近年來,云計算、大數(shù)據(jù)和移動互聯(lián)網(wǎng)等技術(shù)快速興起,企業(yè)的安全邊界也逐漸趨于模糊化。為了保護(hù)應(yīng)用與數(shù)據(jù)的安全,確保員工、供應(yīng)商及合作伙伴等通過各種設(shè)備安全訪問企業(yè)內(nèi)部以及云端應(yīng)用,是當(dāng)下企業(yè)信息化進(jìn)程中所關(guān)注的重點(diǎn)。
IDaaS(Identity as a Service)身份即服務(wù),可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺。
Gartner給IDaaS的定義是“管理、賬戶配置、認(rèn)證與授權(quán)以及報告等功能的結(jié)合”。Gartner指出,IAM云安全服務(wù)的主要增長動力來自中小企業(yè)日益增長的需求,包括擴(kuò)展基礎(chǔ)IAM功能,為越來越多的訪問SaaS應(yīng)用和內(nèi)部Web應(yīng)用的員工提供服務(wù)。越來越多的中小企業(yè)開始部署IAM云服務(wù)取代原來的內(nèi)部部署的IAM工具,而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM。
IDaaS的一個主要優(yōu)勢是節(jié)約成本。使用諸如微軟AD,IBM TIM TAM之類的軟件在企業(yè)本地部署可能會帶來很多成本,團(tuán)隊需要定期維護(hù)服務(wù)器,購買、升級和安裝軟件,定期備份數(shù)據(jù),支付托管費(fèi),監(jiān)控本地額外的地盤以確保網(wǎng)絡(luò)安全,設(shè)置VPN等。有了IDaaS,訂閱費(fèi)和管理工作的成本就會大幅度降低。
除了節(jié)省開支,IDaaS的其他優(yōu)點(diǎn)還包括改進(jìn)的網(wǎng)絡(luò)安全和節(jié)省的時間,登錄速度更快,密碼重置更少。無論用戶是從機(jī)場的開放WiFi登錄,還是從辦公室的辦公桌登錄,整個過程都是無縫和安全的。安全性的提高可以防止公司面臨可能會顛覆其業(yè)務(wù)的黑客攻擊或漏洞。以及應(yīng)對企業(yè)未來業(yè)務(wù)快速增長的而對IAM服務(wù)的吞吐量的極速增加,對新技術(shù)的跟進(jìn),以及隨時出現(xiàn)的各種系統(tǒng)安全事件,都交給專業(yè)的IDaaS服務(wù)商來完成。
微服務(wù)架構(gòu)
微服務(wù)架構(gòu)IDaaS可以集成CI/CD進(jìn)行快速迭代,在產(chǎn)品版本發(fā)布引入灰度發(fā)布對關(guān)鍵業(yè)務(wù)模塊的發(fā)布進(jìn)行小規(guī)模試運(yùn)行,且適應(yīng)功能服務(wù)業(yè)務(wù)的急劇增長,比如面對登錄量突然增長,只需要擴(kuò)展SSO服務(wù),而不需要擴(kuò)展所有的服務(wù)。
面向消費(fèi)者身份認(rèn)證
為服務(wù)主客戶群體為消費(fèi)者的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶量巨大,千萬級或者億級用戶數(shù);
// 用戶注冊簡單,用戶提供盡量少的用戶數(shù)據(jù),即可注冊成功;
// 與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無縫集成;
// 用戶重復(fù)注冊智能識別,低頻攻擊識別,有效用戶智能識別;
// 同一個用戶可以重復(fù)存在于不同應(yīng)用中,并能提供用戶關(guān)聯(lián)的能力;
// 具備用戶操作行為的海量數(shù)據(jù)審計能力,基于大數(shù)據(jù)下的用戶行為分析能力;
// 互聯(lián)網(wǎng)用戶分析能力,如分類、聚合、用戶畫像等;
// 保證7*24小時的可用;
// 促銷,秒殺,雙11,突發(fā)事件等各種對登錄過程的突然爆發(fā),需要秒級的服務(wù)快速擴(kuò)充;
// 灰度發(fā)布,緩存降級限流。
面向雇員身份認(rèn)證
為服務(wù)主群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶組織架構(gòu)復(fù)雜,不同應(yīng)用沒有統(tǒng)一的組織架構(gòu);
// 用戶角色崗位復(fù)雜,存在角色過量分配,崗位交織兼崗、兼職情況眾多,臨時分配臨時回收各種權(quán)限;
// 用戶登錄操作比較便捷,提供豐富的身份認(rèn)證方式,如人臉、指紋、短信、聲紋、電信三因素、FIDO等等;
// 與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無縫集成;
// 用戶重復(fù)注冊智能識別,低頻攻擊識別,有效用戶智能識別;
// 一個用戶可以重復(fù)存在于不同應(yīng)用中,并能提供用戶關(guān)聯(lián)的能力;
// 具備用戶操作行為的海量數(shù)據(jù)審計能力,基于大數(shù)據(jù)下的用戶行為分析能力;
// 互聯(lián)網(wǎng)用戶分析能力,如分類、聚合、用戶畫像等;
// 能提供入職、離職、調(diào)崗、兼職、退休全業(yè)務(wù)生命流程;
// 全球化集團(tuán)公司,全球訪問能力,多認(rèn)證中心聯(lián)邦認(rèn)證能力。
面向供應(yīng)商身份認(rèn)證
為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 供應(yīng)商用戶數(shù)量眾多,供應(yīng)商變化頻率高;
// 供應(yīng)商人員離職率高;
// 供應(yīng)商權(quán)限控制嚴(yán)格;
// 供應(yīng)商網(wǎng)絡(luò)復(fù)雜,可以內(nèi)網(wǎng)訪問,可以從外網(wǎng)直接訪問或通過VPN訪問;
// 分配賬號控制困難,怎么控制賬號密碼共享使用;
// 供應(yīng)商僵尸賬號控制,離職人員賬號控制,權(quán)限變更控制。
面向物聯(lián)網(wǎng)身份認(rèn)證
為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 物聯(lián)網(wǎng)設(shè)備數(shù)量極大,增速極快;
// 物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定,網(wǎng)速慢;
// 物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類型眾多,系統(tǒng)計算能力有限;
// 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱,容易被強(qiáng)行刷機(jī);
// 物聯(lián)網(wǎng)設(shè)備分配唯一ID,不可偽造,不可篡改;
// 全球聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通,認(rèn)證,鑒權(quán)能力;
// 低電量設(shè)備,無系統(tǒng)設(shè)備提供設(shè)備影子,統(tǒng)一管理;
// 設(shè)備與第三方服務(wù)器通訊加密、認(rèn)證、鑒權(quán)。
派拉軟件自2008年成立起,一直深耕于身份安全領(lǐng)域,2016年從單體應(yīng)用整體過渡到微服務(wù)架構(gòu),是業(yè)界唯一全微服務(wù)架構(gòu)下的身份管理平臺。2015年開始進(jìn)入SaaS平臺下的IDaaS研發(fā),2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu),發(fā)布了派拉IDaaS產(chǎn)品,全面支持各種身份場景的應(yīng)用,并支持公有云PaaS平臺部署,混合云部署,私有云部署。
下面是派拉IDaaS的微服務(wù)架構(gòu),以在阿里云上部署的架構(gòu)為例:
// 底層組件采用PaaS平臺提供的高可用服務(wù),如負(fù)載均衡組件、OSS存儲、Mysql、Redis、Kubernetes 集群;
// 微服務(wù)網(wǎng)關(guān)前置,提供認(rèn)證、鑒權(quán)、多租戶、微服務(wù)負(fù)載均衡;
// 底層服務(wù)以API方式提供服務(wù),全docker化部署,實現(xiàn)秒級服務(wù)擴(kuò)容。
其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下:
// 提供物聯(lián)網(wǎng)設(shè)備整體方案;
// 提供安全通訊整體方案,統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案;
// 提供安全證書,安全密鑰,安全I(xiàn)D的整理管理方案。
派拉軟件IDaaS產(chǎn)品不僅提供云端IDaaS和本地化部署方式,還提供混合部署方案,可與云端IDaaS和本地化IAM打通,可以針對全球化辦公環(huán)境多中心打通,可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通,并根據(jù)不同的服務(wù)主體最優(yōu)化選擇不同方案,為用戶提供快速、安全、高效的統(tǒng)一身份管理服務(wù)。無縫集成跨地域、跨網(wǎng)絡(luò)、跨應(yīng)用、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)。