导言
假设,同一用户在同一系统中A、B、C、D四个不同的地方,各建立了专有账号,享受专属功能,如何实现A地不能享受其他三地的功能,以此类推,但用户的信息又被其他系统共享,用户也可随意切换这几个地方。
用户是在一个系统内部,可以切换不同的地域,比如说像是美团,我可以从长春切换到北京,长春和北京的功能又完全是不一样的。当我选择长春,则只能使用长春地域提供的功能,切换到北京则只能使用北京地域的功能。
那么,这个前提是在一个系统下,就不需要统一身份认证。而需要做的是授权管理。如果是这样的,则可以理解成一个地域就是一个角色,用户在不同的角色之间切换。这个实现起来是不是就很容易理解了。
统一身份认证一般都是在存在多个系统的情况下使用的。一般可以做单点登录或者outh的授权登录。
关键词:身份认证 信息安全 云计算 统一身份认证 玉符
一、什么是身份认证?
身份认证也称为“身份验证”或“身份鉴别”,是指在计算机及计算机网络系统中确认操作者身份的过程,从而确定该用户是否具有对某种资源的访问和使用权限,进而使计算机和网络系统的访问策略能够可靠、有效地执行,防止攻击者假冒合法用户获得资源的访问权限,保证系统和数据的安全,以及授权访问者的合法利益。
身份认证也称作“身份和访问管理(IAM)”。身份与访问控制(Identity and Access Management,简称IAM),属于信息安全领域的一部分,从知名度来说,IAM还处于初期阶段,很多IT人员都不知道什么是IAM,更不用说业务人员。所以,我简单谈谈我眼中的IAM。
事实上,也可以理解IDaaS就是云时代的身份和访问管理(IAM),他们之间的关系: IDaaS=SaaS+IAM。提供IDaaS的公司既可以作为身份提供商(IDP),也可以作为服务提供商(SP)。所以可以将IDaaS理解为是一个服务平台,客户使用提供IDaaS服务相关的产品,例如单点登录,智能多因素认证,来实现云时代所需的既安全又高效的身份和访问管理功能。
(一)统一身份认证管理平台优点
·多种单点登录协议支持,包括OpenLDAP、SAML、OAuth等协议;
·多种数据接入能力,可支持关系型数据库、LDAP、Active Directory等;
·统一角色管理、组织管理、用户管理、策略管理等;
·安全可靠的认证,支持口令卡、动态口令卡登录;
·平台与业务系统之间通过标准接口对接,方便扩展其他身份认证方式
(二)更高效更安全的用户体验
1.从用户角度出发
统一身份认证平台解决了用户记忆多个用户名、密码的烦恼,解除了使用多个应用系统必须进行多次认证的重复劳动;增加了安全性,减少因密码问题而带来的安全风险,AD域身份认证也提高了安全性。
2.从管理者角度出发
统一身份认证平台减少了管理员的管理成本和工作强度,使得信息化工作人员可以投入到更多有意义的IT建设工作中;提高应用扩展性,统一的用户身份权限管理框架可满足企业不同发展阶段的需求与业务扩展。
二、身份认证平台的管理功能?
IAM领域发展至今,主要可以从账号管理(Account)、认证管理(Authentication)、授权管理(Authorization)和审计管理(Audit)进行阐述,在业界通常称之为4A。通过对这4个A的建设,就可以搭建起一个企业或组织的身份管理体系架构。
(一)集中帐号(account)管理
为用户提供统一集中的帐号管理,支持管理的资源包括主流的操作系统、网络设备和应用系统;不仅能够实现被管理资源帐号的创建、删除及同步等帐号管理生命周期所包含的基本功能,而且也可以通过平台进行帐号密码策略,密码强度、生存周期的设定。
可以根据用户应用的实际需要,为用户提供不同强度的认证方式,既可以保持原有的静态口令方式,又可以提供具有双因子认证方式的高强度认证(一次性 口令、数字证书、动态口令),而且还能够集成现有其它如生物特征等新型的认证方式。不仅可以实现用户认证的统一管理,并且能够为用户提供统一的认证门户,实现企业信息资源访问的单点登录。
可以对用户的资源访问权限进行集中控制。它既可以实现对B/S、C/S应用系统资源的访问权限控制,也可以实现对数据库、主机及网络设备的操作的权限控制,资源控制类型既包括B/S的URL、C/S的功能模块,也包括数据库的数据、记录及主机、网络设备的操作命令、IP地址及端口。
将用户所有的操作日志集中记录管理和分析,不仅可以对用户行为进行监控,并且可以通过集中的审计数据进行数据挖掘,以便于事后的安全事故责任的认定。
三、行业趋势
(一)行业现状
随着信息化的发展,企业基于IT 环境的业务系统越来越多、越来越大,如各类网上申报系统、审批系统、OA 系统,每个业务系统都包含身份认证、权限管理、账户管理,当用户同时登录多个系统时,系统要对其进行多次身份认证,这对于合法用户来说无疑是重复、冗余的操作。同时,越来越多的企业由传统的IDC机房转移到云端,如何保护好在云计算和移动互联网环境下系统及应用的安全性,是企业亟需解决的问题。
显然,分散式的身份验证模式已经无法满足目前企业用户需求,企业需要建设一个统一身份管理平台,通过一次认证登录后就可访问所有有权访问的应用系统,避免频繁登录,并且能够保证用户身份的合法性和唯一性,对于应用系统的访问建立一套完整的安全防护和用户管理机制。
未来的市场一定是细分化的,越细分的市场,所能产生的价值也就越大。因为每个组织得以专注,得以做的更好。而统一身份认证就是这样一个构建软件基础设施的细分市场。
(二)政策支持
2002年由美国总统布什签发的萨班斯法案(Sarbanes-Oxley Act)开始生效。其中要求企业的经营活动,企业管理、项目和投资等,都要有控制和审计手段。因此,管理人员需要有有效的技术手段和专业的技术工具和安全产品按照行业的标准来做细粒度的管理,真正做到对于内部网络的严格管理,可以控制、限制和追踪用户的行为,判定用户的行为是否对企业内部网络的安全运行带来威胁。
2007年,由公安部、国家保密局、国家密码管理局、国务院信息工作办公室四部门联合印发了《信息安全等级保护管理办法》,为我国信息系统等级保护工作的迅速展开起到了有力的促进作用。配合该《管理办法》的发布,一系列相关国家标准也进入紧锣密鼓的制定和审批当中。如:《信息系统安全等级保护基本要求》(以下简称《基本要求》)、《信息系统安全等级保护-定级指南》、《信息系统安全等级保护-实施指南》、《信息系统安全等级保护-测评准则》等。其中《基本要求》针对每个等级的信息系统提出相应安全保护要求,按照《基本要求》进行保护后,信息系统达到一种相对安全的状态,即具备了相应等级的信息安全保护能力。
2018年,工信部信息中心正式发布《2018年中国区块链产业白皮书》,这是中国第一份官方发布的区块链产业白皮书。白皮书显示,截止到2018年3月底,我国以区块链业务为主营业务的区块链公司数量达456家,从上游的硬件制造、平台服务、安全服务,到下游的产业技术应用服务,到保障产业发展的行业投融资、媒体、人才服务,各领域的公司已经基本完备。其中区块链安全服务指出,针对目前区块链存在的底层代码、密码算法、共识机制、智能合约、数字钱包等安全问题,该领域也出现了一些提供安全服务的公司,它们主要通过技术手段、代码审计帮助客户解决各种区块链安全问题。
白皮书中提到的解决办法是“在验证环节,利用非对称加密技术,验证请求方无需原始数据,仅通过对比数字身份的哈希值即可完成身份验证,消除了个人隐私泄漏的风险。此外,区块链可以消除由单方使用虚假信息的可能性,例如地址信息、电话号码等。这有助于防止身份盗用,消除了个人数字身份在不同场景使用时信息不一致的风险”。这是可行且有效的措施。
综上所述,随着文中提到的组织对认证行业的摸索和区块链相关生态的发展可见国家对此的大力支持,身份认证云服务拥有即将走入千家万户的趋势,让我们拭目以待。
四、那么,目前国内身份提供商有哪些?
目前,美国有两家身份提供商(IDP),一家叫Okta,已上市;另外一家叫Auth0,一周前刚获得了5500万美金D轮融资。可见,身份认证的市场在海外已经被打开,这同时也是中国的机会。纵观中国市场,比较有潜力的只有竹云、玉符科技、九州云腾和Authing。
五、该如何选择?
在身份治理和管理领域,我们希望看到的是一种高度客户定制化的解决方案:客户可以灵活地设计自己的管理规则和工作流。但是,现存的解决方案为了满足客户的不同需求,往往需要投入大量的实施成本,花费很长的时间。因此,大多数客户选择把最少数的几个关键应用纳入实施范围以减少成本,而很少会去考虑实施方案的投资回报率是否满足预期的要求。只有个别对成本不敏 感的大型企业,才有可能把传统身份治理的解决方案真正按照他们想要的样子去实施。
玉符相信,一定会有一种更好的方式,服务更多的企业,接入更多的应用,创造更多的回报。
今天,玉符给出的答案就是:基于公有云的身份治理产品,提供高度的可配置化和开箱即用的能力。
玉符对客户的需求进行了广泛分析和研究,了解到客户对下一代身份治理解决方案的几点核心要求。玉符需要提供的解决方案,应当能适应更多的客户场景,符合各行业的最佳实践经验,比传统的解决方案提供商应该更具有前瞻性。许多企业愿意为了更好地实施身份治理方案而对其现有的业务流程进行调整,而玉符正是帮助他们进行这些调整的最佳伙伴。
(一)为什么是玉符?
1.我们需要解决的第一个问题,是企业身份管理边界的扩展性问题。
现代企业的员工内涵和传统意义上的员工内涵已经发生了巨大的变化:兼职、临时工、供应商、代理商、合作伙伴等等。这些 相关人员都应该具有某种身份,使得他们可以访问企业的应用、服务和设备,又不能危害企业的 信息安全。这些相关人员的身份,有着独特的生命周期特征,如何有效地进行管理成了身份治理 能否成功实施的关键障碍。
2.我们需要解决的第二个问题,是企业应用复杂化的问题。
传统的身份治理解决方案,都声称对本地部署应用都能支持对接,给客户提供开箱即用的接口。但实际上在实施过程中每对接一个本地 应用需要投入数以月计的定制开发成本,并且这些接口还不具有通用性,只要增加一个应用,免不了还要做重复的开发投入。正因为这样,企业往往在实施身份治理方案时,采用折中的方案,要么只对接部分应用,要么只对接部分接口。这样草草了事,结果导致后期使用上需要大量人工 干预的配合,身份治理过程中不具备所有系统的自动化能力。
3.玉符推出市场的下一代身份治理产品,提供了广泛的集成性,做到真正的开箱即用。
针对企业本地应用、数据库和基础架构,玉符提供基于API、SCIM2.0 等集成接口,用户可以使用玉符提供 的集成工具,通过配置的方式快速集成本地应用,而不需要投入大量开发成本。针对云上的 SaaS 应用,玉符预集成了大量的现有应用,用户只需要简单配置之后即可使用。强大的集成能力,是玉符身份治理产品的基础,我们致力于让用户用最短的时间,集成更多的应用,为用户提供最简 单而强大的集成工具。
4.在集成性的基础上,玉符为了满足客户的管理需求,基于身份治理最佳实践经验,为用户打造自动化的身份管理平台。
自动化的特性,使得 IT 部门在管理扩展的企业身份边界时游刃有余,帮助 IT 部门和业务部门减少隔阂。IT部门不再是成本中心,而是赋能中心:他们可以为业务部门提供工具,让业务部门可以有效地对相关人员进行管理,从而促进业务的增长。IT部门把能力赋予了业务部门,业务部门可以有效地对相关人员的身份进行治理,这样的身份治理模式,无疑更适合现代企业的需要。
5.玉符产品主要功能:
1)对员工账号信息的全生命周期自动化管理;
2)对员工访问公司各种应用和系统的流程化自动管控;
3)挖掘相应的业务角色来管理公司的 IT 资源及其使用权限;
4)提供丰富又灵活,多维度的工作流;
5)帮助构建多维度应用系统模式,贴合企业业务发展;
6)能够有效减少重复数据存储、重复功能开发,降低 IT 管理成本;
7)规范用户身份信息,提高管理效率,降低运维成本;
8)对应用帐号集中管理,减少安全威胁,提高企业数据安全性;
9)提高企业 IT 的安全合规性。
总之,玉符是一款基于公有云的身份治理产品,它具备广泛的集成能力,把应用、设备、人员囊括其中,适应了现代企业边界不断扩展的趋势;它的自动化能力帮助 IT 部门提升价值,以最低的成本获得最好的效果;同时为用户提供极致的使用体验。
参考资料
链接:https://www.zhihu.com/question/24008076/answer/74857085
链接:https://www.zhihu.com/question/47888930/answer/531400642
链接:https://zhuanlan.zhihu.com/p/37212092
链接:https://zhuanlan.zhihu.com/p/42254725
链接:https://blog.csdn.net/codepython/article/details/31823083
链接:https://baijiahao.baidu.com/s?id=1601069052850382267&wfr=spider&for=pc
链接:https://www.yufuid.com