当用户被迫使用多个ID和密码时，他们自然会倾向于在不同系统平台上简化、重复使用相同的ID和（或）密码。黑客很有可能通过这些在线服务——如谷歌应用——获取到的ID/密码直接取得该用户使用在企业网络系统中的ID/密码。这样的情况已经在Twitter身上发生过了，一个Twitter员工受到网络攻击，他的企业网络账号密码和私人的谷歌应用账号相同，不幸泄露了出去。

　　为了解决这样的问题，我们需要联合身份管理策略，将统一通信和SaaS办公系统的单点登录延伸到云端。联合身份认证使用户只需使用最好的账号密码登录一次桌面就能自动连接到在线服务账户。

　　基于SAML的联合身份管理

　　联合身份验证包括传递身份信息和授权信息以实现单点登录。目前主要有两个开放标准：安全判断标记语言（SAML）和OpenID。大部分在线统一通信服务和SaaS办公服务通常都支持SAML和OpenID。

　　SAML是一种由OUSIS为了交换身份验证信息和授权信息制定的基于XML的开放标准。它通过坚守用户需要登录应用程序——尤其是网络应用——的次数以提高安全性。它还能简化登录流程，减少对帮助台和IT管理服务的需求。

　　SAML的工作原理非常简单。由身份提供者（IDP）——保有用户账号文件的机构，如Active Directory——连接服务供应商（SP）或统一通信服务应用或SaaS办公应用。当用户试图访问云应用时，比如谷歌Apps或者微软Office 365,连接将被截获并路由到IDP。IDP的联合身份管理软件系统将认证用户身份。当SP确认IDP后，IDP向SP发送授权用户令牌。用户最终重定向连接到SP提供的应用服务。这一切都在后台快速执行，用户根本注意不到其中过程。

　　为了进一步说明联合身份管理的概念，让我们看看使用微软Office 365的例子。用户使用他们的企业网账号密码登录到终端桌面。在登录过程中确认其本地服务。用户通过浏览器尝试访问云服务。对于Office 365，IT管理员必须建立Active Directory Federation Servicer 2.0(ADFS)，或者是IDP。ADFS发送消息给微软在线服务联合网关或SP。联合网关来处理云应用的单点登录。但是，想要使其行之有效，企业和云服务供应商之间必须有很好的信任关系。建立这样的信任关系就需要使用SSL证书，从Entrust，Go Daddy或赛门铁克这样的公司那里注册一个企业域名。

　　听起来很复杂吧？好吧，其实也没有那么麻烦，但良好的计划、训练和部署是必需的。开源的Shibboleth也是一个选择，它为IDP和SP提供开源代码。

　　当我们想要将统一通信和SaaS办公延伸到云端的时候，联合身份验证肯定会让员工的工作更轻松，也能更好的保护企业的利益。