对于最灵活的系统，映射所有的身份模式到一个共同的命名结构，并跨身份筒仓关联相同的用户帐户是必不可少的，以便使得中全局用户列表中没有重复的身份。在用户位于多个数据源的情况下，系统应该保持链接到本地身份标识符。这使得在认证过程中，系统的认证检查功能更有效——这是加快认证过程，促成单点登录的关键步骤。而不是执行一个耗时的，需要对所有的数据源执行循环搜索的过程，系统只需检查用户存储有帐户的这些库。

　　3、加入身份来创建全局配置文件

　　一旦创建了全局列表，您可以通过加入操作所有本地帐户的属性，以丰富用户的配置文件。不同的应用需要一个用户身份信息的不同方面，所以重要的是要结合所有来源的认证和授权到一个全局配置。通过联合所有的身份来源，您可以加入这些方面以形成一个全局配置，使得身份提供者能够很容易地访问，封装打包到安全指令，用于消费应用程序。

　　对于具有重叠身份的每个用户，集成层应该能够从原始身份源和包括它们的全局配置文件提取所有属性。证书应保存在原始数据源，而身份相关确保具有类似名称的用户不会被授予不当授权。

　　4、合理化群组

　　不必在多个源进行搜索，以找到群组和成员，身份提供者应该只需要搜索集成层以检查群组成员，超速登录和访问。如果您企业的现有群组足以满足今天强制执行的政策，当您在部署联合身份层时不应该重做任何工作。这层应该虚拟化现有的群组，通过翻译和DN(专有名称)进行自动重映射。

　　当基于群组成员进行授权时，联合身份层应该能够合理化和汇总现有的群组，如果需要的话，扁平化嵌套组，甚至跨多个数据源的群组成员执行计算动态。其也应该让您计算“成员”的价值，定义群组和用户的条目本身之间的关系。

　　5、缓存速度和可扩展性造成的视图

　　一种高级的身份集成整合层位于您企业当前目录基础设施及其所访问的应用程序之间，从后端隔离变化。该层需要高度的可用性，可扩展性和快速的交付——有时甚至比底层的后端更快，以便为所有用户提供对于应用程序快速和可靠的访问，无论这些应用程序位于何处;是如何存储的。

　　这样的一个层也应该能够提供一个基于您企业的部署要求和环境的持久性高速缓存的选择，所以输入、查询、或建模视图均可以缓存，以实现更高的性能和可用性，实时的或基于一个预定安排。物化层次视图的持久性意味着查询性能将不再受到复杂的连接和跨多个数据源的搜索所限制。　　

 

　　一份关于联合身份层在联合设计中适应的架构建议

　　借助一个联合身份层，大型企业可以在简化其身份基础设施的同时，关心其现有的投资，使其更容易为自己的身份供应商提供信息，并安全地兑现联合的承诺。但这一层还提供了一个灵活的基础设施和架构模式，超越了联合所带来的直接挑战，使得许多其他的用例，如Web访问管理认证、为高度安全性要求数据的细粒度授权或应用程序、完整的客户档案、更快的应用部署，甚至并购整合变得更容易。构建一个身份整合层可以解决联盟的挑战，同时使企业能够解决未来可能出现的任何新的挑战。

　　本文作者Michel Prompt是Radiant Logic公司的创始人兼首席执行官。Radiant Logic公司的RadiantOne联合身份服务采用了先进的虚拟化引擎和“大数据”驱动的目录存储，这两大功能特点均能够以给企业用户带来对于所有用户的全局视图，可扩展到数以百万计的用户查询。

　　责任编辑：余芯