《企業網D1Net》9月5日

理論和現實之間總有點距離，但是在這個云身份管理的例子中，這段距離未免太大了，以至于要想跨越它，你必須是個奧林匹克級選手。

在這個競技場上，橫沖直撞的人多的是。微軟已經推出了議程，然后建構關于Azure活動目錄服務（WAAD）方便生活的方法的理論。但是，你一開始思考你做的事，就會問自己——讓誰的生活更加方便？

每個人都同意用戶的身份驗證和識別是一個很熱的話題——而且也很重要。這和云無關，它涉及到云還只是天空中的白色東西的那段時間——那時業務中一個用戶數據儲存庫的概念可以在各種有用但是已過時的可追溯至80年代的局域網中發現。

老人們或許會想起，微軟活動目錄是一個針對網絡操作系統的抗議，當它似乎集中到私人身份存儲庫作為其要走的路——盡管更好的的次序是私人的、中央集權的身份存儲庫：是你的城鎮電話簿和一份有你工作場所的警報組合的人的清單的不同之處。

所有公司面臨的困難是安全特性中的最輕微的裂紋會導致混亂的可能。因此供應商盡可能提供給客戶一些安全自鎖裝置。微軟中基本的云面臨的架構決策似乎認為我們已經達到了這個程度。一旦你有了一個像Azure那樣在統計上值得信賴的平臺，那才是針對最敏感信息做好了準備。

這個項目的原材料使得它看起來比那個更加隱蔽，交叉資源以其復雜的圖表，聯合了單點登錄使得應用最具市場的云的認證器變成了默認的權威來源——這里即指微軟。

這種情況并不被許多行業博客所歡迎，他們中很多都專注于安全（甚至更多地專注于微軟面向企業軟件市場的卓越表現）。

但是，我認為在一大批博客中所發現的最偏執的反應是一種過激反應；大多是建立在更多的命名問題基礎上，這些經常出現在云相關聲明中。聯合身份查找并不新鮮：即使在SaaS成為一個火熱的縮寫詞之前，廣告查找瑣碎而頻繁地被SaaS供應商如WebSense應用。

事實是，真實ID世界各地只有一個（恐懼的事），而在新公司中獲得一個用戶名和密碼就可以扔掉原公司的那個（事實），這兩種本質之間，有巨大的不同。

你會遇到的大多數現有的活動目錄部署都是來自為員工提供身份認證和身份的公司，而不是SaaS提供商或是老派的據稱是“一人一密碼”型原理的最終身份經紀人的Web主機（是的，我想的是谷歌，盡管同樣可以說Paypal）。

微軟Azure活動目錄的展示材料是一條相當長的路，它從這種你從大終端用戶服務專家們那里看到的終身在線身份的福音書出發。在云說法中，人們對一個包羅萬象的用PaaS服務身份管理都感到緊張。但是，Azure活動目錄已是相當SaaS,換句話說，其材料是Azure上的遠程云，是硬背好好理解的東西。

但是那部分我分享的懷疑主義內容，來自于這樣的考慮，即在任意身份驗證都通過連結伸向另一個公司的情況下，生意可以走多遠。

云登陸承諾與你的公司登陸相同，這并不是一個微不足道的屏障，但是我之一這是否是一個那樣的云問題。我更將它視為一個向你的物理安全界限進行邏輯延伸的問題，換句話說，這是個網絡拓撲結構中的工作。

微軟相信作為一個網站所有者，你將重獲一個針對客戶員工的成員身份驗證，這個員工需要通過詢問雇主/客戶的遠程的點對點通信身份驗證存儲庫來訂購服務。

這有悖于電子商務領域公認的慣例和實踐。畢竟，作為被授權的電子商務事務發起者的遠程驗證列表的詢問者，需要的不光是僅僅知道他們在“OK列表”上，還有許多關于他們的生存和他們的消費習慣的事務要去做。這些壓力和特權都反對更先進的、更包羅萬象的超級驗證者版本，似乎那才是吸引所有人眼球的東西。

更有甚者:那些偏執狂們可能有個理由，因為管理你的微軟在線服務使用（從Xbox到Hotmail,再到TechNet）的Live ID系統。在令人毛骨悚然的入侵的大量服務標識碼的大排名上,它展現一個必備、無選擇的單片接口給消息不靈通的普通公眾:Live ID系統和所有其他系統一樣糟糕。

舉個例子。當我例舉AzureVM并提到Xbox時，我當然不希望會發現我為了在線游戲分數而放置的我的信用卡信息，因為我想用一張對Xbox有著極低信用限制的信用卡，及一個完全不同的資金來源的Azure實例。Live ID沒有讓我做它——或更準確地說，它用一個友好的方式出現并說它已經有了我的細節。

這是那種讓人們對更大結構感到緊張的蔓延——但是沒有讓我看到關于WAAD的東西可以讓我相信這是狡猾的計劃。這針對公司而非個人，但是預計這種擔憂將保留一段時間。