走進身份管理

時間 2019-12-12

標籤走進身份管理简体版

原文原文鏈接

1. 什麼是身份管理？

IAM/IDaaS（身份訪問管理/身份認證即服務），一般表明一個服務或平臺，該平臺可經過用戶角色或權限控制，識別個體身份，進而控制其對系統資源的訪問，守護個體和組織的數據。數據庫

身份管理對於企業安全很重要，經過統一登陸系統可顯著提升企業效率，主要從如下兩個層面：瀏覽器

用戶不須要記憶和維護不一樣的用戶名密碼；
保護公司及其用戶免受數據泄露風險；

據一份 2015 年市場調研數據，數據泄露的形成的損失成本，平均爲 3000 萬元人民幣。經過多因素身份認證、弱密碼監測、大數據分析等安全技術，一個優秀的身份管理系統能夠提供很是安全的的對這些資源的保護，同時還能夠促進企業數據共享，提高企業效率。安全

身份管理解決方案能夠爲全部類型的企業帶來顯著價值。除此以外，還能夠提供 B2B、B2C、B2E、IoT 不一樣場景下的特殊用例。服務器

B2B：企業之間提供聯合身份管理，例如容許企業使用其現有用戶系統，無縫對接採購的第三方 SaaS 應用，對接供應鏈上下游的合做夥伴業務系統。
B2C：企業經過微信、微博、QQ、16三、Github 等爲消費者提供社交認證（或其餘更多第三方身份提供商）。
B2E：企業爲其員工提供單點登陸，簡化管理，杜絕隱患；
IoT：物聯網設備之間的互聯互通；

數字環境的發展和變化異常迅速，我的智能手機和平板電腦無處不在，愈來愈多企業已經逐漸走向數字化和雲計算。微信

隨着數字化和雲計算的進程，企業信息安全的維度和邊界，愈來愈立體，愈來愈複雜，從時間上，也再也不是 8 小時的，而是 7*24 整年 365 天不中止服務，同時也再也不有物理地點的限制。企業的需求是在各類設備、平臺、場景下保護身份安全的同時又要使數據易於共享。過去幾年，身份管理概念，如多因素身份驗證（MFA），無密碼和單一來源驗證在解決現代分佈式環境的身份管理問題時，已經走到了時代前沿。分佈式

多因素身份驗證利用單獨的身份驗證階段來提供兩個（或更多）登陸步驟。無密碼可使用 SMS、郵件驗證碼、指紋識別、人臉識別等生物識別技術來驗證用戶身份。性能

推進 IAM/IDaaS 普及的一個趨勢是基於雲的應用程序（SaaS）愈來愈多。雲服務提供商好比阿里雲和 Amazon Web Services（AWS），利用遠程服務器來對用戶提供計算能力和存儲能力。而 IAM/IDaaS 是使用 SaaS 的重要組成部分。 IAM/IDaaS 對受限資源的訪問限制，提供了監測和保障安全的方法。
推進 IAM 進入市場的另外一個關鍵需求是用戶須要可以從任何地方、任何設備中訪問應用程序。隨着我的計算的擴展，企業須要爲他們的用戶提供安全的訪問能力，以便在全部不一樣的登陸環境下確認用戶身份，保證業務數據安全。

從自主開發到 IDaaS 知足你的需求

全部使用場景

你須要基於標準的解決方案來完成身份證，例如 OpenID Connect，SAML，WS-Federation 或 OAuth；
你的用戶能夠經過各類身份提供商（如：微信、QQ）進行身份認證，但缺乏平臺或完整的服務來整合他們這些身份帳戶間的關聯；
你的應用程序分佈在不一樣的域，並要求用戶在每一個域上的登陸，彼此獨立；
你須要讓最優秀的開發人員構建核心業務應用程序，而不是花時間在構建和維護身份管理和身份認證上；
你的公司遇到過任何類型的數據泄露，或者您擔憂數據泄露。
你被要求實現一個行業標準認證，而你從未考慮過這些問題，或有這方面的經驗。

B2B

你的合做夥伴要求使用他們的企業用戶登陸您的系統。你須要除了支持用戶名/密碼選項外，還支持企業級聯合登錄，以及許多其餘類型的身份認證程序（如 Active Directory、LDAP、SAML）。
你不肯意將用戶管理委派給 IT 服務部門。

B2C

你的主要用戶數據來源於直接詢問用戶的表單或調查。可以輕鬆提取有關你的用戶的第三方數據，將有助於您更好地瞭解你的客戶，進而經過銷售和有針對性的營銷來增長收入。
若是你向消費者銷售產品，你沒有提供簡單的一鍵登錄，來支持不一樣的社交身份註冊，意味着客戶的流失。
在用戶數量增長時，你面臨着性能問題。

B2E

你須要爲員工管理不一樣的受權和訪問級別。
當員工加入或離開你的組織時，你須要可以輕鬆配置和取消用戶訪問權限。

購買一個身份管理解決方案的商業考慮

有許多使人信服的理由，選擇購買身份管理解決方案，不管 B2B，B2C 或 B2E 場景。一些緣由以下：測試

全部用戶場景

下降成本：實施第三方身份管理解決方案很是簡單，啓用強大功能就像部署一臺交換機同樣簡單。成百上千有價值的開發時間能夠從新聚焦在業務邏輯編寫而不是花費時間構建身份認證系統。不少用於身份系統安全性的測試時間能夠用在覈心應用程序的開發工做。集成和映射不一樣的身份來源，很是耗時並且痛苦。經過 IAM 解決方案，這些工做已經提早完成，併爲流行的開發堆棧提供 SDK，進一步減小集成所需的額外編碼。公司的研發團隊能夠專一於配置而不是經過開發和定製一套 IAM 軟件解決這些問題。
提升安全性：使用第三方身份管理解決方案存儲數據可加強安全性。IAM 解決方案遵循安全合規性策略和安全認證。 IAM 解決方案承擔保護用戶數據安全存儲和傳輸的職責。此外，IAM解決方案還提供統一認證，以免用戶因必須記住多個登陸憑據，而重複使用相同密碼的不良作法。

B2B

增長企業靈活性：身份管理解決方案提供強大的企業聯合認證。支持各類企業鏈接，例如Microsoft Active Directory，LDAP，ADFS，SAML，第三方 Apps 等。還提供單點登陸功能，解決了用戶要記住其餘用戶名或密碼的煩惱，這提升了訪問的便利性，從而減小客戶流失。
減小銷售或僱員入職週期：聯合身份容許不一樣公司使用本身的用戶系統或服務，同時確保知足安全要求。這促進更快的銷售循環和客戶轉化。無需向客戶介紹新的，不熟悉的登陸方式或讓他們記住另外一個密碼。他們可使用其現有企業用戶系統進行單點登陸。（好比一個支持各類標準用戶認證協議的 SaaS 軟件商，和不支持的 SaaS 軟件商，前者更有競爭力。）

B2C

增長消費者的轉化率：經過爲客戶提供統一，用戶友好的身份系統，不管任何瀏覽器或設備，均可覺得終端用戶提供跨全部應用程序一致，無差異的註冊和登陸體驗。
身份管理解決方案能夠收集有關用戶在不一樣身份平臺的更多數據。從而公司能夠利用這些數據來有效推進市場和銷售機會。
IAM 解決方案提供直觀的登陸界面，以優化註冊和登陸，能夠減小設計需求和營銷資源。支持不一樣第三方登錄方案，能夠分散盡量多的身份驗證請求，從而保持應用的高性能和可用性。

B2E

單點登陸（SSO）：IAM 解決方案提供單點登陸，容許用戶僅經過一次登錄，使用多個第三方系統。不管是雲仍是本地應用程序，SSO 都容許用戶登陸一次，並訪問任何應用程序，而不會第二次提示憑據。SSO可用於登錄企業內部的 ERP，CRM，OA，Office 365 等應用程序。
管理受權級別：身份管理解決方案提供了輕鬆的方法控制用戶的不一樣訪問級別。當員工加入公司或晉升時，能夠輕鬆在一處分配和更改不一樣應用的權限。企業也能夠在員工離職時，輕鬆取消，撤銷全部不一樣平臺的訪問權限。

評估一個 IAM 解決方案的關鍵要點

選擇身份管理解決方案時，你應該仔細考慮幾個因素：大數據

部署方式：你的身份管理解決方案應該能夠選擇部署到雲，或你本身的數據中心。
易於集成：使用 IAM 解決方案的衆多優點之一是縮短開發時間。尋找可以提供多樣 SDK，完善文檔，配置和啓用簡單，強大 API 和功能的解決方案廠商。
支持多樣身份提供方案：良好的身份管理解決方案應該支持幾乎全部流行的身份來源。這包括Microsoft Active Directory，ADFS，LDAP，Office 365，Apps 和 SAML 解決方案。對於消費者，還包括對任何自定義數據庫的支持，社交身份提供商（如微博、QQ、微信等）和無密碼解決方案，如短信，電子郵件，和 Touch ID 等的支持。
可擴展性：你的業務會持續增加，所以你的身份管理也應該持續增加。你的 IAM 應該容許你輕鬆自定義身份認證和受權方式。理想狀況下，你應該能在控制面板中根據須要自定義產品，而無需聯繫支持人員或購買插件。你的 IAM 解決方案還應該容許你擴展其功能，例如導入/導出用戶數據，與其餘應用程序輕鬆集成，受權或執行自定義腳本以擴展基本產品的功能。
一流的安全功能：你的 IAM 提供商應由國際安全專家進行評審，並遵照 SAML，OAuth，WS-Federation 等標準，以及 OpenID Connect，SOC2，HIPAA 等。檢查重要功能以防範攻擊威脅和數據泄漏，例如弱密碼檢測和防暴力破解。
易於遷移：應支持移入和移出身份管理解決方案而不受限制。確保供應商阻止將用戶遷移出系統。該解決方案還應支持鏈接到你已使用的任何用戶系統，而且不該該要求用戶在遷移到新解決方案時手動重置其密碼。
安全專家/客戶服務的快速支持：你的 IAM 客戶支持團隊應該擁有一個專家團隊隨時準備天天 24 小時協助應對任何挑戰。該團隊還應包括高級開發人員，以及在實施 IAM 解決方案方面擁有豐富的實踐經驗的工程師團隊。