三、身份验证问题

    第三个忧虑是企业身份管理的会话模式可能不满足SOA的更复杂要求。在一个简单的交易中，在会话开始的时候进行用户身份认证，然后这个认证就会应用在整个会话中。

图3、身份认证

    但是，在SOA模型中，用户可能最初发动一个交易后然后从服务器断开，而交易可能会经过一组后端服务，因此用户没有与最终的交易没有直接的联系。不仅要识别是谁发起了交易，还要识别是谁(或则在自动过程中是什么东西)批准和处理了这个交易。需要认证所有这些单个的进程在这个交易中使用的信息，而不是在一个交互的会话中询问它们的信息。这是一个到现在都没完全解决的问题。

    最好的解决这种问题的办法是使用Security Assertion Markup Language来创建一个可以附加到交易中的代表性的身份。这个问题目前已经存在，但是SOA架构的使用被互联网访问的组件增加了这种安全缺陷的程度。

    现在的担心是，人们不会去等候解决方案，或者不会尝试的去正确的使用它，从而增加了安全暴露，就会带来安全缺陷。因为SOA非常强大，而且可以被用来轻松的利用外部程序和其他外部可信任伙伴的程序，这种缺陷可能会变得非常大。企业需要谨慎的制定安全策略，加上对用户的安全意识和培训，再辅以合适的技术，来将所面临的危险降到最小。