当管理员尝试登录服务器时,基于软件的控件必须验证提供的凭据。该控件必须能够查询对用户ID具有权威性的企业目录。如果所有内容(企业目录、资源和访问控制软件)都在同一个网络中,那么这是微不足道的。然而,对于现代用例,情况往往并非如此(例如,企业内部Active Directory或LDAP,但在AWS VPC中运行的Linux和Windows实例没有外部互联网访问)。
传统的解决方案远非理想。IaaS提供商提供的站点到站点VPN非常昂贵,在您支持资源的每个IaaS云中,每个VPC都需要它。另一个选项是在云中复制部分或全部企业目录基础设施,并配置它们之间的信任。这也可能非常昂贵,而且会增加复杂性,降低操作效率,并增加必须打开其他防火墙端口的风险。