近年来,云计算、大数据和移动互联网等技术快速兴起,企业的安全边界也逐渐趋于模糊化。为了保护应用与数据的安全,确保员工、供应商及合作伙伴等通过各种设备安全访问企业内部以及云端应用,是当下企业信息化进程中所关注的重点。
IDaaS(Identity as a Service)身份即服务,可以理解为SaaS+IAM基于SaaS服务的云身份认证服务平台。
Gartner给IDaaS的定义是“管理、账户配置、认证与授权以及报告等功能的结合”。Gartner指出,IAM云安全服务的主要增长动力来自中小企业日益增长的需求,包括扩展基础IAM功能,为越来越多的访问SaaS应用和内部Web应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代原来的内部部署的IAM工具,而大企业则倾向以混合云和内部部署的方式使用IAM。
IDaaS的一个主要优势是节约成本。使用诸如微软AD,IBM TIM TAM之类的软件在企业本地部署可能会带来很多成本,团队需要定期维护服务器,购买、升级和安装软件,定期备份数据,支付托管费,监控本地额外的地盘以确保网络安全,设置VPN等。有了IDaaS,订阅费和管理工作的成本就会大幅度降低。
除了节省开支,IDaaS的其他优点还包括改进的网络安全和节省的时间,登录速度更快,密码重置更少。无论用户是从机场的开放WiFi登录,还是从办公室的办公桌登录,整个过程都是无缝和安全的。安全性的提高可以防止公司面临可能会颠覆其业务的黑客攻击或漏洞。以及应对企业未来业务快速增长的而对IAM服务的吞吐量的极速增加,对新技术的跟进,以及随时出现的各种系统安全事件,都交给专业的IDaaS服务商来完成。
微服务架构
微服务架构IDaaS可以集成CI/CD进行快速迭代,在产品版本发布引入灰度发布对关键业务模块的发布进行小规模试运行,且适应功能服务业务的急剧增长,比如面对登录量突然增长,只需要扩展SSO服务,而不需要扩展所有的服务。
面向消费者身份认证
为服务主客户群体为消费者的应用提供IDaaS服务,有如下特点:
// 用户量巨大,千万级或者亿级用户数;
// 用户注册简单,用户提供尽量少的用户数据,即可注册成功;
// 与互联网服务深度集成,提供互联网头部应用作为第三方认证,如微信、QQ、支付宝、淘宝、微博、抖音、Google等,支持与微信小程序、钉钉小程序内部应用进行无缝集成;
// 用户重复注册智能识别,低频攻击识别,有效用户智能识别;
// 同一个用户可以重复存在于不同应用中,并能提供用户关联的能力;
// 具备用户操作行为的海量数据审计能力,基于大数据下的用户行为分析能力;
// 互联网用户分析能力,如分类、聚合、用户画像等;
// 保证7*24小时的可用;
// 促销,秒杀,双11,突发事件等各种对登录过程的突然爆发,需要秒级的服务快速扩充;
// 灰度发布,缓存降级限流。
面向雇员身份认证
为服务主群体为本企业雇员的应用提供IDaaS服务,有如下特点:
// 用户组织架构复杂,不同应用没有统一的组织架构;
// 用户角色岗位复杂,存在角色过量分配,岗位交织兼岗、兼职情况众多,临时分配临时回收各种权限;
// 用户登录操作比较便捷,提供丰富的身份认证方式,如人脸、指纹、短信、声纹、电信三因素、FIDO等等;
// 与互联网服务深度集成,提供互联网头部应用作为第三方认证,如微信、QQ、支付宝、淘宝、微博、抖音、Google等,支持与微信小程序、钉钉小程序内部应用进行无缝集成;
// 用户重复注册智能识别,低频攻击识别,有效用户智能识别;
// 一个用户可以重复存在于不同应用中,并能提供用户关联的能力;
// 具备用户操作行为的海量数据审计能力,基于大数据下的用户行为分析能力;
// 互联网用户分析能力,如分类、聚合、用户画像等;
// 能提供入职、离职、调岗、兼职、退休全业务生命流程;
// 全球化集团公司,全球访问能力,多认证中心联邦认证能力。
面向供应商身份认证
为服务主体群体为供应商的应用提供IDaaS服务,有如下特点:
// 供应商用户数量众多,供应商变化频率高;
// 供应商人员离职率高;
// 供应商权限控制严格;
// 供应商网络复杂,可以内网访问,可以从外网直接访问或通过VPN访问;
// 分配账号控制困难,怎么控制账号密码共享使用;
// 供应商僵尸账号控制,离职人员账号控制,权限变更控制。
面向物联网身份认证
为服务主体群体为物联网的应用提供IDaaS服务,有如下特点:
// 物联网设备数量极大,增速极快;
// 物联网设备网络带宽不稳定,网速慢;
// 物联网设备操作系统异构类型众多,系统计算能力有限;
// 物联网设备本身安全防护能力弱,容易被强行刷机;
// 物联网设备分配唯一ID,不可伪造,不可篡改;
// 全球联通的物联网网关联通,认证,鉴权能力;
// 低电量设备,无系统设备提供设备影子,统一管理;
// 设备与第三方服务器通讯加密、认证、鉴权。
派拉软件自2008年成立起,一直深耕于身份安全领域,2016年从单体应用整体过渡到微服务架构,是业界唯一全微服务架构下的身份管理平台。2015年开始进入SaaS平台下的IDaaS研发,2018年统一了IDaaS与微服务架构,发布了派拉IDaaS产品,全面支持各种身份场景的应用,并支持公有云PaaS平台部署,混合云部署,私有云部署。
下面是派拉IDaaS的微服务架构,以在阿里云上部署的架构为例:
// 底层组件采用PaaS平台提供的高可用服务,如负载均衡组件、OSS存储、Mysql、Redis、Kubernetes 集群;
// 微服务网关前置,提供认证、鉴权、多租户、微服务负载均衡;
// 底层服务以API方式提供服务,全docker化部署,实现秒级服务扩容。
其中物联网身份认证整体方案如下:
// 提供物联网设备整体方案;
// 提供安全通讯整体方案,统一的物联网网关方案;
// 提供安全证书,安全密钥,安全ID的整理管理方案。
派拉软件IDaaS产品不仅提供云端IDaaS和本地化部署方式,还提供混合部署方案,可与云端IDaaS和本地化IAM打通,可以针对全球化办公环境多中心打通,可以基于物联网设备把设备提供商和服务提供商打通,并根据不同的服务主体最优化选择不同方案,为用户提供快速、安全、高效的统一身份管理服务。无缝集成跨地域、跨网络、跨应用、跨系统的统一身份管理服务。