什么是身份管理
身份和访问管理 (IAM),简称身份管理,是指识别个人并通过用户权限和限制,控制其对系统资源访问的服务或平台。使用者可以在身份管理平台上创建一个中央目录,提高用户的工作效率: 这样用户就无需记住不同的用户名和密码。身份管理对于安全性有重要意义,可以避免公司以及用户数据泄露问题。2015年,数据泄露的平均总成本为 380 万美元。身份管理可以通过多因素身份验证、密码破坏保护、异常检测等安保性能,保证公司和用户的数据安全。
身份管理解决方案适用于所有类型的企业,下文就介绍了其分别面对 B2B、B2C 以及 B2E 企业时的用例:
B2B: 企业向另一个企业提供联合身份管理,比如 Trello 允许另一个企业使用其企业账号登录到 Trello;
B2C: 企业作为身份提供商,通过 Facebook、谷歌或其他社交媒体等向消费者提供社会身份验证;
B2E: 企业为自己的员工提供单点登录。
本文将通过三种商业案例来说明 IAM 的好处。
身份管理有许多不同种类的解决方案,包括但不仅限于以下几点:
联邦身份: 联邦身份管理是一种传输身份验证数据,而不违反同源策略的方法,通常使用外部授权服务器。
单点登录 (SSO): SSO 是一种联合身份管理,具体指的是:当用户登录到一个客户端,随后自动登录到其他客户端的情况,而不受平台、技术或域的差异的影响。在此过程中,SSO 生成一个 token或 cookie ,跨域对用户进行身份验证。
企业联合: 企业联合是一种联邦身份管理,支持多种企业连接的方式,如 Active Directory(活动目录)、LDAP(轻量级目录访问协议)、ADFS(活动目录联合服务)、 SAML(安全声明标记语言)、Google 应用等。
身份管理持续发展变革,数字领域的发展变化日新月异。随着个人智能手机和平板电脑的普及,许多企业也逐渐向数字化转型。为了取得成功,企业需要在保证各种设备和平台上的身份安全。在过去的几年里,涉及现代分布式系统的身份管理问题时,一些身份管理概念出现在人们关注的焦点当中,譬如多因素身份验证 (MFA)、无密码和单点登录 (SSO) 等。
多因素身份验证利用身份验证的不同阶段来提供两个 (或更多) 的登录步骤。无密码可以使用短信、碰传技术,甚至指纹认证等生物识别技术来验证用户身份。
基于云的应用程序推动身份管理解决方案的普及。云应用程序和服务,如谷歌应用程序和 Amazon Web Services (AWS),利用远程服务器网络来存储和处理数据。IAM 是基于云托管服务应用程序的一个重要组件,可以提供监视渠道,以及用户安全访问所必需的资源。
用户需求也推动着 IAM 的普及——用户需要能够在任何地方、任何设备上访问应用程序。无论用户在任何或使用任何设备,公司都需要能够为用户提供安全的访问。身份管理的集中认证可以在不同的登录环境下验证用户身份。
对于 B2C 公司来说,社会认证是推动 IAM 普及的另一个因素。潜在客户每天使用各种各样的社交媒体。IAM 解决方案通过各种社会身份提供商提供社会认证,允许客户使用他们常用的登录进行身份验证,而不需要创建和记住新的户名和密码。
从 DIY 转向 IAM 解决方案
全部用例
您需要标准的解决方案,如 OpenID Connect (开放认证链接)、SAML、WS-Federation(Web服务联盟语言)和/或 OAuth (开放授权:有些用户通过不同的身份提供者进行身份验证,但是没有办法链接他们的帐户)
您在不同的域上有应用程序,需要用户分别为每个域登录。
您的开发人员花大量时间构建和维护身份管理定制,而不是开发应用程序的核心业务。
您的公司曾经历过任何类型的数据泄露,或者您担心公司数据泄露。
您被要求提供你没有考虑过的行业认证。
B2B
您的客户要求使用他们的企业证书登录到您的产品。
除了用户名/密码选项外,您还需要支持与许多类型的身份提供者 ( 如 Active Directory) 进行企业合作。
您无法将用户管理委托给客户的帮助台。
B2C
你的用户数据的主要来源是直接询问用户的表格或调查。您能够轻松地提取第三方用户数据,这将有助于你更好地了解你的客户,并通过促销和定向营销获得更多收入。
如果你卖给消费者,你并没有通过社会身份提供商提供简单的一键注册选项。
您在扩大用户基础时遇到性能问题
B2E
您的员工管理需要不同的授权和访问级别。
当员工加入或离开您的公司时,您需要能够轻松地添加和注销用户。
采购 IAM 的商业案例
采购身份管理解决方案 (包括 B2B、B2C 和 B2E) 有许多好处:
降低工程成本: 只需要简单的按下开关,就可以直接实现第三方身份管理解决方案。成千上百有价值的开发时间可以用来编写业务,而不是花在构建身份管理上。用于验证的测试和维护安全性的时间也可以用到核心工作当中。集成和映射身份信息是即耗时,又复杂。IAM 解决方案构建并提供这些集成。IAM 还应该为开发栈提供 SDK (软件开发工具包),进一步减少集成认证系统所需的额外编码。公司的工程团队可以专注于配置身份管理软件包,而不是编码和定制。
增强安全性: 使用第三方身份管理解决方案提高了存储数据增的安全性。IAM 解决方案坚持安全合规的策略。解决方案承担了安全地存储和传输用户数据的责任。此外,IAM 解决方案还提供联合身份管理,用户不需重复使用相同密码以避免记住多个登录凭据,这样做是很糟糕的。
B2B
增加企业的采纳与应用: 身份管理解决方案提供了强健的企业联合,支持各种企业连接方式,如 Active Directory、LDAP、ADFS、 SAML、Google 应用等。通过允许用户使用其现有的企业证书登录,企业联合增加了已经在使用这些技术的公司的应用。使用单点登录,用户不需要记住其他用户名或密码,这让访问更加容易且有序。
增加企业收入: 身份管理解决方案确保应用程序可以支持与任何类型的企业合作;并确保安全需求得到满足,从而降低了成本。已经具有凭证的潜在企业客户可以使用相同的登录进行身份验证。这有助于从企业客户那里获利,同时也实现了用户与应用的无缝交互。
减少销售周期/上线: 联合身份允许公司对产品或服务使用自己的凭证,同时确保满足安全需求。这促进了更快的销售周期与员工培训期;也不需要向客户介绍一个新的、不熟悉的登录方式,或者让他们记住另一个密码。客户可以使用自己的企业凭证跨域进行单点登录。
B2C
用户认可度增加: 无需浏览器或设备,身份管理为所有应用程序提供一致的、无缝交互的注册和登录体验。身份管理解决方案可以收集更多用户数据;反过来,公司可以利用数据有效地创造销售机会。解决方案优化注册和登录流程,并提供简洁直观的登录框,还可以减少对设计和营销资源的需求。第三方解决方案可根据需要进行扩展,以满足到更多身份验证请求,从而维护高性能和可用性。
B2E
第三方 SSO: IAM 解决方案可提供单点登录,允许用户通过一次登录进入多个第三方。不管是云应用还是本地应用,SSO允许用户登录一次并访问任何应用,而不会被提示第二次验证。SSO可以用来安装ERP (企业资源计划)、Salesforce(软件营销团队)、Workday (工作日)、Office 365 (365办公软件)等应用程序。
授权级别的管理: 身份管理解决方案提供了控制用户不同访问级别的便捷方法。当员工加入公司或获得晋升时,可以分配和更改特权。用户还可以被取消配置,撤消所有访问和权限。
IAM 解决方案的首要因素
在为您的企业选择身份管理解决方案时,有几个因素需要仔细考虑。
部署选项: 您的身份管理解决方案可以选择部署到:解决方案云、您自己的云或数据中心。
易于集成: 使用 IAM 解决方案的众多优势之一是可以减少开发时间,可以提供 SDK、强健的文档、强大的 API 以及配置和启用简单而直接的解决方案。
支持所有标识提供者: 好的身份管理解决方案应该支持几乎所有在市面上流行的标识源。对于员工来说,这包括 Microsoft Active Directory、ADFS、Office 365、谷歌应用程序和 SAML 解决方案。对于消费者来说,这包括支持任何自定义数据库、社交身份提供商 (如谷歌、Twitter、Facebook 等)和无密码解决方案,如短信、电子邮件和指纹识别。
可扩展性: 您的业务时刻处于运行当中,因此您的身份管理也应保持动态。 IAM 允许您轻松地定制身份验证和授权渠道。理想情况下,您应该能够在仪表板中根据需要定制产品,而无需联系相关部门或购买定制包。您的 IAM 解决方案还应该允许您扩展其功能,例如导入/导出用户数据、与其他应用程序的集成、授权或执行定制脚本,以扩展基本产品的功能。
同类中最好的安全特性: 您的 IAM 选择应该由国际安全专家进行同行评审,并符合 SAML、OAuth、WS-Federation 等标准和 OpenID Connect、SOC2、HIPAA 等认证;检查重要功能,以防止攻击威胁和泄露数据,如违反密码检测和暴力破解保护。
迁移的便利性: 应该支持身份管理解决方案之间的迁移,并且不受限制。确保没有供应商限制,以免将来将用户迁移出系统。该解决方案还应该连接到您已经使用的任何用户存储,并且在迁移到新解决方案时不应该要求用户手动重置密码。
来自安全专家/客户服务的快速支持: 您的 IAM 应该有一个专家团队,随时准备帮助任何挑战。
案例研究
高等教育出版社(以下简称高教社)成立于1954年5月,是新中国最早设立的专业教育出版机构之一。高教社现有在职员工1700余人,年出书万余种,发行近1.3亿册。
高教社主要面临着以下需求挑战:
A.3500 万用户分布在几十个平台
B.需要优质的用户体验设计
C.需要防欺诈保护、安全保障
D.需要跨品牌单一登录
Authing 开发团队针对高教社的需求,给出了针对性的解决方案:
A.一个下午两个人即完成部署测试,轻松集成千万用户
B.统一登录,在一处、用一个账号登录
C.通过多因素认证、登录环境监测,提供专业的安全防护
D.平台弹性灵活,文档、软件包丰富,可集成各种品牌系统,降低了开发成本,减少维护工作
成本效益分析很快证明,高教社将更好地利用其员工资源来实现核心业务目标。使用 Authing 进行身份管理可以打破企业内部的障碍,解决具有挑战性的身份集成问题。Authing 还提供了一个强健而灵活的解决方案,它以开发人员为中心,易于集成。该平台对 Web 和移动设备友好,支持开放标准,并提供有力的特性和未来验证,支持广泛的身份提供者并且易于迁移。
选择并实现了 Authing 有许多好处。使用 Authing 的身份管理解决方案减少了额外的开发工作,从而为 IT创新释放了更多的资源。统一身份管理可以助推增长,加快上市时间,系统从增加的安全性和最佳实践中获益。Authing 还可以快速彻底地反应漏洞。高教社这样评价Authing: “Authing 是一个经过思考做出来的产品。”
结论
管理现代身份是一项具有挑战性的任务。不断发展的标准、最佳实践,并不断修补安全漏洞,会占用核心业务的时间和资金。结合组织需求不断增长的特点,以及其他公司如何成功地评估和实现他们自己的解决方案,您可以从身份管理解决方案中获益。
总之,您的组织可以将身份管理从关键业务的潜在阻碍,转变为一个可以为您的组织创收的系统。使用 Authing,您可以在几天而不是几个月内实现身份管理,通过利用可用的最简单、最全面和可扩展的 IAM 解决方案来验证组织中成员的身份。
我们可以提供哪些帮助
Authing 可以帮助您管理用户的身份。作为安全专家,我们构建了一个身份即服务 (IDaaS) SaaS 平台,该平台的设计考虑了最先进的安全性。
Authing 的企业身份管理平台为客户提供了许多功能和好处,包括以下几点:
配置和实现企业联合和单点登录的能力,只需要基本配置,不需要编码。
Authing 支持的企业连接包括 Active Directory、LDAP、SAML、谷歌等应用程序。
Authing 支持与所有主要提供商的社交连接,包括 LinkedIn、Facebook、Twitter、谷歌等等。
Authing 提供传统的用户名和密码认证,通过 RBAC 与多重安全功能,如多因素认证,违反密码检测,暴力攻击保护,和异常检测。用户可以轻松地从现有系统迁移,不需要强制重置密码。
Authing 提供方法来审核和查看身份分析结果,以确保合规性和能够创造更多的销售机会。公司可以通过细粒度的权限和自定义规则轻松管理用户访问。
Authing 委托管理允许公司向客户提供粒度访问、可见性和用户管理。使用 Authing,开发人员只需不到30分钟就可以为任何技术栈建立强大的、可定制的身份管理。
获取更多资讯,请访问Authing 官网。
