En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>云安全> 基于SaaS的身份認(rèn)證平臺(tái)

基于SaaS的身份認(rèn)證平臺(tái)

文章

2021-05-21瀏覽次數(shù):190

近年來(lái),云計(jì)算、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等技術(shù)快速興起,企業(yè)的安全邊界也逐漸趨于模糊化。為了保護(hù)應(yīng)用與數(shù)據(jù)的安全,確保員工、供應(yīng)商及合作伙伴等通過(guò)各種設(shè)備安全訪問(wèn)企業(yè)內(nèi)部以及云端應(yīng)用,是當(dāng)下企業(yè)信息化進(jìn)程中所關(guān)注的重點(diǎn)。

 

 

IDaaS釋義

 

IDaaS(Identity as a Service)身份即服務(wù),可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺(tái)。

 

Gartner給IDaaS的定義是“管理、賬戶配置、認(rèn)證與授權(quán)以及報(bào)告等功能的結(jié)合”。Gartner指出,IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來(lái)自中小企業(yè)日益增長(zhǎng)的需求,包括擴(kuò)展基礎(chǔ)IAM功能,為越來(lái)越多的訪問(wèn)SaaS應(yīng)用和內(nèi)部Web應(yīng)用的員工提供服務(wù)。越來(lái)越多的中小企業(yè)開(kāi)始部署IAM云服務(wù)取代原來(lái)的內(nèi)部部署的IAM工具,而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM。

 

 

 

IDaaS的優(yōu)勢(shì)

 

IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本。使用諸如微軟AD,IBM TIM TAM之類的軟件在企業(yè)本地部署可能會(huì)帶來(lái)很多成本,團(tuán)隊(duì)需要定期維護(hù)服務(wù)器,購(gòu)買(mǎi)、升級(jí)和安裝軟件,定期備份數(shù)據(jù),支付托管費(fèi),監(jiān)控本地額外的地盤(pán)以確保網(wǎng)絡(luò)安全,設(shè)置VPN等。有了IDaaS,訂閱費(fèi)和管理工作的成本就會(huì)大幅度降低。

 

除了節(jié)省開(kāi)支,IDaaS的其他優(yōu)點(diǎn)還包括改進(jìn)的網(wǎng)絡(luò)安全和節(jié)省的時(shí)間,登錄速度更快,密碼重置更少。無(wú)論用戶是從機(jī)場(chǎng)的開(kāi)放WiFi登錄,還是從辦公室的辦公桌登錄,整個(gè)過(guò)程都是無(wú)縫和安全的。安全性的提高可以防止公司面臨可能會(huì)顛覆其業(yè)務(wù)的黑客攻擊或漏洞。以及應(yīng)對(duì)企業(yè)未來(lái)業(yè)務(wù)快速增長(zhǎng)的而對(duì)IAM服務(wù)的吞吐量的極速增加,對(duì)新技術(shù)的跟進(jìn),以及隨時(shí)出現(xiàn)的各種系統(tǒng)安全事件,都交給專業(yè)的IDaaS服務(wù)商來(lái)完成。

 

 

 IDaaS應(yīng)用場(chǎng)景

 

微服務(wù)架構(gòu)

 

微服務(wù)架構(gòu)IDaaS可以集成CI/CD進(jìn)行快速迭代,在產(chǎn)品版本發(fā)布引入灰度發(fā)布對(duì)關(guān)鍵業(yè)務(wù)模塊的發(fā)布進(jìn)行小規(guī)模試運(yùn)行,且適應(yīng)功能服務(wù)業(yè)務(wù)的急劇增長(zhǎng),比如面對(duì)登錄量突然增長(zhǎng),只需要擴(kuò)展SSO服務(wù),而不需要擴(kuò)展所有的服務(wù)。

 

面向消費(fèi)者身份認(rèn)證

 

為服務(wù)主客戶群體為消費(fèi)者的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):

 

//  用戶量巨大,千萬(wàn)級(jí)或者億級(jí)用戶數(shù);

//  用戶注冊(cè)簡(jiǎn)單,用戶提供盡量少的用戶數(shù)據(jù),即可注冊(cè)成功;

//  與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無(wú)縫集成;

//  用戶重復(fù)注冊(cè)智能識(shí)別,低頻攻擊識(shí)別,有效用戶智能識(shí)別;

//  同一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中,并能提供用戶關(guān)聯(lián)的能力;

//  具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力,基于大數(shù)據(jù)下的用戶行為分析能力;

//  互聯(lián)網(wǎng)用戶分析能力,如分類、聚合、用戶畫(huà)像等;

//  保證7*24小時(shí)的可用;

//  促銷(xiāo),秒殺,雙11,突發(fā)事件等各種對(duì)登錄過(guò)程的突然爆發(fā),需要秒級(jí)的服務(wù)快速擴(kuò)充;

//  灰度發(fā)布,緩存降級(jí)限流。

 

面向雇員身份認(rèn)證

 

為服務(wù)主群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):

 

//  用戶組織架構(gòu)復(fù)雜,不同應(yīng)用沒(méi)有統(tǒng)一的組織架構(gòu);

//  用戶角色崗位復(fù)雜,存在角色過(guò)量分配,崗位交織兼崗、兼職情況眾多,臨時(shí)分配臨時(shí)回收各種權(quán)限;

//  用戶登錄操作比較便捷,提供豐富的身份認(rèn)證方式,如人臉、指紋、短信、聲紋、電信三因素、FIDO等等;

//  與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無(wú)縫集成;

//  用戶重復(fù)注冊(cè)智能識(shí)別,低頻攻擊識(shí)別,有效用戶智能識(shí)別;

//  一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中,并能提供用戶關(guān)聯(lián)的能力;

//  具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力,基于大數(shù)據(jù)下的用戶行為分析能力;

//  互聯(lián)網(wǎng)用戶分析能力,如分類、聚合、用戶畫(huà)像等;

//  能提供入職、離職、調(diào)崗、兼職、退休全業(yè)務(wù)生命流程;

//  全球化集團(tuán)公司,全球訪問(wèn)能力,多認(rèn)證中心聯(lián)邦認(rèn)證能力。

 

面向供應(yīng)商身份認(rèn)證

 

為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):

 

//  供應(yīng)商用戶數(shù)量眾多,供應(yīng)商變化頻率高;

//  供應(yīng)商人員離職率高;

//  供應(yīng)商權(quán)限控制嚴(yán)格;

//  供應(yīng)商網(wǎng)絡(luò)復(fù)雜,可以內(nèi)網(wǎng)訪問(wèn),可以從外網(wǎng)直接訪問(wèn)或通過(guò)VPN訪問(wèn);

//  分配賬號(hào)控制困難,怎么控制賬號(hào)密碼共享使用;

//  供應(yīng)商僵尸賬號(hào)控制,離職人員賬號(hào)控制,權(quán)限變更控制。

 

面向物聯(lián)網(wǎng)身份認(rèn)證

 

為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):

 

//  物聯(lián)網(wǎng)設(shè)備數(shù)量極大,增速極快;

//  物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定,網(wǎng)速慢;

//  物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類型眾多,系統(tǒng)計(jì)算能力有限;

//  物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱,容易被強(qiáng)行刷機(jī);

//  物聯(lián)網(wǎng)設(shè)備分配唯一ID,不可偽造,不可篡改;

//  全球聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通,認(rèn)證,鑒權(quán)能力;

//  低電量設(shè)備,無(wú)系統(tǒng)設(shè)備提供設(shè)備影子,統(tǒng)一管理;

//  設(shè)備與第三方服務(wù)器通訊加密、認(rèn)證、鑒權(quán)。

 

 

派拉IDaaS產(chǎn)品及方案

 

派拉軟件自2008年成立起,一直深耕于身份安全領(lǐng)域,2016年從單體應(yīng)用整體過(guò)渡到微服務(wù)架構(gòu),是業(yè)界唯一全微服務(wù)架構(gòu)下的身份管理平臺(tái)。2015年開(kāi)始進(jìn)入SaaS平臺(tái)下的IDaaS研發(fā),2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu),發(fā)布了派拉IDaaS產(chǎn)品,全面支持各種身份場(chǎng)景的應(yīng)用,并支持公有云PaaS平臺(tái)部署,混合云部署,私有云部署。

 

下面是派拉IDaaS的微服務(wù)架構(gòu),以在阿里云上部署的架構(gòu)為例:

圖片

//  底層組件采用PaaS平臺(tái)提供的高可用服務(wù),如負(fù)載均衡組件、OSS存儲(chǔ)、Mysql、Redis、Kubernetes 集群;

//  微服務(wù)網(wǎng)關(guān)前置,提供認(rèn)證、鑒權(quán)、多租戶、微服務(wù)負(fù)載均衡;

//  底層服務(wù)以API方式提供服務(wù),全docker化部署,實(shí)現(xiàn)秒級(jí)服務(wù)擴(kuò)容。

 

其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下:

圖片

//  提供物聯(lián)網(wǎng)設(shè)備整體方案;

//  提供安全通訊整體方案,統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案;

//  提供安全證書(shū),安全密鑰,安全I(xiàn)D的整理管理方案。

 

圖片

 

派拉軟件IDaaS產(chǎn)品不僅提供云端IDaaS和本地化部署方式,還提供混合部署方案,可與云端IDaaS和本地化IAM打通,可以針對(duì)全球化辦公環(huán)境多中心打通,可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通,并根據(jù)不同的服務(wù)主體最優(yōu)化選擇不同方案,為用戶提供快速、安全、高效的統(tǒng)一身份管理服務(wù)。無(wú)縫集成跨地域、跨網(wǎng)絡(luò)、跨應(yīng)用、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)。