基于SaaS的身份認(rèn)證平臺(tái)
文章
2021-05-21瀏覽次數(shù):323
近年來,云計(jì)算��、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等技術(shù)快速興起�����,企業(yè)的安全邊界也逐漸趨于模糊化�。為了保護(hù)應(yīng)用與數(shù)據(jù)的安全,確保員工���、供應(yīng)商及合作伙伴等通過各種設(shè)備安全訪問企業(yè)內(nèi)部以及云端應(yīng)用��,是當(dāng)下企業(yè)信息化進(jìn)程中所關(guān)注的重點(diǎn)���。
IDaaS(Identity as a Service)身份即服務(wù)����,可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺(tái)����。
Gartner給IDaaS的定義是“管理、賬戶配置�����、認(rèn)證與授權(quán)以及報(bào)告等功能的結(jié)合”���。Gartner指出����,IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來自中小企業(yè)日益增長(zhǎng)的需求����,包括擴(kuò)展基礎(chǔ)IAM功能,為越來越多的訪問SaaS應(yīng)用和內(nèi)部Web應(yīng)用的員工提供服務(wù)��。越來越多的中小企業(yè)開始部署IAM云服務(wù)取代原來的內(nèi)部部署的IAM工具,而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM��。
IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本�����。使用諸如微軟AD�,IBM TIM TAM之類的軟件在企業(yè)本地部署可能會(huì)帶來很多成本,團(tuán)隊(duì)需要定期維護(hù)服務(wù)器��,購(gòu)買����、升級(jí)和安裝軟件��,定期備份數(shù)據(jù)��,支付托管費(fèi)��,監(jiān)控本地額外的地盤以確保網(wǎng)絡(luò)安全�����,設(shè)置VPN等�。有了IDaaS�,訂閱費(fèi)和管理工作的成本就會(huì)大幅度降低���。
除了節(jié)省開支�,IDaaS的其他優(yōu)點(diǎn)還包括改進(jìn)的網(wǎng)絡(luò)安全和節(jié)省的時(shí)間�����,登錄速度更快���,密碼重置更少����。無論用戶是從機(jī)場(chǎng)的開放WiFi登錄��,還是從辦公室的辦公桌登錄���,整個(gè)過程都是無縫和安全的��。安全性的提高可以防止公司面臨可能會(huì)顛覆其業(yè)務(wù)的黑客攻擊或漏洞����。以及應(yīng)對(duì)企業(yè)未來業(yè)務(wù)快速增長(zhǎng)的而對(duì)IAM服務(wù)的吞吐量的極速增加���,對(duì)新技術(shù)的跟進(jìn)����,以及隨時(shí)出現(xiàn)的各種系統(tǒng)安全事件,都交給專業(yè)的IDaaS服務(wù)商來完成��。
微服務(wù)架構(gòu)IDaaS可以集成CI/CD進(jìn)行快速迭代�,在產(chǎn)品版本發(fā)布引入灰度發(fā)布對(duì)關(guān)鍵業(yè)務(wù)模塊的發(fā)布進(jìn)行小規(guī)模試運(yùn)行,且適應(yīng)功能服務(wù)業(yè)務(wù)的急劇增長(zhǎng)�,比如面對(duì)登錄量突然增長(zhǎng),只需要擴(kuò)展SSO服務(wù)�����,而不需要擴(kuò)展所有的服務(wù)�。
為服務(wù)主客戶群體為消費(fèi)者的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶量巨大����,千萬(wàn)級(jí)或者億級(jí)用戶數(shù)�;
// 用戶注冊(cè)簡(jiǎn)單,用戶提供盡量少的用戶數(shù)據(jù)�,即可注冊(cè)成功;
// 與互聯(lián)網(wǎng)服務(wù)深度集成�����,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信����、QQ、支付寶��、淘寶�����、微博����、抖音、Google等�,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無縫集成��;
// 用戶重復(fù)注冊(cè)智能識(shí)別��,低頻攻擊識(shí)別�����,有效用戶智能識(shí)別;
// 同一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中��,并能提供用戶關(guān)聯(lián)的能力��;
// 具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力����,基于大數(shù)據(jù)下的用戶行為分析能力;
// 互聯(lián)網(wǎng)用戶分析能力�,如分類、聚合�����、用戶畫像等�����;
// 促銷,秒殺�,雙11����,突發(fā)事件等各種對(duì)登錄過程的突然爆發(fā)�����,需要秒級(jí)的服務(wù)快速擴(kuò)充�����;
// 灰度發(fā)布����,緩存降級(jí)限流����。
為服務(wù)主群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶組織架構(gòu)復(fù)雜��,不同應(yīng)用沒有統(tǒng)一的組織架構(gòu)����;
// 用戶角色崗位復(fù)雜,存在角色過量分配����,崗位交織兼崗、兼職情況眾多,臨時(shí)分配臨時(shí)回收各種權(quán)限���;
// 用戶登錄操作比較便捷���,提供豐富的身份認(rèn)證方式,如人臉����、指紋、短信��、聲紋�、電信三因素、FIDO等等����;
// 與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證���,如微信���、QQ、支付寶���、淘寶�、微博�、抖音、Google等����,支持與微信小程序、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無縫集成����;
// 用戶重復(fù)注冊(cè)智能識(shí)別,低頻攻擊識(shí)別���,有效用戶智能識(shí)別����;
// 一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中�����,并能提供用戶關(guān)聯(lián)的能力�;
// 具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力,基于大數(shù)據(jù)下的用戶行為分析能力�;
// 互聯(lián)網(wǎng)用戶分析能力,如分類、聚合�、用戶畫像等;
// 能提供入職����、離職、調(diào)崗���、兼職�����、退休全業(yè)務(wù)生命流程���;
// 全球化集團(tuán)公司,全球訪問能力����,多認(rèn)證中心聯(lián)邦認(rèn)證能力。
為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù)�,有如下特點(diǎn):
// 供應(yīng)商用戶數(shù)量眾多,供應(yīng)商變化頻率高�;
// 供應(yīng)商權(quán)限控制嚴(yán)格�����;
// 供應(yīng)商網(wǎng)絡(luò)復(fù)雜,可以內(nèi)網(wǎng)訪問��,可以從外網(wǎng)直接訪問或通過VPN訪問�;
// 分配賬號(hào)控制困難��,怎么控制賬號(hào)密碼共享使用�����;
// 供應(yīng)商僵尸賬號(hào)控制����,離職人員賬號(hào)控制,權(quán)限變更控制��。
面向物聯(lián)網(wǎng)身份認(rèn)證
為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù)�,有如下特點(diǎn):
// 物聯(lián)網(wǎng)設(shè)備數(shù)量極大,增速極快���;
// 物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定�����,網(wǎng)速慢��;
// 物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類型眾多����,系統(tǒng)計(jì)算能力有限;
// 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱���,容易被強(qiáng)行刷機(jī)�����;
// 物聯(lián)網(wǎng)設(shè)備分配唯一ID��,不可偽造���,不可篡改;
// 全球聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通�,認(rèn)證,鑒權(quán)能力�;
// 低電量設(shè)備,無系統(tǒng)設(shè)備提供設(shè)備影子�,統(tǒng)一管理;
// 設(shè)備與第三方服務(wù)器通訊加密���、認(rèn)證�、鑒權(quán)。
派拉軟件自2008年成立起�����,一直深耕于身份安全領(lǐng)域����,2016年從單體應(yīng)用整體過渡到微服務(wù)架構(gòu)��,是業(yè)界唯一全微服務(wù)架構(gòu)下的身份管理平臺(tái)��。2015年開始進(jìn)入SaaS平臺(tái)下的IDaaS研發(fā)�,2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu),發(fā)布了派拉IDaaS產(chǎn)品�,全面支持各種身份場(chǎng)景的應(yīng)用,并支持公有云PaaS平臺(tái)部署����,混合云部署,私有云部署����。
下面是派拉IDaaS的微服務(wù)架構(gòu)�,以在阿里云上部署的架構(gòu)為例:
// 底層組件采用PaaS平臺(tái)提供的高可用服務(wù)�,如負(fù)載均衡組件、OSS存儲(chǔ)����、Mysql、Redis���、Kubernetes 集群�;
// 微服務(wù)網(wǎng)關(guān)前置���,提供認(rèn)證��、鑒權(quán)�、多租戶����、微服務(wù)負(fù)載均衡;
// 底層服務(wù)以API方式提供服務(wù)��,全docker化部署�,實(shí)現(xiàn)秒級(jí)服務(wù)擴(kuò)容。
其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下:
// 提供物聯(lián)網(wǎng)設(shè)備整體方案���;
// 提供安全通訊整體方案����,統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案;
// 提供安全證書�����,安全密鑰���,安全I(xiàn)D的整理管理方案�����。
派拉軟件IDaaS產(chǎn)品不僅提供云端IDaaS和本地化部署方式,還提供混合部署方案��,可與云端IDaaS和本地化IAM打通�����,可以針對(duì)全球化辦公環(huán)境多中心打通���,可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通�����,并根據(jù)不同的服務(wù)主體最優(yōu)化選擇不同方案����,為用戶提供快速、安全����、高效的統(tǒng)一身份管理服務(wù)。無縫集成跨地域�、跨網(wǎng)絡(luò)、跨應(yīng)用����、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)。
員工身份與訪問控制eIAM
客戶身份與訪問控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問管理PAM
數(shù)據(jù)庫(kù)訪問管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門戶
熱門文章
7*24小時(shí)服務(wù)
專屬安全顧問
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)