身份管理構建 VS 購買指南

時間 2021-05-07

標籤數據庫跨域瀏覽器安全服務器 cookie 網絡分佈式工具性能欄目 SQL 简体版

原文原文鏈接

什麼是身份管理

身份和訪問管理 (IAM)，簡稱身份管理，是指識別我的並經過用戶權限和限制，控制其對系統資源訪問的服務或平臺。使用者能夠在身份管理平臺上建立一箇中央目錄，提升用戶的工做效率: 這樣用戶就無需記住不一樣的用戶名和密碼。身份管理對於安全性有重要意義，能夠避免公司以及用戶數據泄露問題。2015年，數據泄露的平均總成本爲 380 萬美圓。身份管理能夠經過多因素身份驗證、密碼破壞保護、異常檢測等安保性能，保證公司和用戶的數據安全。數據庫

身份管理解決方案適用於全部類型的企業，下文就介紹了其分別面對 B2B、B2C 以及 B2E 企業時的用例：跨域

B2B: 企業向另外一個企業提供聯合身份管理，好比 Trello 容許另外一個企業使用其企業帳號登陸到 Trello；
B2C: 企業做爲身份提供商，經過 Facebook、谷歌或其餘社交媒體等向消費者提供社會身份驗證；
B2E: 企業爲本身的員工提供單點登陸。

本文將經過三種商業案例來講明 IAM 的好處。瀏覽器

身份管理有許多不一樣種類的解決方案，包括但不只限於如下幾點：安全

聯邦身份: 聯邦身份管理是一種傳輸身份驗證數據，而不違反同源策略的方法，一般使用外部受權服務器。
單點登陸 (SSO): SSO 是一種聯合身份管理，具體指的是：當用戶登陸到一個客戶端，隨後自動登陸到其餘客戶端的狀況，而不受平臺、技術或域的差別的影響。在此過程當中，SSO 生成一個 token或 cookie ，跨域對用戶進行身份驗證。
企業聯合: 企業聯合是一種聯邦身份管理，支持多種企業鏈接的方式，如 Active Directory（活動目錄）、LDAP（輕量級目錄訪問協議）、ADFS（活動目錄聯合服務）、 SAML（安全聲明標記語言）、Google 應用等。

身份管理持續發展變革，數字領域的發展變化突飛猛進。隨着我的智能手機和平板電腦的普及，許多企業也逐漸向數字化轉型。爲了取得成功，企業須要在保證各類設備和平臺上的身份安全。在過去的幾年裏，涉及現代分佈式系統的身份管理問題時，一些身份管理概念出如今人們關注的焦點當中，譬如多因素身份驗證 (MFA)、無密碼和單點登陸 (SSO) 等。服務器

多因素身份驗證利用身份驗證的不一樣階段來提供兩個 (或更多) 的登陸步驟。無密碼可使用短信、碰傳技術，甚至指紋認證等生物識別技術來驗證用戶身份。cookie

基於雲的應用程序推進身份管理解決方案的普及。雲應用程序和服務，如谷歌應用程序和 Amazon Web Services (AWS)，利用遠程服務器網絡來存儲和處理數據。IAM 是基於雲託管服務應用程序的一個重要組件，能夠提供監視渠道，以及用戶安全訪問所必需的資源。網絡

用戶需求也推進着 IAM 的普及——用戶須要可以在任何地方、任何設備上訪問應用程序。不管用戶在任何或使用任何設備，公司都須要可以爲用戶提供安全的訪問。身份管理的集中認證能夠在不一樣的登陸環境下驗證用戶身份。分佈式

對於 B2C 公司來講，社會認證是推進 IAM 普及的另外一個因素。潛在客戶天天使用各類各樣的社交媒體。IAM 解決方案經過各類社會身份提供商提供社會認證，容許客戶使用他們經常使用的登陸進行身份驗證，而不須要建立和記住新的戶名和密碼。工具

從 DIY 轉向 IAM 解決方案

所有用例性能

您須要標準的解決方案，如 OpenID Connect （開放認證連接）、SAML、WS-Federation（Web服務聯盟語言）和/或 OAuth （開放受權：有些用戶經過不一樣的身份提供者進行身份驗證，可是沒有辦法連接他們的賬戶）
您在不一樣的域上有應用程序，須要用戶分別爲每一個域登陸。
您的開發人員花大量時間構建和維護身份管理定製，而不是開發應用程序的核心業務。
您的公司曾經歷過任何類型的數據泄露，或者您擔憂公司數據泄露。
您被要求提供你沒有考慮過的行業認證。

B2B

您的客戶要求使用他們的企業證書登陸到您的產品。
除了用戶名/密碼選項外，您還須要支持與許多類型的身份提供者 ( 如 Active Directory) 進行企業合做。
您沒法將用戶管理委託給客戶的幫助臺。

B2C

你的用戶數據的主要來源是直接詢問用戶的表格或調查。您可以輕鬆地提取第三方用戶數據，這將有助於你更好地瞭解你的客戶，並經過促銷和定向營銷得到更多收入。
若是你賣給消費者，你並無經過社會身份提供商提供簡單的一鍵註冊選項。
您在擴大用戶基礎時遇到性能問題

B2E

您的員工管理須要不一樣的受權和訪問級別。
當員工加入或離開您的公司時，您須要可以輕鬆地添加和註銷用戶。

採購 IAM 的商業案例

採購身份管理解決方案 (包括 B2B、B2C 和 B2E) 有許多好處:

下降工程成本: 只須要簡單的按下開關，就能夠直接實現第三方身份管理解決方案。成千上百有價值的開發時間能夠用來編寫業務，而不是花在構建身份管理上。用於驗證的測試和維護安全性的時間也能夠用到核心工做當中。集成和映射身份信息是即耗時，又複雜。IAM 解決方案構建並提供這些集成。IAM 還應該爲開發棧提供 SDK （軟件開發工具包），進一步減小集成認證系統所需的額外編碼。公司的工程團隊能夠專一於配置身份管理軟件包，而不是編碼和定製。

加強安全性: 使用第三方身份管理解決方案提升了存儲數據增的安全性。IAM 解決方案堅持安全合規的策略。解決方案承擔了安全地存儲和傳輸用戶數據的責任。此外，IAM 解決方案還提供聯合身份管理，用戶不需重複使用相同密碼以免記住多個登陸憑據，這樣作是很糟糕的。

B2B

增長企業的採納與應用: 身份管理解決方案提供了強健的企業聯合，支持各類企業鏈接方式，如 Active Directory、LDAP、ADFS、 SAML、Google 應用等。經過容許用戶使用其現有的企業證書登陸，企業聯合增長了已經在使用這些技術的公司的應用。使用單點登陸，用戶不須要記住其餘用戶名或密碼，這讓訪問更加容易且有序。

增長企業收入: 身份管理解決方案確保應用程序能夠支持與任何類型的企業合做；並確保安全需求獲得知足，從而下降了成本。已經具備憑證的潛在企業客戶可使用相同的登陸進行身份驗證。這有助於從企業客戶那裏獲利，同時也實現了用戶與應用的無縫交互。

減小銷售週期/上線: 聯合身份容許公司對產品或服務使用本身的憑證，同時確保知足安全需求。這促進了更快的銷售週期與員工培訓期；也不須要向客戶介紹一個新的、不熟悉的登陸方式，或者讓他們記住另外一個密碼。客戶可使用本身的企業憑證跨域進行單點登陸。

B2C

用戶承認度增長: 無需瀏覽器或設備，身份管理爲全部應用程序提供一致的、無縫交互的註冊和登陸體驗。身份管理解決方案能夠收集更多用戶數據；反過來，公司能夠利用數據有效地創造銷售機會。解決方案優化註冊和登陸流程，並提供簡潔直觀的登陸框，還能夠減小對設計和營銷資源的需求。第三方解決方案可根據須要進行擴展，以知足到更多身份驗證請求，從而維護高性能和可用性。

B2E

第三方 SSO: IAM 解決方案可提供單點登陸，容許用戶經過一次登陸進入多個第三方。無論是雲應用仍是本地應用，SSO容許用戶登陸一次並訪問任何應用，而不會被提示第二次驗證。SSO能夠用來安裝ERP （企業資源計劃）、Salesforce（軟件營銷團隊）、Workday （工做日）、Office 365 （365辦公軟件）等應用程序。

受權級別的管理: 身份管理解決方案提供了控制用戶不一樣訪問級別的便捷方法。當員工加入公司或得到晉升時，能夠分配和更改特權。用戶還能夠被取消配置，撤消全部訪問和權限。

IAM 解決方案的首要因素

在爲您的企業選擇身份管理解決方案時，有幾個因素須要仔細考慮。

部署選項: 您的身份管理解決方案能夠選擇部署到：解決方案雲、您本身的雲或數據中心。

易於集成: 使用 IAM 解決方案的衆多優點之一是能夠減小開發時間，能夠提供 SDK、強健的文檔、強大的 API 以及配置和啓用簡單而直接的解決方案。

支持全部標識提供者: 好的身份管理解決方案應該支持幾乎全部在市面上流行的標識源。對於員工來講，這包括 Microsoft Active Directory、ADFS、Office 36五、谷歌應用程序和 SAML 解決方案。對於消費者來講，這包括支持任何自定義數據庫、社交身份提供商 (如谷歌、Twitter、Facebook 等)和無密碼解決方案，如短信、電子郵件和指紋識別。

可擴展性: 您的業務時刻處於運行當中，所以您的身份管理也應保持動態。 IAM 容許您輕鬆地定製身份驗證和受權渠道。理想狀況下，您應該可以在儀表板中根據須要定製產品，而無需聯繫相關部門或購買定製包。您的 IAM 解決方案還應該容許您擴展其功能，例如導入/導出用戶數據、與其餘應用程序的集成、受權或執行定製腳本，以擴展基本產品的功能。

同類中最好的安全特性: 您的 IAM 選擇應該由國際安全專家進行同行評審，並符合 SAML、OAuth、WS-Federation 等標準和 OpenID Connect、SOC二、HIPAA 等認證；檢查重要功能，以防止攻擊威脅和泄露數據，如違反密碼檢測和暴力破解保護。

遷移的便利性: 應該支持身份管理解決方案之間的遷移，而且不受限制。確保沒有供應商限制，以避免未來將用戶遷移出系統。該解決方案還應該鏈接到您已經使用的任何用戶存儲，而且在遷移到新解決方案時不該該要求用戶手動重置密碼。

來自安全專家/客戶服務的快速支持: 您的 IAM 應該有一個專家團隊，隨時準備幫助任何挑戰。

案例研究

高等教育出版社（如下簡稱高教社）成立於1954年5月，是新中國最先設立的專業教育出版機構之一。高教社現有在職員工1700餘人，年出書萬餘種，發行近1.3億冊。

高教社主要面臨着如下需求挑戰：

A.3500 萬用戶分佈在幾十個平臺

B.須要優質的用戶體驗設計

C.須要防欺詐保護、安全保障

D.須要跨品牌單一登陸

Authing 開發團隊針對高教社的需求，給出了針對性的解決方案：

A.一個下午兩我的即完成部署測試，輕鬆集成千萬用戶

B.統一登陸，在一處、用一個帳號登陸

C.經過多因素認證、登陸環境監測，提供專業的安全防禦

D.平臺彈性靈活，文檔、軟件包豐富，可集成各類品牌系統，下降了開發成本，減小維護工做

成本效益分析很快證實，高教社將更好地利用其員工資源來實現核心業務目標。使用 Authing 進行身份管理能夠打破企業內部的障礙，解決具備挑戰性的身份集成問題。Authing 還提供了一個強健而靈活的解決方案，它以開發人員爲中心，易於集成。該平臺對 Web 和移動設備友好，支持開放標準，並提供有力的特性和將來驗證，支持普遍的身份提供者而且易於遷移。

選擇並實現了 Authing 有許多好處。使用 Authing 的身份管理解決方案減小了額外的開發工做，從而爲 IT創新釋放了更多的資源。統一身份管理能夠助推增加，加快上市時間，系統從增長的安全性和最佳實踐中獲益。Authing 還能夠快速完全地反應漏洞。高教社這樣評價Authing：「Authing 是一個通過思考作出來的產品。」

結論

管理現代身份是一項具備挑戰性的任務。不斷髮展的標準、最佳實踐，並不斷修補安全漏洞，會佔用核心業務的時間和資金。結合組織需求不斷增加的特色，以及其餘公司如何成功地評估和實現他們本身的解決方案，您能夠從身份管理解決方案中獲益。

總之，您的組織能夠將身份管理從關鍵業務的潛在阻礙，轉變爲一個能夠爲您的組織創收的系統。使用 Authing，您能夠在幾天而不是幾個月內實現身份管理，經過利用可用的最簡單、最全面和可擴展的 IAM 解決方案來驗證組織中成員的身份。

咱們能夠提供哪些幫助

Authing 能夠幫助您管理用戶的身份。做爲安全專家，咱們構建了一個身份即服務 (IDaaS) SaaS 平臺，該平臺的設計考慮了最早進的安全性。

Authing 的企業身份管理平臺爲客戶提供了許多功能和好處，包括如下幾點:

配置和實現企業聯合和單點登陸的能力，只須要基本配置，不須要編碼。
Authing 支持的企業鏈接包括 Active Directory、LDAP、SAML、谷歌等應用程序。
Authing 支持與全部主要提供商的社交鏈接，包括 LinkedIn、Facebook、Twitter、谷歌等等。
Authing 提供傳統的用戶名和密碼認證，經過 RBAC 與多重安全功能，如多因素認證，違反密碼檢測，暴力攻擊保護，和異常檢測。用戶能夠輕鬆地從現有系統遷移，不須要強制重置密碼。
Authing 提供方法來審覈和查看身份分析結果，以確保合規性和可以創造更多的銷售機會。公司能夠經過細粒度的權限和自定義規則輕鬆管理用戶訪問。
Authing 委託管理容許公司向客戶提供粒度訪問、可見性和用戶管理。使用 Authing，開發人員只需不到30分鐘就能夠爲任何技術棧創建強大的、可定製的身份管理。