В мае я присутствовал на совещаниях Microsoft, посвященных теме Cloud OS как целостной комбинации Windows Server 2012, System Center 2012 и Windows Azure. Ядром этой службы, как и любой другой современной комплексной гибридной системы, является интегрированная система учетных данных. Однако в отличие от среды доменов и Kerberos, в мире «облачных» учетных данных протоколы и стандарты еще очень далеки от стадии окончательного определения.
Это часто подчеркивают отраслевые аналитики. В частности, прошлым летом на саммите Cloud Identity Summit (http://cloudidentitysummit.com/) Грег Бертон из Kuppinger Cole заявил о выходе SAML из игры. Язык форматирования защищенных данных Security Assertion Markup Language (SAML) – широко распространенный стандарт обмена учетными данными, краеугольный камень аутентификации на основе утверждений. Спустя несколько месяцев Ян Глейзер из Gartner положил начало содержательной дискуссии своей публикацией «Killing IAM In Order to Save It» (http://blogs.gartner.com/ian-glazer/2013/02/08/killing-iam-in-order-to-save-it/), где говорилось о необходимости коренных изменений для обеспечения перехода управления удостоверениями и доступом Ientity and Access Control Management (IAM) в новую эру.
Еще один пример касается разработанного сообществом OASIS в качестве стандарта авторизации расширяемого языка разметки eXtensible Access Control Markup Language (XACML). Если вы не знакомы с XACML, не огорчайтесь, так как этот стандарт не получил широкого распространения. Андрас Цер из Forrester провозгласил кончину ХACML. Это заявление вызвало возражения, что XACML «не умер, просто отдыхает». Заметим, что большинство таких возражений были сделаны членами Технического комитета OASIS по XACML.
Я не буду вступать в дебаты по поводу истинности положения XACML как доминирующего протокола авторизации или относительно видавшего виды SAML. На мой взгляд, ключевые протоколы передачи учетных данных, критически значимые для успеха всех прочих аспектов «облачной» трансформации, пока находятся на стадии становления. За пределами предприятий существует беспорядочная смесь стандартов, находящихся на разных стадиях ратификации и ввода в обращение. Kerberos – надежная, но уходящая в прошлое технология; XACML, по-видимому, утратил позиции; SCIM (http://www.simplecloud.info/) уверенно развивается, а OAuth 2.0 и его «младший брат» OpenID Connect переживают стремительный рост. Устаревшая синхронизация каталогов и текстовый файл CSV не собираются прекращать существование в обозримом будущем.
Чтобы «облачные» службы обрели надежный статус, как у локальных приложений, сообщество специалистов по учетным данным должно определить для всех аспектов IAM приемлемый набор стандартов, одинаково хорошо работающих в локальной среде и в «облаке» и позволяющих отказаться от огромного числа паролей. Следить за этим процессом будет непросто, но увлекательно, и в предстоящих публикациях я попытаюсь осмыслить суть происходящего с позиций ИТ-специалиста, непосредственно заинтересованного в продуктах, основанных на стандартах, которые обеспечат простое и безопасное взаимодействие.
В свою очередь, ИТ-специалисты, будучи распорядителями финансов как наиболее убедительного аргумента, также должны побуждать своих поставщиков к переходу на стандарты. Что же касается конечных пользователей, то их не должно волновать управление учетными данными. Они просто должны получать доступ ко всему необходимому без нужды запоминать множество имен и паролей.