【IDaaS】什么是IDaaS？

一、概念：SaaS + IAM = IDaaS

身份即服务（或 IDaaS）是由第三方服务商构建、运行在云上的身份验证。IDaaS 向订阅的企业、开发者提供基于云端的用户身份验证、访问管理服务。

IT 服务中的「X 即服务（XaaS）」模型很容易理解，这意味着某些功能是通过供应商以云服务交付或提供给客户的，而不是在现场服务或由内部人员开发、运维的功能，这种差别就好比 —— 云电子邮件服务（例如 Gmail）和 PC 本地的电子邮件服务（例如 Thunderbird）的差别。身份、安全和其他功能也可以以类似的云服务模式提供。

通俗一点来讲， IDaaS = SaaS + IAM 。为什么这么说呢 ？

SaaS（Software as a Service ）的意思是软件即服务，指由云服务厂商提供服务，软件不再需要复杂的安装部署过程，只需通过网络连接就可直接使用，软件及其数据托管在云服务厂商中，厂商将全程负责处理软件更新、漏洞修复等维护工作。用户通常通过 Web 浏览器或 API 连接就可以使用软件。

IAM 全称 Identity and Access Management，也是一种 Web 服务，可以帮助用户安全地控制对资源的访问。通俗来说，就是可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（拥有权限）来使用资源。举个例子，IAM 就像是大厦门口的保安，企业的应用程序接入 IAM 服务后，就可以“高枕无忧”，IAM 会帮你控制谁有访问应用的权限。

IDaaS （ Identity as a Service ）中的Identity 就是 IAM 中的身份概念，as a Service 就是 SaaS。IDaaS 实际上就是一个基于 SaaS 模式的 IAM 解决方案，也就是云上的身份和访问管理服务，完全由受信任的第三方云服务厂商托管和管理。它允许企业使用单点登录、身份验证和访问控制来提供对任意接入的已实现标准协议应用的安全访问。根据 IDaaS 厂商提供的功能，某种程度下，你甚至可以认为 IDaaS 就是 IAM。

国内目前了解到的 IDaaS 厂商有，腾讯云 IDaaS、阿里云应用身份服务IDaaS 、Authing 。在云计算、云原生领域，很多时候想要了解一个产品，其实可以去上述三家企业官网看看，多参考参考他们的现成方案。

用户身份管理的目标是确保用户是他们声称的身份，并在正确的时间为他们正确地提供对应的应用、文件或其他资源的访问权限。如果要实现这样的目标的基础架构是在公司本地内部构建的，则公司必须在每次身份、应用出现改变时，及时采取对应的改动、集成和维护措施，如许多 500 强公司在并购一家新公司时，需要整合不同技术的身份目录。相比不断地自己去不断地面对身份相关的新问题，选择基于云的身份服务平台就要简单得多，因为 IDaaS 公司里的身份专家已经为数百个公司重复地解决了此类问题。

二、功能：IDaaS 能为企业做什么？

对于面向员工的组织 IT 管理，使用诸如 Active Directory（AD）服务之类的软件在配置人员应用身份时，会很麻烦。使用类似 AD 的这种传统服务，您的团队必须时刻保持服务的可用性；购买、升级和安装软件；定期备份数据；支付托管费用；设置 VPN……以及更多。而使用 IDaaS，成本将降低到只剩订阅费用，以及日常的简单管理工作就可以了。例如，中国石油、东南大学都在使用 authing.cn 的 IDaaS 来实现内部成千上万的人员的统一身份认证。

而使用 IDaaS 的投资回报（ROI）包括优化的网络安全性、更快的登录体验和更少的密码重置，从而节省了运维、管理的时间，改进的安全性可使开发者和企业免受黑客的入侵或破坏。 IDaaS 的应用不止这些，还可以用于许多不同的应用场景，比如：

1. 通用认证，这是一种安全的登录基础架构，对用户进行应用的身份验证功能。通过通用认证，您可以配置自定义域名、登陆界面 UI、认证功能管理（设置登录异常检测、MFA，管理社交登录、企业身份源）。

2. 单点登录，用户仅需在服务的网络外围进行一次登录即可，并且只需进行一次操作，即可访问您授权他的软件和资源，国外的大量开发者已经用 IDaaS 的单点登录来提升 C 端用户体验，也有很多 500 强企业在用它来统一管理员工的应用权限。

3. 多因素认证，开启这项功能后，用户必须验证某个因素才能进入网络服务，从而提高安全性；并可分析登录风险，以动态授予访问权限。

4. 统一用户目录，允许您存储来自各种社交平台、应用程序和身份提供商（例如邮箱、微信、Active Directory、LDAP 或钉钉、泛微）的无限数量的用户和资料，支持任何类型的用户属性字段。

那么这些功能如何作用于企业呢？IDaaS 共有五个（5A）能力象限：

2.1、统一账号管理 Account

IDaaS 提供统一的用户目录，通过可信单一数据源（SSoT）可将企业不同系统的数据进行统一整合和管理，同时又可以基于「多租户」架构，实现相同应用、系统中不同租户间的数据隔离，让每个租户的管理员都可以管理租户下的资源。

IDaaS 的统一账号管理支持一处管理所有员工账号，卓越的 IDaaS 解决方案还同时提供「同步中心」，即通过 IDaaS 与所有业务系统间构建同步机制，管理员仅需在控制台一处管理（设置员工信息或权限策略等）用户信息和组织结构，即可直接同步至指定的业务系统中。极大的节省了管理人员的工作量，同时也避免了因为误操作导致的信息安全隐患。

2.2、统一身份认证 Authentication

IDaaS 支持不同域下应用和系统统一认证集成，并提供单点登录能力，用户通过一个统一的登录门户，仅需认证一次，即可访问所有被授予访问权限的业务系统。同时在不同业务系统中，用户会跟随权限设置自动切换对应角色和权限。通过打通不同应用间的身份信息以及授权管理系统提供的权限信息，可以有效消除应用间的数据壁垒，释放生产力。

管理员还可以通过设置自适应多因素认证（MFA），在保障企业数据安全前提的同时，也不损失用户体验。自适应多因素认证（MFA）能够根据安全策略以及当前的安全状况，选择应用不同的 MFA 认证方式。

2.3、统一授权管理 Authorization

IDaaS 可以提供多种权限模型供不同业务需求的企业选择，并对开发者提供策略模型的 API/SDK 来保证集中管控和满足未来业务需求的灵活扩展性。目前被市场广泛采用的是基于角色的访问控制（RBAC）以及基于属性的访问控制（ABAC）。

2.4、统一应用管理 Application

强大的 IDaaS 系统支持所有标准协议来满足不同应用的集成，同时会预集成足够多的应用软件来降低企业的集成应用的成本。IDaaS 会提供标准的集成规范，并针对不同协议系统提供详细的接口说明，满足企业现有业务需求的同时保障未来新业务系统能规范化的集成与管理。包括提供 ASA（表单代填）的方式来帮助企业集成打通老旧系统。

2.5、统一审计管理 Audit

完善的审计日志是企业保障合规性的前提，IDaaS 提供可视化的行为日志以便管理员快速获悉用户在平台中的行为数据，支持自定义监听用户事件，帮助管理员实时掌握访问报告、授权信息等。可靠的 IDaaS 服务提供商应该满足 ISO/IEC 20000-1 、等保三级、欧盟 GDPR 数据保护等认证。

三、标准：卓越的 IDaaS 解决方案？

卓越的 IDaaS 解决方案需要同时具备：

3.1、高安全

安全是一切需求的前提，IDaaS 解决方案应该具备应对各种风险状况的安全管理机制，包括：

• 事前：基于零信任架构的访问控制策略、密码策略、授权管理策略，包括但不仅限于多因素认证、权限管理策略等；
• 事中：动态提权、降权，进行实时且多维度的评估和告警；
• 事后：拥有完善的审计日志和自动化的用户行为审计和跟踪，帮助管理员进行全面的身份审计、溯源、分析，以及持续优化的风控引擎。

同时也需要具备全时段的安全应急响应措施，来保障客户在受到安全风险的同时能及时得到解决。

3.2、高性能

基于云原生架构的 IDaaS 解决方案具备高速弹性扩容来保障客户突发的业务需求，满足高并发情况下系统的稳定性。支持毫秒级别的查询和写入速度。以及支持多种云环境的部署方案，满足不同场景的业务需求。

3.3、高生产力

IDaaS 解决方案应具备前瞻性的产品设计理念，包括但不仅限于：“开箱即用”的能力能极大程度降低企业的使用成本；完备的开发者文档能极大程度降低开发者的学习成本；可视化的管理模版能极大程度降低运维人员的工作量；模块化和可复用的产品设计能让企业可以根据需求快速满足和补强当前身份管理能力；标准化的集成规范能让企业仅需通过标准化的配置快速集成所需应用，极大程度降低了集成成本。

四、未来：现代企业为什么需要 IDaaS ？

IDaaS 的主要优势是节省，从根本上讲，IDaaS 节省成本，提高效率，实现做事情的专业度。卓越的 IDaaS 解决方案将为企业节省大量研发成本、提升员工效率、降低运维人员负担、保障企业信息安全、提升用户体验等。

Gartner 报告预测，2022 年年底之前，预计全球 40% 的中大型企业都将应用 IDaaS 产品来代替传统的 IAM。企业开始意识到他们可以在无需对 IAM 进行托管的情况下，就可以拥有更完善的身份管理服务。这样企业就可以把节省的时间投入到向客户交付价值的核心能力上。

对一些 IDaaS 的客户案例感兴趣吗？联系 authing.cn，看看 Authing 与中国石油、高等教育出版社、埃森哲、亚马逊、德高集团的合作案例吧。

资料来源

• AWS Identity and Access Management (IAM)_云中的访问权限管理-AWS云服务. (2020). Retrieved May 23, 2020, from Amazon Web Services, Inc.

• About Identity & Access Management. (2014). Retrieved May 23, 2020, from Harvard‌Accenture, Digital Identity Services & Solutions. (2020).

• Accenture Security Careers. Retrieved May 23, 2020, from Accenture