在云計算與移動技術(shù)的快速興起�,企業(yè)的IT環(huán)境越來越復(fù)雜,網(wǎng)絡(luò)邊界正在模糊�;使用應(yīng)用系統(tǒng)的用戶身份邊界也無法單一的確定;急需要一個基于云的統(tǒng)一身份管理平臺(IDaaS)��。IDaaS在移動辦公��、SaaS服務(wù)�、PaaS平臺逐步興起并有大規(guī)模應(yīng)用后必然的產(chǎn)物。企業(yè)正在逐步接受云和移動技術(shù)�,企業(yè)需要在超越傳統(tǒng)的網(wǎng)絡(luò)邊界和傳統(tǒng)身份和訪問管理(IAM)解決方案的能力。
什么是IDaaS?
IDaaS(Identity as a Service)身份即服務(wù)��,可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺�;
Gartner給IDaaS的定義是“管理、賬戶配置�、認(rèn)證與授權(quán)以及報告等功能的結(jié)合”?�;谠贫说腎AM能夠同時管理SaaS應(yīng)用和內(nèi)部應(yīng)用�。
Gartner指出�,IAM云安全服務(wù)的主要增長動力來自中小企業(yè)的日益增長的需求�����,包括擴展基礎(chǔ)IAM功能��,為越來越多的訪問SaaS應(yīng)用和內(nèi)部web應(yīng)用的員工提供服務(wù)�。越來越多的中小企業(yè)開始部署IAM云服務(wù)取代原來的內(nèi)部部署的IAM工具,而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM�����。
Gartner表示��,IDaas的核心方面是:
IGA:為用戶提供云應(yīng)用和密碼重置功能��。
Access:標(biāo)準(zhǔn)的用戶身份驗證��、單點登錄和授權(quán)��,支持標(biāo)準(zhǔn)的聯(lián)邦認(rèn)證協(xié)議(SAML��,OIDC 等)��。
Intelligence:身份訪問日志監(jiān)視和報告��。
IDaaS有什么優(yōu)點?
IDaaS的一個主要優(yōu)勢是節(jié)約成本�����。使用諸如微軟AD��、IBM�����、TIM�����、TAM之類的軟件在企業(yè)本地部署可能會帶來很多成本�����。您的團隊必須維護服務(wù)器�,購買、升級和安裝軟件�,定期備份數(shù)據(jù),支付托管費��,監(jiān)控本地額外的地盤以確保網(wǎng)絡(luò)安全�����,設(shè)置VPN,等等�����。
有了IDaaS�����,訂閱費和管理工作的成本就大幅度降低�。
除了節(jié)省開支,IDaaS的其他優(yōu)點還包括改進的網(wǎng)絡(luò)安全和節(jié)省的時間��,登錄速度更快�,密碼重置更少。無論用戶是從機場的開放WiFi登錄�,還是從辦公室的辦公桌登錄,整個過程都是無縫和安全的�����。安全性的提高可以防止公司面臨可能會顛覆其業(yè)務(wù)的黑客攻擊或漏洞��。以及應(yīng)對企業(yè)未來業(yè)務(wù)快速增長的而對IAM服務(wù)的吞吐量的極速增加�,對新技術(shù)的跟進�,以及隨時出現(xiàn)的各種系統(tǒng)安全事件�,都交給專業(yè)的IDaaS服務(wù)商來完成�。
IDaaS應(yīng)用場景和挑戰(zhàn)
微服務(wù)架構(gòu)
以微服務(wù)架構(gòu)IDaas,可以集成CI/CD進行快速迭代�����,在產(chǎn)品版本發(fā)布引入灰度發(fā)布對關(guān)鍵業(yè)務(wù)模塊的發(fā)布進行小規(guī)模試運行�,并且功適應(yīng)能服務(wù)業(yè)務(wù)急劇增長,可以單獨擴展該服務(wù)��;比如登錄量突然增長�����,只需要擴展SSO服務(wù)��,而不需要擴展所有的服務(wù)��。
面向消費者身份認(rèn)證
為服務(wù)主體客戶群體為消費者的應(yīng)用提供IDaaS服務(wù)��,有如下特點:
1. 用戶量巨大�,千萬級或者億級用戶數(shù)。
2. 用戶注冊簡單�����,用戶提供盡量少的用戶數(shù)據(jù),即可注冊成功��。
3. 用戶登錄操作的便利性�����,提供豐富的身份認(rèn)證方式��,如人臉��、指紋��、短信��、聲紋�、電信三因素,F(xiàn)IDO等等��。
4. 與互聯(lián)網(wǎng)服務(wù)深度集成�,提供互聯(lián)網(wǎng)頭部應(yīng)用提供作為第三方認(rèn)證,如微信��、QQ、支付寶�����、淘寶�、微博、抖音��,Google等等�,與微信小程序��、釘釘小程序內(nèi)部應(yīng)用無縫集成的能力�����。
5. 用戶重復(fù)注冊智能識別�,低頻攻擊識別,有效用戶智能識別�����。
6. 同一個用戶可以重復(fù)存在于不同應(yīng)用中�,并能提供用戶關(guān)聯(lián)的能力。
7. 用戶操作行為的海量數(shù)據(jù)審計能力�,基于大數(shù)據(jù)下的用戶行為分析能力。
8. 互聯(lián)網(wǎng)用戶分析能力,如分類��、聚合�、用戶畫像等。
9. 需要保證7×24小時的可用�����。
10. 促銷��、秒殺�、雙11,突發(fā)事件等各種對登錄過程的突然爆發(fā)�����,需要秒級的服務(wù)快速擴充�。
11. 灰度發(fā)布,緩存降級限流��。
面向雇員身份認(rèn)證
為服務(wù)主體群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù)�,有如下特點:
1. 用戶組織架構(gòu)復(fù)雜,不同應(yīng)用沒有統(tǒng)一的組織架構(gòu)�。
2. 用戶角色崗位復(fù)雜,存在角色過量分配��,崗位交織兼崗、兼職情況眾多��,臨時分配臨時回收各種權(quán)限��。
3. 用戶登錄操作的便利性�����,提供豐富的身份認(rèn)證方式��,如人臉��,指紋��,短信��,聲紋�����,電信三因素��,F(xiàn)IDO等等�����。
4. 與互聯(lián)網(wǎng)服務(wù)深度集成�,提供互聯(lián)網(wǎng)頭部應(yīng)用提供作為第三方認(rèn)證,如微信�����、QQ�、支付寶、淘寶��、微博��、抖音�����,Google等等��,與微信小程序�����、釘釘小程序內(nèi)部應(yīng)用無縫集成的能力�。
5. 用戶重復(fù)注冊智能識別,低頻攻擊識別��,有效用戶智能識別。
6. 同一個用戶可以重復(fù)存在于不同應(yīng)用中��,并能提供用戶關(guān)聯(lián)的能力�。
7. 用戶操作行為的海量數(shù)據(jù)審計能力,基于大數(shù)據(jù)下的用戶行為分析能力��。
8. 互聯(lián)網(wǎng)用戶分析能力�����,如分類�����、聚合��、用戶畫像等�。
9. 能提供入職�����、離職��、調(diào)崗�、兼職�����、退休全業(yè)務(wù)生命流程�����。
10. 全球化集團公司�����,全球訪問能力�����,多認(rèn)證中心聯(lián)邦認(rèn)證能力�����。
面向供應(yīng)商身份認(rèn)證
為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù)��,有如下特點:
1. 供應(yīng)商用戶數(shù)量眾多�����,供應(yīng)商變化頻率高��。
2. 供應(yīng)商人員離職率高�。
3. 供應(yīng)商權(quán)限控制嚴(yán)格。
4. 供應(yīng)商網(wǎng)絡(luò)復(fù)雜�����,可以內(nèi)網(wǎng)訪問�,可以從外網(wǎng)直接訪問或通過VPN訪問。
5. 分配賬號控制困難�,怎么控制賬號密碼共享使用。
6. 供應(yīng)商僵尸賬號控制��,離職人員賬號控制�,權(quán)限變更控制。
面向物聯(lián)網(wǎng)身份認(rèn)證
為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù)�����,有如下特點:
1. 物聯(lián)網(wǎng)設(shè)備數(shù)量極大�,增速極快��。
2. 物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定�,網(wǎng)速慢。
3. 物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類型眾多��,系統(tǒng)計算能力有限。
4. 物聯(lián)網(wǎng)設(shè)備本身安全防護能力弱��,容易被強行刷機�。
5. 物聯(lián)網(wǎng)設(shè)備分配唯一ID,不可偽造�����,不可篡改�。
6. 全球聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通,認(rèn)證�,鑒權(quán)能力。
7. 低電量設(shè)備�����,無系統(tǒng)設(shè)備提供設(shè)備影子��,統(tǒng)一管理��。
8. 設(shè)備與第三方服務(wù)器通訊加密��、認(rèn)證�、鑒權(quán)。
派拉IDaaS產(chǎn)品及方案
派拉軟件的統(tǒng)一身份管理平臺從2008年持續(xù)進行研發(fā),2016年從單體應(yīng)用整體過度到微服務(wù)架構(gòu)��,長期對身份管理業(yè)務(wù)和微服務(wù)架構(gòu)理念進行深入研究�。業(yè)界唯一全微服務(wù)架構(gòu)下的身份管理平臺。2015年開始進入SaaS平臺下的IDaaS研發(fā)��,2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu)發(fā)布了派拉CIC產(chǎn)品�,全面支持各種身份場景的應(yīng)用,并支持公有云PaaS平臺部署��,混合云部署�����,私有云部署�����。都已經(jīng)有成熟的運行案例��。
下面是派拉CIC整體IDaaS的微服務(wù)架構(gòu)�����,以在阿里云上部署的架構(gòu)為例:
1. 底層組件采用PaaS平臺提供的高可用服務(wù)�,如負(fù)載均衡組件�、OSS存儲�����、Mysql�、Redis�、Kubernetes 集群;
2. 微服務(wù)網(wǎng)關(guān)前置�����,提供認(rèn)證��、鑒權(quán)�、多租戶、微服務(wù)負(fù)載均衡�����;
3. 底層服務(wù)以API方式提供服務(wù)��,全docker化部署�����,實現(xiàn)秒級服務(wù)擴容。
其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下:
1. 提供物聯(lián)網(wǎng)設(shè)備整體方案�。
2. 提供安全通訊整體方案,統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案�。
3. 提供安全證書,安全密鑰��,安全ID的整理管理方案��。
從根本上說�,云提供了節(jié)約、效率和專業(yè)知識�����。與網(wǎng)絡(luò)安全��、監(jiān)控�����、電子郵件�����、搜索等一樣�,身份也可以移動到云端��。
派拉通過數(shù)十年在身份認(rèn)證領(lǐng)域的耕耘�����,非常了解企業(yè)在統(tǒng)一身份管理中的流程及痛點,派拉CIC不僅提供云端IDaaS和本地化部署方式�,還提供混合部署方案,可以云端IDaaS與本地化IAM打通�����,可以針對全球化辦公環(huán)境多中心打通�,可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通,根據(jù)不同的服務(wù)主體最優(yōu)化選擇不同方案�,為用戶提供快速、安全�、高效的統(tǒng)一身份管理服務(wù)。無縫集成跨地域�、跨網(wǎng)絡(luò)、跨應(yīng)用�����、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)�。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測API-SD
API管理平臺APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫訪問管理CQ
數(shù)據(jù)治理平臺PDMP
一體化零信任
運維安全
數(shù)據(jù)安全治理
遠程辦公安全
國產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺
數(shù)字化員工門戶
熱門文章
7*24小時服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號