基于SaaS的身份認(rèn)證平臺(tái)
文章
2021-05-21瀏覽次數(shù):189
近年來(lái)��,云計(jì)算�、大數(shù)據(jù)和移動(dòng)互聯(lián)網(wǎng)等技術(shù)快速興起,企業(yè)的安全邊界也逐漸趨于模糊化����。為了保護(hù)應(yīng)用與數(shù)據(jù)的安全,確保員工�、供應(yīng)商及合作伙伴等通過(guò)各種設(shè)備安全訪問(wèn)企業(yè)內(nèi)部以及云端應(yīng)用,是當(dāng)下企業(yè)信息化進(jìn)程中所關(guān)注的重點(diǎn)�。
IDaaS(Identity as a Service)身份即服務(wù),可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺(tái)����。
Gartner給IDaaS的定義是“管理、賬戶配置���、認(rèn)證與授權(quán)以及報(bào)告等功能的結(jié)合”��。Gartner指出�����,IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來(lái)自中小企業(yè)日益增長(zhǎng)的需求�,包括擴(kuò)展基礎(chǔ)IAM功能�����,為越來(lái)越多的訪問(wèn)SaaS應(yīng)用和內(nèi)部Web應(yīng)用的員工提供服務(wù)��。越來(lái)越多的中小企業(yè)開(kāi)始部署IAM云服務(wù)取代原來(lái)的內(nèi)部部署的IAM工具,而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM�����。
IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本�����。使用諸如微軟AD�,IBM TIM TAM之類(lèi)的軟件在企業(yè)本地部署可能會(huì)帶來(lái)很多成本,團(tuán)隊(duì)需要定期維護(hù)服務(wù)器�����,購(gòu)買(mǎi)����、升級(jí)和安裝軟件,定期備份數(shù)據(jù)�����,支付托管費(fèi)�,監(jiān)控本地額外的地盤(pán)以確保網(wǎng)絡(luò)安全,設(shè)置VPN等��。有了IDaaS,訂閱費(fèi)和管理工作的成本就會(huì)大幅度降低。
除了節(jié)省開(kāi)支,IDaaS的其他優(yōu)點(diǎn)還包括改進(jìn)的網(wǎng)絡(luò)安全和節(jié)省的時(shí)間,登錄速度更快�,密碼重置更少��。無(wú)論用戶是從機(jī)場(chǎng)的開(kāi)放WiFi登錄,還是從辦公室的辦公桌登錄���,整個(gè)過(guò)程都是無(wú)縫和安全的。安全性的提高可以防止公司面臨可能會(huì)顛覆其業(yè)務(wù)的黑客攻擊或漏洞��。以及應(yīng)對(duì)企業(yè)未來(lái)業(yè)務(wù)快速增長(zhǎng)的而對(duì)IAM服務(wù)的吞吐量的極速增加,對(duì)新技術(shù)的跟進(jìn),以及隨時(shí)出現(xiàn)的各種系統(tǒng)安全事件,都交給專(zhuān)業(yè)的IDaaS服務(wù)商來(lái)完成。
微服務(wù)架構(gòu)IDaaS可以集成CI/CD進(jìn)行快速迭代��,在產(chǎn)品版本發(fā)布引入灰度發(fā)布對(duì)關(guān)鍵業(yè)務(wù)模塊的發(fā)布進(jìn)行小規(guī)模試運(yùn)行�,且適應(yīng)功能服務(wù)業(yè)務(wù)的急劇增長(zhǎng),比如面對(duì)登錄量突然增長(zhǎng)�,只需要擴(kuò)展SSO服務(wù),而不需要擴(kuò)展所有的服務(wù)�。
為服務(wù)主客戶群體為消費(fèi)者的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶量巨大,千萬(wàn)級(jí)或者億級(jí)用戶數(shù)����;
// 用戶注冊(cè)簡(jiǎn)單���,用戶提供盡量少的用戶數(shù)據(jù)��,即可注冊(cè)成功����;
// 與互聯(lián)網(wǎng)服務(wù)深度集成�,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證,如微信�����、QQ����、支付寶、淘寶��、微博�、抖音、Google等,支持與微信小程序�、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無(wú)縫集成;
// 用戶重復(fù)注冊(cè)智能識(shí)別�,低頻攻擊識(shí)別,有效用戶智能識(shí)別���;
// 同一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中���,并能提供用戶關(guān)聯(lián)的能力;
// 具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力��,基于大數(shù)據(jù)下的用戶行為分析能力����;
// 互聯(lián)網(wǎng)用戶分析能力,如分類(lèi)�����、聚合����、用戶畫(huà)像等;
// 促銷(xiāo)����,秒殺,雙11�,突發(fā)事件等各種對(duì)登錄過(guò)程的突然爆發(fā),需要秒級(jí)的服務(wù)快速擴(kuò)充��;
// 灰度發(fā)布��,緩存降級(jí)限流���。
為服務(wù)主群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù),有如下特點(diǎn):
// 用戶組織架構(gòu)復(fù)雜���,不同應(yīng)用沒(méi)有統(tǒng)一的組織架構(gòu)�����;
// 用戶角色崗位復(fù)雜���,存在角色過(guò)量分配,崗位交織兼崗���、兼職情況眾多���,臨時(shí)分配臨時(shí)回收各種權(quán)限�;
// 用戶登錄操作比較便捷�����,提供豐富的身份認(rèn)證方式�,如人臉、指紋���、短信�、聲紋���、電信三因素����、FIDO等等�;
// 與互聯(lián)網(wǎng)服務(wù)深度集成,提供互聯(lián)網(wǎng)頭部應(yīng)用作為第三方認(rèn)證�,如微信、QQ����、支付寶�、淘寶�����、微博��、抖音�����、Google等����,支持與微信小程序��、釘釘小程序內(nèi)部應(yīng)用進(jìn)行無(wú)縫集成��;
// 用戶重復(fù)注冊(cè)智能識(shí)別����,低頻攻擊識(shí)別,有效用戶智能識(shí)別���;
// 一個(gè)用戶可以重復(fù)存在于不同應(yīng)用中�,并能提供用戶關(guān)聯(lián)的能力;
// 具備用戶操作行為的海量數(shù)據(jù)審計(jì)能力����,基于大數(shù)據(jù)下的用戶行為分析能力;
// 互聯(lián)網(wǎng)用戶分析能力����,如分類(lèi)、聚合�、用戶畫(huà)像等;
// 能提供入職���、離職���、調(diào)崗、兼職���、退休全業(yè)務(wù)生命流程���;
// 全球化集團(tuán)公司,全球訪問(wèn)能力����,多認(rèn)證中心聯(lián)邦認(rèn)證能力����。
為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù)��,有如下特點(diǎn):
// 供應(yīng)商用戶數(shù)量眾多�,供應(yīng)商變化頻率高;
// 供應(yīng)商權(quán)限控制嚴(yán)格���;
// 供應(yīng)商網(wǎng)絡(luò)復(fù)雜�,可以?xún)?nèi)網(wǎng)訪問(wèn)����,可以從外網(wǎng)直接訪問(wèn)或通過(guò)VPN訪問(wèn)��;
// 分配賬號(hào)控制困難���,怎么控制賬號(hào)密碼共享使用�;
// 供應(yīng)商僵尸賬號(hào)控制���,離職人員賬號(hào)控制����,權(quán)限變更控制。
面向物聯(lián)網(wǎng)身份認(rèn)證
為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù)�����,有如下特點(diǎn):
// 物聯(lián)網(wǎng)設(shè)備數(shù)量極大�����,增速極快�����;
// 物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定��,網(wǎng)速慢���;
// 物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類(lèi)型眾多�����,系統(tǒng)計(jì)算能力有限�;
// 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱,容易被強(qiáng)行刷機(jī)�����;
// 物聯(lián)網(wǎng)設(shè)備分配唯一ID����,不可偽造,不可篡改�;
// 全球聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通,認(rèn)證�����,鑒權(quán)能力���;
// 低電量設(shè)備�,無(wú)系統(tǒng)設(shè)備提供設(shè)備影子�����,統(tǒng)一管理�����;
// 設(shè)備與第三方服務(wù)器通訊加密��、認(rèn)證�����、鑒權(quán)����。
派拉軟件自2008年成立起,一直深耕于身份安全領(lǐng)域�,2016年從單體應(yīng)用整體過(guò)渡到微服務(wù)架構(gòu),是業(yè)界唯一全微服務(wù)架構(gòu)下的身份管理平臺(tái)�����。2015年開(kāi)始進(jìn)入SaaS平臺(tái)下的IDaaS研發(fā)���,2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu)�,發(fā)布了派拉IDaaS產(chǎn)品����,全面支持各種身份場(chǎng)景的應(yīng)用,并支持公有云PaaS平臺(tái)部署,混合云部署��,私有云部署����。
下面是派拉IDaaS的微服務(wù)架構(gòu),以在阿里云上部署的架構(gòu)為例:
// 底層組件采用PaaS平臺(tái)提供的高可用服務(wù)�,如負(fù)載均衡組件、OSS存儲(chǔ)��、Mysql����、Redis、Kubernetes 集群��;
// 微服務(wù)網(wǎng)關(guān)前置�,提供認(rèn)證、鑒權(quán)����、多租戶、微服務(wù)負(fù)載均衡��;
// 底層服務(wù)以API方式提供服務(wù),全docker化部署�����,實(shí)現(xiàn)秒級(jí)服務(wù)擴(kuò)容���。
其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下:
// 提供物聯(lián)網(wǎng)設(shè)備整體方案;
// 提供安全通訊整體方案�,統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案;
// 提供安全證書(shū)�,安全密鑰,安全I(xiàn)D的整理管理方案�����。
派拉軟件IDaaS產(chǎn)品不僅提供云端IDaaS和本地化部署方式���,還提供混合部署方案�����,可與云端IDaaS和本地化IAM打通�,可以針對(duì)全球化辦公環(huán)境多中心打通���,可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通�����,并根據(jù)不同的服務(wù)主體最優(yōu)化選擇不同方案��,為用戶提供快速����、安全、高效的統(tǒng)一身份管理服務(wù)��。無(wú)縫集成跨地域�、跨網(wǎng)絡(luò)、跨應(yīng)用�����、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)����。
員工身份與訪問(wèn)控制eIAM
客戶身份與訪問(wèn)控制cIAM
云身份治理IDaaS
智能身份認(rèn)證IDA
細(xì)粒度權(quán)限管理xBAC
API安全網(wǎng)關(guān)API-SGW
API安全監(jiān)測(cè)API-SD
API管理平臺(tái)APIM
ESB 企業(yè)服務(wù)總線
特權(quán)訪問(wèn)管理PAM
數(shù)據(jù)庫(kù)訪問(wèn)管理CQ
數(shù)據(jù)治理平臺(tái)PDMP
一體化零信任
運(yùn)維安全
數(shù)據(jù)安全治理
遠(yuǎn)程辦公安全
國(guó)產(chǎn)化替代
企業(yè)合規(guī)管控
數(shù)字化集成平臺(tái)
數(shù)字化員工門(mén)戶
熱門(mén)文章
7*24小時(shí)服務(wù)
專(zhuān)屬安全顧問(wèn)
Gartner推薦
IDC創(chuàng)新者
權(quán)威安全認(rèn)證
滬公網(wǎng)安備 31011502012922號(hào)