走进身份管理

官方出品 官方博客
#1

1. 什么是身份管理 ?

IAM/IDaaS(身份访问管理/身份认证即服务),通常代表一个服务或平台,该平台可通过用户角色或权限控制,识别个体身份,进而控制其对系统资源的访问,守护个体和组织的数据。

身份管理对于企业安全很重要,通过统一登录系统可显著提高企业效率,主要从以下两个层面:

  • 用户不需要记忆和维护不同的用户名密码;
  • 保护公司及其用户免受数据泄露风险;

据一份 2015 年市场调研数据,数据泄露的造成的损失成本,平均为 3000 万元人民币。通过多因素身份认证、弱密码监测、大数据分析等安全技术,一个优秀的身份管理系统可以提供非常安全的的对这些资源的保护,同时还可以促进企业数据共享,提升企业效率。

身份管理解决方案可以为所有类型的企业带来显著价值。除此之外,还可以提供 B2B、B2C、B2E、IoT 不同场景下的特殊用例。

  • B2B:企业之间提供联合身份管理,例如允许企业使用其现有用户系统,无缝对接采购的第三方 SaaS 应用,对接供应链上下游的合作伙伴业务系统。
  • B2C:企业通过微信、微博、QQ、163、Github 等为消费者提供社交认证 (或其他更多第三方身份提供商)。
  • B2E:企业为其员工提供单点登录,简化管理,杜绝隐患;
  • IoT:物联网设备之间的互联互通;

数字环境的发展和变化异常迅速,个人智能手机和平板电脑无处不在,越来越多企业已经逐渐走向数字化和云计算。

随着数字化和云计算的进程,企业信息安全的维度和边界,越来越立体,越来越复杂,从时间上,也不再是 8 小时的,而是 7*24 全年 365 天不停止服务,同时也不再有物理地点的限制。企业的需求是在各种设备、平台、场景下保护身份安全的同时又要使数据易于共享。 过去几年,身份管理概念,如多因素身份验证(MFA),无密码和单一来源验证在解决现代分布式环境的身份管理问题时,已经走到了时代前沿。

多因素身份验证利用单独的身份验证阶段来提供两个(或更多)登录步骤。无密码可以使用 SMS、邮件验证码、指纹识别、人脸识别等生物识别技术来验证用户身份。

  • 推动 IAM/IDaaS 普及的一个趋势是基于云的应用程序(SaaS)越来越多。 云服务提供商比如阿里云和 Amazon Web Services(AWS),利用远程服务器来对用户提供计算能力和存储能力。而 IAM/IDaaS 是使用 SaaS 的重要组成部分。 IAM/IDaaS 对受限资源的访问限制,提供了监测和保障安全的方法。
  • 推动 IAM 进入市场的另一个关键需求是用户需要能够从任何地方、任何设备中访问应用程序。 随着个人计算的扩展,企业需要为他们的用户提供安全的访问能力,以便在所有不同的登录环境下确认用户身份,保证业务数据安全。

从自主开发 到 IDaaS 满足你的需求

所有使用场景

  • 你需要基于标准的解决方案来完成身份证,例如 OpenID Connect,SAML,WS-Federation 或 OAuth;
  • 你的用户可以通过各种身份提供商(如:微信、QQ)进行身份认证,但缺少平台或完整的服务来整合他们这些身份账户间的关联;
  • 你的应用程序分布在不同的域,并要求用户在每个域上的登录,彼此独立;
  • 你需要让最优秀的开发人员构建核心业务应用程序,而不是花时间在构建和维护身份管理和身份认证上;
  • 你的公司遇到过任何类型的数据泄露,或者您担心数据泄露。
  • 你被要求实现一个行业标准认证,而你从未考虑过这些问题,或有这方面的经验。

B2B

  • 你的合作伙伴要求使用他们的企业用户登录您的系统。 你需要除了支持用户名/密码选项外,还支持企业级联合登陆,以及许多其他类型的身份认证程序(如 Active Directory、LDAP、SAML)。
  • 你不愿意将用户管理委派给 IT 服务部门。

B2C

  • 你的主要用户数据来源于直接询问用户的表单或调查。 能够轻松提取有关你的用户的第三方数据,将有助于您更好地了解你的客户,进而通过销售和有针对性的营销来增加收入。
  • 如果你向消费者销售产品,你没有提供简单的一键登陆,来支持不同的社交身份注册,意味着客户的流失。
  • 在用户数量增加时,你面临着性能问题。

B2E

  • 你需要为员工管理不同的授权和访问级别。
  • 当员工加入或离开你的组织时,你需要能够轻松配置和取消用户访问权限。

购买一个身份管理解决方案的商业考虑

有许多令人信服的理由,选择购买身份管理解决方案,无论 B2B,B2C 或 B2E 场景。 一些原因如下:

所有用户场景

  • 降低成本:实施第三方身份管理解决方案非常简单,启用强大功能就像部署一台交换机一样简单。 成百上千有价值的开发时间可以重新聚焦在业务逻辑编写而不是花费时间构建身份认证系统。 很多用于身份系统安全性的测试时间可以用在核心应用程序的开发工作。集成和映射不同的身份来源,非常耗时而且痛苦。 通过 IAM 解决方案,这些工作已经提前完成,并为流行的开发堆栈提供 SDK,进一步减少集成所需的额外编码。 公司的研发团队可以专注于配置而不是通过开发和定制一套 IAM 软件解决这些问题。
  • 提高安全性:使用第三方身份管理解决方案存储数据可增强安全性。IAM 解决方案遵循安全合规性策略和安全认证。 IAM 解决方案承担保护用户数据安全存储和传输的职责。 此外,IAM解决方案还提供统一认证,以避免用户因必须记住多个登录凭据,而重复使用相同密码的不良做法。

B2B

  • 增加企业灵活性:身份管理解决方案提供强大的企业联合认证。支持各种企业连接,例如Microsoft Active Directory,LDAP,ADFS,SAML,第三方 Apps 等。还提供单点登录功能,解决了用户要记住其他用户名或密码的烦恼, 这提高了访问的便利性,从而减少客户流失。
  • 减少销售或雇员入职周期:联合身份允许不同公司使用自己的用户系统或服务,同时确保满足安全要求。 这促进更快的销售循环和客户转化。无需向客户介绍新的,不熟悉的登录方式或让他们记住另一个密码。 他们可以使用其现有企业用户系统进行单点登录。(比如一个支持各种标准用户认证协议的 SaaS 软件商,和不支持的 SaaS 软件商,前者更有竞争力。)

B2C

  • 增加消费者的转化率:通过为客户提供统一,用户友好的身份系统,无论任何浏览器或设备,都可以为终端用户提供跨所有应用程序一致,无差别的注册和登录体验。
  • 身份管理解决方案可以收集有关用户在不同身份平台的更多数据。 从而公司可以利用这些数据来有效推动市场和销售机会。
  • IAM 解决方案提供直观的登录界面,以优化注册和登录,可以减少设计需求和营销资源。 支持不同第三方登陆方案,可以分散尽可能多的身份验证请求,从而保持应用的高性能和可用性。

B2E

  • 单点登录(SSO):IAM 解决方案提供单点登录,允许用户仅通过一次登陆,使用多个第三方系统。 无论是云还是本地应用程序,SSO 都允许用户登录一次,并访问任何应用程序,而不会第二次提示凭据。SSO可用于登陆企业内部的 ERP,CRM,OA,Office 365 等应用程序。
  • 管理授权级别:身份管理解决方案提供了轻松的方法控制用户的不同访问级别。 当员工加入公司或晋升时,可以轻松在一处分配和更改不同应用的权限。企业也可以在员工离职时,轻松取消,撤销所有不同平台的访问权限。

评估一个 IAM 解决方案的关键要点

选择身份管理解决方案时,你应该仔细考虑几个因素:

  • 部署方式:你的身份管理解决方案应该可以选择部署到云,或你自己的数据中心。
  • 易于集成:使用 IAM 解决方案的众多优势之一是缩短开发时间。寻找能够提供多样 SDK,完善文档,配置和启用简单,强大 API 和功能的解决方案厂商。
  • 支持多样身份提供方案:良好的身份管理解决方案应该支持几乎所有流行的身份来源。 这包括Microsoft Active Directory,ADFS,LDAP,Office 365,Apps 和 SAML 解决方案。 对于消费者,还包括对任何自定义数据库的支持,社交身份提供商(如微博、QQ、微信等)和无密码解决方案,如短信,电子邮件,和 Touch ID 等的支持。
  • 可扩展性:你的业务会持续增长,因此你的身份管理也应该持续增长。 你的 IAM 应该允许你轻松自定义身份认证和授权方式。理想情况下,你应该能在控制面板中根据需要自定义产品,而无需联系支持人员或购买插件。 你的 IAM 解决方案还应该允许你扩展其功能,例如导入/导出用户数据,与其他应用程序轻松集成,授权或执行自定义脚本以扩展基本产品的功能。
  • 一流的安全功能:你的 IAM 提供商应由国际安全专家进行评审,并遵守 SAML,OAuth,WS-Federation 等标准,以及 OpenID Connect,SOC2,HIPAA 等。检查重要功能以防范攻击威胁和数据泄漏,例如弱密码检测和防暴力破解。
  • 易于迁移:应支持移入和移出身份管理解决方案而不受限制。确保供应商阻止将用户迁移出系统。该解决方案还应支持连接到你已使用的任何用户系统,并且不应该要求用户在迁移到新解决方案时手动重置其密码。
  • 安全专家/客户服务的快速支持:你的 IAM 客户支持团队应该拥有一个专家团队随时准备每天 24 小时协助应对任何挑战。 该团队还应包括高级开发人员 ,以及在实施 IAM 解决方案方面拥有丰富的实践经验的工程师团队。

总结

总之,你选择的 IAM 解决方案应能将身份管理系统从风险点和业务障碍,转变为一个正向的,能够促进业务增长的重要功能。 使用 Authing,你可以在几天内实施 IAM,以及利用最简单,最全面,最现代化和可扩展的 IAM 解决方案,提升企业效率。

Authing 可以帮助你管理用户的身份。作为安全专家,我们构建了一个身份即服务(IDaaS)平台,该平台的设计考虑了最先进的安全性。

Authing 的企业身份管理平台为客户提供了许多功能和优势,包括:

  • 能够配置和实现需要的企业联合登录和单点登录;
  • 强大的配置平台,最大限度的减少编码难度;
  • Authing 支持的企业级认证包括 Active Directory,LDAP,ADFS,SAML,OIDC 等。
  • Authing 支持与所有主要社交软件登陆,包括 QQ,微信,GITHUB 等等。
  • Authing 提供传统的用户名和密码验证之外还增强的安全功能(如多因素身份验证),密码检测,强力攻击保护和异常检测。
  • 无需强制密码重置,用户可以轻松地从现有系统迁移。
  • Authing 提供了审计和查看基于身份的分析的方法,以确保组织合规和增加销售机会。
  • 公司可以使用细粒度权限和强大的自定义角色功能轻松管理用户访问规则。
  • Authing 的委派管理允许公司管理细粒度访问,资源可见性,和外部员工管理。
  • 使用 Authing ,开发人员只需不到半个小时即可设置健壮且可自定义的,支持主流技术堆栈的身份管理系统。

如想获得更多的身份管理资讯请访问: https://authing.cn,微信公众号: Authing身份云。