面对庞大复杂的身份和权限管理,企业该怎么办?
本文分享自华为云社区《面对庞大复杂的身份和权限管理,企业该怎么办?》,作者: 华为云 PaaS 服务小智。
随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战:
应用规模快速增长,存在信息孤岛。各个应用系统的访问入口和帐号孤立分散在各自系统中,缺乏统一的用户管理体系,造成在流程效率、信息安全、风控管理方面存在诸多风险问题。
用户数快速增长,用户维度扩大。用户、组织生命周期管理无统一的 IT 工具,人工管理低效易错。
用户身份和权限,缺乏统一管理平台。人员流动(离职、转岗等)后帐号和权限无法自动更新状态,造成帐号泄密;无审计日志,帐号操作无法追溯。
信息化发展,认证要求提高。传统的应用系统仅支持静态密码一种认证方式,无法兼顾易用和不同等级应用的安全性。
面对以上挑战,传统的身份和权限管理系统已无法应对,我们可以怎么做呢?这里先给大家介绍 IAM 和 IDaaS,这两个与身份和权限管理系统息息相关的概念。
什么是 IAM 和 IDaaS
IAM(Identity and Access Management 的缩写),即“身份与访问管理”,它提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理 IT 系统的帐号和资源权限,传统的 IAM 服务虽然解决了部分身份问题,但是开发效率低,成本浪费严重。
IDaaS(Identity As a Service 的缩写),即“身份即服务”,IDaaS=IAM+SaaS,是云计算时代、SaaS 服务兴起的产物,是一种云化的身份与访问管理服务,由第三方云服务厂商构建并维护。与传统 IAM 相比,IDaaS 为身份认证带来了 SaaS 的成本优势,且适配性更强、安全性更高,可处理更大规模、更加复杂的数据。
华为云应用身份管理服务 OneAccess
OneAccess 是华为云提供的 IDaaS 服务,是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台,保证合法的用户、以适当的权限访问受信任的的应用系统,并对异常访问行为进行实时预警和有效防范,为企业构建“零信任”的安全架构提供身份基础设施,提供的核心能力如下:
| 多源身份管理
融合客户多个身份源,为上层应用提供一致的身份服务;为帐号提供从注册到注销的全生命周期管理;管理企业内部的组织架构、用户身份,真正实现人与帐号一一对应。
| 多维度多粒度的权限管理
提供 4 种粒度权限管理模型(平台级、大门级、应用预置级和细粒度)。其中:平台级提供管理员的分权分域管理后台;大门级为普通用户提供访问应用系统的常用权限管理;应用预置级提供应用内置角色的控制能力;细粒度提供应用系统精确到菜单、按钮的控制能力。
| 融合认证能力
支持密码、动态密码 OTP、短信验证码、二维码、图形码能力,支持对接指纹、人脸等生物认证系统、CA 数字证书;除单一认证方式外,还支持双因素、多因素 MFA 认证。
| 标准化 SSO 单点登录
提供行业主流的 OAuth、SAML、CAS、OIDC 标准协议,同时支持插件代填的方式实现对无接口应用系统的集成。
| 国内领先的预集成能力
支持 4 种行业标准 SSO 协议(OAuth、SAML、OIDC、CAS),预集成 1050+行业应用,17 类社交认证源(含 Welink、钉钉、微信、支付宝和 QQ 等),9 个行业身份源(含 AD、飞书、SAP 等),极大缩短客户的上线时间。
| 提供跨越企业内网的专属通道云桥
云桥是一个应用级安全代理,其目的是在企业内网和 OneAccess 服务之间建立起一条安全通道,支持 OneAccess 对接企业内的身份和认证资源(例如:Windows AD),核心优势包括数据安全性、高有用和请求专有性。
OneAccess 应用场景
OneAccess 支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业,下面以云办公场景为例。
云办公场景下企业往往会面临很多典型问题:
人事事件无法业务协同,安全性差:在每次员工入职、离职、调岗等人事事件发生时,各个应用管理员需分别在各个系统中开通帐号或维护帐号。
缺少统一的企业自认证,安全性差:员工使用云办公系统帐号登录后,缺少统一的企业二次认证能力,信息安全得不到保障。
应用多样,员工使用不便:日常工作中使用了多套应用系统,每人有多个应用系统帐号,既有公有云的 SaaS 应用,也有本地部署的应用,需要在云办公系统和应用之间来回切换登录。
OneAccess 身份访问管理方案是如何解决上述问题的呢?
| 身份全生命周期管理,保障企业信息安全
人员入职、离职、转岗等人事变动,客户只需要维护身份源系统(例如:Windows AD、LDAP 等)的人员变化,OneAccess 定期同步身份源系统的用户信息,保证人员信息时刻准确,简化企业对人员的管理:
效果示例:
| 通过认证协议对接云办公系统,支持企业员工完成二次认证
企业员工变动频繁,如若不及时更新各个应用系统的帐号,离职人员访问企业内部系统,会造成信息泄露。企业员工登陆云办公系统后,可使用已有的身份源帐号进行企业二次认证,OneAccess 支持通过 OAuth 2.0 等协议与云办公系统完成认证:
以国内某大型电子科技企业案例为例, OneAccess 与华为云办公会议系统 Welink 集成,解决客户基础业务能力,包括身份管理、应用集成、单点登录、云办公等服务,效果如下:
| 提供单点登录,串接所有应用系统,统一应用权限管理
企业应用系统通过标准 SSO 协议集成到 OneAccess,利用 OneAccess 的单点登录能力,做到一个帐号,一次认证,登录所有应用系统;将云办公系统作为认证源集成到 OneAccess 后,员工就可以在云办公系统中免密登录所有企业应用系统;利用 OneAccess 的应用权限管理,自动控制员工对应用系统的访问权限,减少企业管理员的维护成本:
以上述大型电子科技企业客户为例,效果如下:
OneAccess 已助力多个客户完成了身份访问管理、云办公的建设,帮助客户实现了降本增效,同时保证了企业身份安全性以及办公效率,有助于客户品牌形象的进一步提升,推动企业数字化转型以及信息安全。
目前 OneAccess 已上架华为云国内站,想了解更多信息,点击链接,立即体验!
版权声明: 本文为 InfoQ 作者【华为云开发者联盟】的原创文章。
原文链接:【http://xie.infoq.cn/article/d4daf7811557bfd1b105a8c81】。文章转载请联系作者。
评论