为了促成这个解决方案的操作，需要某种形式的智能规范化和身份数据的整合。对于那些并非是待开发部署，其身份信息是存在于一个独特的、有效验证状态的已经成立多年的大企业而言，是一个很大的挑战。

　　在理想的状态下，身份提供者应该能够为身份验证请求调用一个单一的标准化的身份验证。但大多数财富1000强企业都正在处理分散的身份基础设施的问题，其中身份数据信息和属性是分散在不同的身份数据存储的。身份提供者的目的并非是要跨数据孤岛或理清协议差异来找到用户和用户重叠(虽然有产品做到了这一点)。其需要一个统一的，标准化的身份视图，以便可以验证用户，并发出相应的指令，连接这些用户到网络或在安全边界以外基于云的应用程序。

　　但是，对于大多数大型企业而言，跨多种不同的分布式架构提出一个全局性的用户视野并不是一个快速或简单的任务。您所需要的是某种形式的集成层，其也可以联合您企业的身份来源——如同SAML和其他联盟成员访问协议本身一样。所有这些数据源必须是联合的，因为每一个都包含需要从现有数据中进行协调的属性或身份信息片段。毕竟，在过去，没有财富1000强公司曾开始过他们在这方面的业务。　　

 

　　在联合层集成和协调身份。

　　并非要在所有这些复杂性之上强加一个独特的集中式系统，一个联合您身份数据源的整合应能够提供整个系统的合理化观点，所有用以响应新的需求和机会所需要的灵活性。通过整合跨数据孤岛的身份数据和属性，这种联合身份层建立并维护了一个全局性的用户列表，能够跨所有企业系统实施动态策划，然后映射数据，以满足各个消费应用程序的独特要求。

　　借助一个联合身份层，您的身份提供者可以对身份实施一种理性的，普遍的验证，同时每个用户对于其自己的数据都有存储维护自主权。当然，任何变更都将需要自动同步，并最好尽可能接近实时的自动同步。通过跟踪所有用户及其相关身份信息，包括多个或重叠的用户名，这个联合身份层可以帮助实现所有应用程序的快速，准确的身份验证和授权。

　　如下，是当企业在建立联合身份层时牢牢记住的几项基本步骤。

　　1、盘点当前的数据源，并提取和统一元数据

　　构建一个身份集成整合层的第一步是要对于您企业所有的终端有一个充分的了解。您需要对所有您企业正扩展访问的用户存储进行盘点，同时要了解每款应用程序在底层是如何与这些存储交互的，包括其如何验证和收集授权信息，以及它们发送了哪些查询，它们期望哪类层次结构。一旦这一步完成了，您的整合层就可以开始了解数据的关系了(例如，在存储中是否有相同的用户，以及这些重复帐户将如何进行协调)，使其能够跨整个企业的每一个应用程序以所需要的方式提供完整的身份信息。

　　大型企业往往跨存储库阵列存储身份和属性信息，每个使用不同的协议和数据模型。一款智能联合身份系统则应能弥合这些不同的系统，以创建一个通用对象模型。这样的系统必须能够发现并提取元数据，或身份信息，并让每个数据源映射该信息到一个共同的命名。这是能够让关联身份信息和由应用程序消耗的格式代表唯一身份信息的关键。如果跨整个数据源没有用户的重叠，所有身份的一个集合通常是足够的。如果相同用户位于多个数据源，则需要关联逻辑以连接这些常见的帐户，使它们在虚拟视图仅代表一次。

　　2、聚合和关联身份信息，以建立一个独特的参考列表

　　当大型企业在尝试迁移到云服务时，他们所面临的其中一个主要挑战不仅仅是多个用户存储的问题，而是跨越这些存储的用户重叠的问题。这是建立联盟身份的一个主要障碍。理想的身份验证的基础是一份单一的全局用户列表，其中每个用户只有一个账号，而没有跨所有那些用户可能散落的不同地方的多个不同的列表。您会希望所有的用户属性位于同一个逻辑位置进行授权。

　　解决方案是创建一个包含了所有用户配置文件信息的单一列表，而做到这一点的最佳方式则是通过整合跨所有身份存储的身份信息。一旦您的库存盘点完成了之后，您可以从您的后端开始提取模式，然后关联相同的用户以创建一份全局名单。