走进身份管理

1. 什么是身份管理 ？

IAM/IDaaS（身份访问管理/身份认证即服务），一般表明一个服务或平台，该平台可经过用户角色或权限控制，识别个体身份，进而控制其对系统资源的访问，守护个体和组织的数据。

身份管理对于企业安全很重要，经过统一登陆系统可显著提升企业效率，主要从如下两个层面：

• 用户不须要记忆和维护不一样的用户名密码；
• 保护公司及其用户免受数据泄露风险；

据一份 2015 年市场调研数据，数据泄露的形成的损失成本，平均为 3000 万元人民币。经过多因素身份认证、弱密码监测、大数据分析等安全技术，一个优秀的身份管理系统能够提供很是安全的的对这些资源的保护，同时还能够促进企业数据共享，提高企业效率。

身份管理解决方案能够为全部类型的企业带来显著价值。除此以外，还能够提供 B2B、B2C、B2E、IoT 不一样场景下的特殊用例。

• B2B：企业之间提供联合身份管理，例如容许企业使用其现有用户系统，无缝对接采购的第三方 SaaS 应用，对接供应链上下游的合做伙伴业务系统。
• B2C：企业经过微信、微博、QQ、16三、Github 等为消费者提供社交认证 （或其余更多第三方身份提供商）。
• B2E：企业为其员工提供单点登陆，简化管理，杜绝隐患；
• IoT：物联网设备之间的互联互通；

数字环境的发展和变化异常迅速，我的智能手机和平板电脑无处不在，愈来愈多企业已经逐渐走向数字化和云计算。

随着数字化和云计算的进程，企业信息安全的维度和边界，愈来愈立体，愈来愈复杂，从时间上，也再也不是 8 小时的，而是 7*24 整年 365 天不中止服务，同时也再也不有物理地点的限制。企业的需求是在各类设备、平台、场景下保护身份安全的同时又要使数据易于共享。 过去几年，身份管理概念，如多因素身份验证（MFA），无密码和单一来源验证在解决现代分布式环境的身份管理问题时，已经走到了时代前沿。

多因素身份验证利用单独的身份验证阶段来提供两个（或更多）登陆步骤。无密码可使用 SMS、邮件验证码、指纹识别、人脸识别等生物识别技术来验证用户身份。

• 推进 IAM/IDaaS 普及的一个趋势是基于云的应用程序（SaaS）愈来愈多。 云服务提供商好比阿里云和 Amazon Web Services（AWS），利用远程服务器来对用户提供计算能力和存储能力。而 IAM/IDaaS 是使用 SaaS 的重要组成部分。 IAM/IDaaS 对受限资源的访问限制，提供了监测和保障安全的方法。
• 推进 IAM 进入市场的另外一个关键需求是用户须要可以从任何地方、任何设备中访问应用程序。 随着我的计算的扩展，企业须要为他们的用户提供安全的访问能力，以便在全部不一样的登陆环境下确认用户身份，保证业务数据安全。

从自主开发 到 IDaaS 知足你的需求

全部使用场景

• 你须要基于标准的解决方案来完成身份证，例如 OpenID Connect，SAML，WS-Federation 或 OAuth；
• 你的用户能够经过各类身份提供商（如：微信、QQ）进行身份认证，但缺乏平台或完整的服务来整合他们这些身份帐户间的关联；
• 你的应用程序分布在不一样的域，并要求用户在每一个域上的登陆，彼此独立；
• 你须要让最优秀的开发人员构建核心业务应用程序，而不是花时间在构建和维护身份管理和身份认证上；
• 你的公司遇到过任何类型的数据泄露，或者您担忧数据泄露。
• 你被要求实现一个行业标准认证，而你从未考虑过这些问题，或有这方面的经验。

B2B

• 你的合做伙伴要求使用他们的企业用户登陆您的系统。 你须要除了支持用户名/密码选项外，还支持企业级联合登录，以及许多其余类型的身份认证程序（如 Active Directory、LDAP、SAML）。
• 你不肯意将用户管理委派给 IT 服务部门。

B2C

• 你的主要用户数据来源于直接询问用户的表单或调查。 可以轻松提取有关你的用户的第三方数据，将有助于您更好地了解你的客户，进而经过销售和有针对性的营销来增长收入。
• 若是你向消费者销售产品，你没有提供简单的一键登录，来支持不一样的社交身份注册，意味着客户的流失。
• 在用户数量增长时，你面临着性能问题。

B2E

• 你须要为员工管理不一样的受权和访问级别。
• 当员工加入或离开你的组织时，你须要可以轻松配置和取消用户访问权限。

购买一个身份管理解决方案的商业考虑

有许多使人信服的理由，选择购买身份管理解决方案，不管 B2B，B2C 或 B2E 场景。 一些缘由以下：

全部用户场景

• 下降成本：实施第三方身份管理解决方案很是简单，启用强大功能就像部署一台交换机同样简单。 成百上千有价值的开发时间能够从新聚焦在业务逻辑编写而不是花费时间构建身份认证系统。 不少用于身份系统安全性的测试时间能够用在核心应用程序的开发工做。集成和映射不一样的身份来源，很是耗时并且痛苦。 经过 IAM 解决方案，这些工做已经提早完成，并为流行的开发堆栈提供 SDK，进一步减小集成所需的额外编码。 公司的研发团队能够专一于配置而不是经过开发和定制一套 IAM 软件解决这些问题。
• 提升安全性：使用第三方身份管理解决方案存储数据可加强安全性。IAM 解决方案遵循安全合规性策略和安全认证。 IAM 解决方案承担保护用户数据安全存储和传输的职责。 此外，IAM解决方案还提供统一认证，以免用户因必须记住多个登陆凭据，而重复使用相同密码的不良作法。

B2B

• 增长企业灵活性：身份管理解决方案提供强大的企业联合认证。支持各类企业链接，例如Microsoft Active Directory，LDAP，ADFS，SAML，第三方 Apps 等。还提供单点登陆功能，解决了用户要记住其余用户名或密码的烦恼， 这提升了访问的便利性，从而减小客户流失。
• 减小销售或雇员入职周期：联合身份容许不一样公司使用本身的用户系统或服务，同时确保知足安全要求。 这促进更快的销售循环和客户转化。无需向客户介绍新的，不熟悉的登陆方式或让他们记住另外一个密码。 他们可使用其现有企业用户系统进行单点登陆。（好比一个支持各类标准用户认证协议的 SaaS 软件商，和不支持的 SaaS 软件商，前者更有竞争力。）

B2C

• 增长消费者的转化率：经过为客户提供统一，用户友好的身份系统，不管任何浏览器或设备，均可觉得终端用户提供跨全部应用程序一致，无差异的注册和登陆体验。
• 身份管理解决方案能够收集有关用户在不一样身份平台的更多数据。 从而公司能够利用这些数据来有效推进市场和销售机会。
• IAM 解决方案提供直观的登陆界面，以优化注册和登陆，能够减小设计需求和营销资源。 支持不一样第三方登录方案，能够分散尽量多的身份验证请求，从而保持应用的高性能和可用性。

B2E

• 单点登陆（SSO）：IAM 解决方案提供单点登陆，容许用户仅经过一次登录，使用多个第三方系统。 不管是云仍是本地应用程序，SSO 都容许用户登陆一次，并访问任何应用程序，而不会第二次提示凭据。SSO可用于登录企业内部的 ERP，CRM，OA，Office 365 等应用程序。
• 管理受权级别：身份管理解决方案提供了轻松的方法控制用户的不一样访问级别。 当员工加入公司或晋升时，能够轻松在一处分配和更改不一样应用的权限。企业也能够在员工离职时，轻松取消，撤销全部不一样平台的访问权限。

评估一个 IAM 解决方案的关键要点

选择身份管理解决方案时，你应该仔细考虑几个因素：

• 部署方式：你的身份管理解决方案应该能够选择部署到云，或你本身的数据中心。
• 易于集成：使用 IAM 解决方案的众多优点之一是缩短开发时间。寻找可以提供多样 SDK，完善文档，配置和启用简单，强大 API 和功能的解决方案厂商。
• 支持多样身份提供方案：良好的身份管理解决方案应该支持几乎全部流行的身份来源。 这包括Microsoft Active Directory，ADFS，LDAP，Office 365，Apps 和 SAML 解决方案。 对于消费者，还包括对任何自定义数据库的支持，社交身份提供商（如微博、QQ、微信等）和无密码解决方案，如短信，电子邮件，和 Touch ID 等的支持。
• 可扩展性：你的业务会持续增加，所以你的身份管理也应该持续增加。 你的 IAM 应该容许你轻松自定义身份认证和受权方式。理想状况下，你应该能在控制面板中根据须要自定义产品，而无需联系支持人员或购买插件。 你的 IAM 解决方案还应该容许你扩展其功能，例如导入/导出用户数据，与其余应用程序轻松集成，受权或执行自定义脚本以扩展基本产品的功能。
• 一流的安全功能：你的 IAM 提供商应由国际安全专家进行评审，并遵照 SAML，OAuth，WS-Federation 等标准，以及 OpenID Connect，SOC2，HIPAA 等。检查重要功能以防范攻击威胁和数据泄漏，例如弱密码检测和防暴力破解。
• 易于迁移：应支持移入和移出身份管理解决方案而不受限制。确保供应商阻止将用户迁移出系统。该解决方案还应支持链接到你已使用的任何用户系统，而且不该该要求用户在迁移到新解决方案时手动重置其密码。
• 安全专家/客户服务的快速支持：你的 IAM 客户支持团队应该拥有一个专家团队随时准备天天 24 小时协助应对任何挑战。 该团队还应包括高级开发人员 ，以及在实施 IAM 解决方案方面拥有丰富的实践经验的工程师团队。

总结

总之，你选择的 IAM 解决方案应能将身份管理系统从风险点和业务障碍，转变为一个正向的，可以促进业务增加的重要功能。 使用 Authing，你能够在几天内实施 IAM，以及利用最简单，最全面，最现代化和可扩展的 IAM 解决方案，提高企业效率。

Authing 能够帮助你管理用户的身份。做为安全专家，咱们构建了一个身份即服务（IDaaS）平台，该平台的设计考虑了最早进的安全性。

Authing 的企业身份管理平台为客户提供了许多功能和优点，包括：

• 可以配置和实现须要的企业联合登陆和单点登陆；
• 强大的配置平台，最大限度的减小编码难度；
• Authing 支持的企业级认证包括 Active Directory，LDAP，ADFS，SAML，OIDC 等。
• Authing 支持与全部主要社交软件登录，包括 QQ，微信，GITHUB 等等。
• Authing 提供传统的用户名和密码验证以外还加强的安全功能（如多因素身份验证），密码检测，强力攻击保护和异常检测。
• 无需强制密码重置，用户能够轻松地从现有系统迁移。
• Authing 提供了审计和查看基于身份的分析的方法，以确保组织合规和增长销售机会。
• 公司可使用细粒度权限和强大的自定义角色功能轻松管理用户访问规则。
• Authing 的委派管理容许公司管理细粒度访问，资源可见性，和外部员工管理。
• 使用 Authing ，开发人员只需不到半个小时便可设置健壮且可自定义的，支持主流技术堆栈的身份管理系统。

如想得到更多的身份管理资讯请访问： authing.cn，微信公众号： Authing。