分析公司Quocirca的最新研究證實，現在許多企業的外部用戶比內部用戶更多：在歐洲，有58％的企業直接與其他企業和/或消費者的用戶進行交易； 僅在英國，這一數字就達到了65％。 如果您回顧歷史，當今大多數企業都是通過收購，合并和合伙制發展的。 根據Dealogic的數據，僅在美國，2013年前9個月的并購交易總額達到了8651億美元。 與去年同期相比增長了39％，是自2008年以來的九個月最高水平。

這對企業身份管理意味著什么？

您將必須使用多個異構用戶存儲-身份驗證協議-舊式系統等等。

SAML，OpenID，OpenID Connect，WS-Federation均支持身份聯合-跨域身份驗證。 但是，我們是否總能期望聯盟用例中的所有各方都支持SAML，OpenID或OpenID Connect？ 我們今天看到的大多數聯邦系統都處于孤島中。 它可以是SAML聯合的孤島，OpenID Connect聯合的孤島或OpenID聯合的孤島。

即使在給定的聯合倉庫中，您如何隨著越來越多的服務提供商和身份提供商進行擴展？ 每個服務提供者都必須信任每個身份提供者，這會導致進入Spaghetti Identity反模式。

Federation Silos和Spaghetti Identity是通過Identity Bus模式直接解決的兩個反模式 。

使用身份總線 ，給定的服務提供者不會與給定的身份提供者耦合，也不會與給定的聯合協議耦合。 用戶應該能夠通過僅提供OpenID Connect令牌的身份提供者登錄僅接受SAML 2.0令牌的服務提供者。 身份總線充當中間人，其在異構身份協議之間中介和轉換身份令牌。

讓我們看看身份總線模式的一些好處。

引進新的服務提供商非常容易。 您只需要在身份總線上注冊服務提供商，然后從那里選擇信任的身份提供商。 無需將服務提供商配置添加到每個身份提供商。

刪除現有服務提供商非常容易。 您只需要從身份總線中刪除服務提供商即可。 無需從每個身份提供者中刪除服務提供者。

引入新的身份提供者非常容易。 您只需要在身份總線上注冊身份提供者。 任何服務提供商均可使用。

刪除現有的身份提供者非常容易。 您只需要從身份總線中刪除身份提供者。

強制執行新的身份驗證協議非常容易。 假設您需要同時使用用戶名/密碼和雙重安全性（基于SMS的身份驗證）對用戶進行身份驗證–您只需要將該功能添加到身份總線，然后從此處選擇針對給定服務提供商的身份驗證協議集即可服務提供商注冊的時間。 每個服務提供商可以在身份總線上選擇其希望如何認證用戶。

索賠轉換。 您的服務提供商可能會從http://sp1.org/claims/email屬性ID中讀取用戶的電子郵件地址，但用戶的身份提供商可能會將其作為http://idp1.org/claims/emai發送。 身份總線可以將其從身份提供者收到的聲明轉換為服務提供者期望的格式。

角色映射。 您的服務提供商需要在用戶登錄后授權他們。用戶在身份提供商處可以執行的操作與同一用戶在服務提供商處可以執行的操作不同。 來自身份提供者的用戶角色定義了他可以在身份提供者處執行的操作。 服務提供者的角色定義了用戶可以在服務提供者處執行的操作。 身份總線能夠將身份提供者的角色映射到服務提供者的角色。 例如，用戶可以在SAML響應中從其身份提供者帶來idp-admin角色，然后身份總線將找到與此映射的服務提供者角色相對應，例如sp-admin，并將其添加到SAML響應中，然后返回從身份總線連接到服務提供商。

即時調配。 由于身份總線位于所有身份事務的中間，因此它可以將所有外部用戶身份提供給內部用戶存儲。

集中監控和審計。

引入新的聯合協議所需的更改最少。 如果您具有支持專有聯合協議的服務提供商或身份提供商，則只需將該功能添加到身份總線。 無需在每個身份提供商或服務提供商處實現它。

WSO2 Identity Server是一個開源的身份和權利管理服務器，它支持SAML 2.0，OpenID，OAuth 2.0，OpenID Connect，XACML 3.0，SCIM，WS-Federation（被動）和許多其他身份聯合模式。 下圖顯示了WSO2 Identity Server的高層體系結構-支持Identity Bus模式。

翻譯自: https://www.javacodegeeks.com/2014/10/identity-anti-patterns-federation-silos-and-spaghetti-identity.html

總結

以上是生活随笔為你收集整理的身份反模式：联邦筒仓和意大利面条身份的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。