更高層身分式安全性。例如，安全封包層 (SSL) 安全性未提供身分取得、沒有稽核功能、沒有實行工具、沒有證明 Web 服務交易狀況的工具。這些功能都內建於領導的身分聯合解決方案中。

從 SSO 到 SOA 的旅程
身分聯合的概念已存在多年。最初，焦點是放在開發讓合作組織安全共用身分資料的共通標準。因為所有與超過自身範疇做生意的公司都必須解決如何管理跨領域身分的問題，對 IT 和企業而言，身分聯合都正逐漸成為熱門話題。它在這個重要挑戰中的角色在三階段中出場。

第一階段：內部 SSO。 聯合身分的先驅是內部 SSO – 可讓員工以單一使用者名稱與密碼，在單一安全網域中登入多重應用程式。此階段著重於解決最基本的 SSO 問題，但保護身分已變得更形複雜。今日，隨著更多員工轉向消費者導向的 Web 應用 (像是 Google Calendar、Facebook 與 WordPress)，以替代或補充內部應用程式，對於保護身分之聯合 SSO 的需求已在企業中增加為整體的一部。

第二階段：企業間網路面相。 在企業間網路等級的聯合功能需求，不只是由透過委外以降低成本的機會驅動，公司運用聯合功能以擴充面對客戶服務與增加利潤的能力，也推動著聯合功能的需求。聯合功能提供吸引人的方式，安全地讓企業得以使用其他公司的資源 — 反之亦然。

第三階段：Web 服務安全性。 注意力轉移到確保組織提供安全 Web 服務的挑戰。這可透過將身分聯合功能連結認證使用者的程序，以提供 Web 服務存取來達成。在此情境中，對 Web 服務的存取，在服務導向架構 (SOA) 內的聯合式身分管理解決方案中獲得保護。

使用標準式的身分聯合解決方案，對於開發和作為 Web 服務的所有應用程式，組織不用在其中內建安全性。對於能夠擴充以保護許多今日服務導向網站典型的數百萬筆交易，此點相當地重要，特別是在交易導向的產業中，像是金融服務與電信產業。

隨著像是 SAML (安全宣示標記語言)、WS-Federation、WS-Security 和 WS-Trust等標準的成熟，身分聯合正逐漸走出象牙塔，而成為真實世界中的標準式服務。但即使接受度緩慢增加，人們仍存在著對於身分聯合的一些迷思：

迷思 #1：聯合功能的實作時間過長。並非如此。在大部分情況中，點對點解決方案可在 90 天內實行，其中大部分時間通常用於架構設計與規劃，而實際的部署只需要幾個禮拜或幾天。

迷思 #2：聯合功能昂貴且需要大量投資。簡短的實作時間讓身分聯合解決方案變得經濟實惠，且一旦建置，即成為可擴充與可重複的解決方案，能協助創造利潤，同時降低營運成本。

迷思 #3：聯合功能需要現有的存取管理基礎架構。它不用。一個好的聯合解決方案在架構上是不可知的，且不需要組織改變其現有的身分基礎架構。

迷思 #4：聯合功能、Web 服務安全性與存取管理需要標準的獨立產品，而這些產品需要個別授權與部署。Sun 就不用。Sun Java System Access Manager 是完全自我包含的 Java EE 應用程式，在單一產品中可涵蓋聯合、存取管理與 Web 服務安全性。

Sun 的聯合身分管理解決方案
Sun Java System Access Manager 與 Sun Java System Federation Manager 滿足了可擴充的標準化快速部署身分管理解決方案需求，此種解決方案可提供聯合功能。

Access Manager 和 Federation Manager 都提供高度可整合、基礎架構不可知的聯合解決方案，可快速推出以延伸對於合作夥伴、外包商和其他外部使用者的存取管理。Access Manager 的子功能 Federation Manager 是僅限聯合功能的解決方案，可存在於公司的現有身分基礎架構上，而 Access Manager 則涵蓋了三種基本的存取管理、聯合與 Web 服務安全性功能。

此軟體是根據開放源碼 OpenSSO 代碼庫建立，下一版將著重於簡化功能，讓使用者能輕鬆完成常見的工作，在下列各方面具備了擴充的支援與功能性：

• 存取管理： 統一的配置與部署，並支援 XACML (可擴展存取控制標記語言)
• 聯合管理： 擴展互通性，支援 Web 的 WS-Federation 1.1 的規格
• Web 服務安全性： Sun、IBM 與 BEA Web 和應用程式伺服器的全新 Web 服務安全性外掛程式

下列是一些範例，展示數家公司如何將 Sun Java System Access Manager 用在身分聯合上。

製造業：簡化對合作夥伴服務的存取
全世界最大的汽車製造商之一，想要透過簡化其員工存取公司事業夥伴服務的方式，為更具生產力的商業關係舖路。聯合式的 SSO 是讓員工從多重事業夥伴處安全存取服務的關鍵，而無須針對不同夥伴使用不同密碼。

公司的實作 Sun Java System Access Manager，可讓超過 7 萬名員工直接存取夥伴防火牆後的員工福利資訊，而無需再登入另一個網站。而由於 Sun 的聯合解決方案是標準化的，公司可無限擴充其合作夥伴關係，並藉以開展新機會，獲得極大的彈性。

電信：推出跨多重網域的服務
全球性的解決方案供應商，可讓電信業者提供進行主要用戶資料整合方案，提供包含資料聯合的服務。該公司實作了 SSO 適用的 Sun Java System Access Manager 至多重網路與服務，讓內容服務供應商可透過業者入口網提供服務，並提供用戶新的加值服務，像是線上旅程規劃和管理、送達行動裝置的天氣與交通報導及其他服務。

如下圖中所示，此實作是資料整合完整途徑的一部，從資料集中化、內部網路資料整合到網路間的聯合，過程中充滿了複雜性與挑戰。

銀行業：在真實世界中讓安全聯合的 SSO 得以運作
頂尖的美國消費金融銀行 — 全國第一家提供線上帳戶存取的銀行 — 想提供客戶線上檢視已支付支票影像的能力，但不想負擔此服務實作與內部管理所需 IT 基礎架構的重擔。因此，該銀行使用 Sun Java System Access Manager 與提供該項服務的合作夥伴聯合，並納入 Web 服務安全性。

在本例中，聯合式 SSO 可讓銀行客戶安全地登入銀行的線上服務，並以無縫的方式檢視支票影像，而無須在合作夥伴的網站重新驗證。因為 Federation Manager 是基礎架構中立的，銀行或合作夥伴無須改變現有的身分管理基礎架構，即可輕鬆實作此一功能。

下一步：SOA 中的聯合功能
隨著越來越多公司尋求一個基礎，以在多重合作夥伴間進行安全、有效率和具成本效益的線上合作，身分聯合成為近日來大家深感興趣的課題。其所提供的眾多可能性，以安全地提供服務並共享跨組織間的資訊，正日漸為大家所認知。

在此同時，公司想要脫離主體與應用程式間高成本的點對點連線。使用 SOA 與其元件式模型，為聯合功能建置安全的框架已變得前所未有地容易。