跨出防火墙之外的单点登录

　　开发者们似乎是昨天才刚刚掌握企业范围内的单点登录（Single Sign-On，SSO），企业们却今天就已经在考虑怎样把同样的思维运用到公司的防火墙之外了。John Dunn最近在Techworld上的一篇文章中讨论了联合身份管理（Federated Identity Management，FIM）的一些基本原则：

　　首先FIM不太算是一项技术——虽然有些厂商说它是——它更像是帮助理解Web Service等技术的一个概念，帮助达成一项令关注IT业前景的中坚们着迷的目标：来自不同组织的用户如何使用彼此的网络，去共享或曰“联合”数据并指导事务？

　　SAML（Security Assertion Markup Language） 2.0是OASIS承认的标准，用于帮助在FIM中实现SSO。John讨论了三项重要的SAML特性，它们是SAML适用于FIM项目的原因：

　　首先，它不要求同步，并且它按照特定的请求随时建立连接。因此保证了简单和可被审查。第二，它允许交换个人设置，因此在用户注销离开一项联合资源的时候，可以较好地管理Session。第三也可能是最重要的一点，它是一个抽象层，可以统一来自不同厂商的不同认证系统，那正是迄今困扰FIM项目的罪魁祸首。

　　John接着讨论了打算投入到FIM的企业应该注意的事项。包括：

　　确保你的公司已经准备好健壮的认证系统。你的用户会访问伙伴网站，伙伴网站的用户也会访问你的。

　　推敲员工访问多个系统可能带来的安全影响

　　承诺的问题

　　确定在失败发生时，由谁来负责

　　FIM的前景充满各种令人激动的可能性，不过John还是以一些严肃清醒的建议来结束他的文章：

　　只要时间长，哪怕是最不起眼的IT业务也有潜力转变成新颖的东西。但“联合”这个概念绝对代表了网络的未来，它让网络不再是一个个数据孤岛，而是相互交错的“网络的网络”。这已经在发生了。但FIM会迫使企业在跳进危机四伏的漩涡之前，重新审视他们自己的安全过程。