Con el desarrollo continuo de Internet global y la ola de digitalización, la seguridad de la información se ha convertido en un problema que no se puede ignorar, y con la estructura del mercado nacional y extranjero cada vez más compleja, su importancia se ha vuelto más prominente. El gobierno chino también ha emitido e implementado sucesivamente una serie de políticas, como el "Plan de diseño general para la construcción de la China digital" y las "Directrices para la construcción de un sistema nacional integrado de Big Data", y la tecnología central es controlable de forma independiente. , seguro y confiable como el objetivo de desarrollo de mantener la seguridad de la información.
Estos documentos y políticas son documentos programáticos para guiar la construcción de la seguridad de la información en el futuro, son de gran importancia para la construcción de la seguridad de la información en mi país y también tendrán un profundo impacto en las empresas nacionales de desarrollo de software y hardware. El "Plan de diseño general para la construcción de China digital" señaló que es necesario construir un sistema de innovación de tecnología digital independiente y autosuficiente y construir una barrera de seguridad digital creíble y controlable, fortalecer la posición dominante de las empresas en innovación tecnológica, y mejorar las capacidades de seguridad de datos. Los “Lineamientos para la Construcción de un Sistema Nacional Integrado de Big Data” establece que es necesario lograr la integración desde los sistemas de gestión hasta las capacidades técnicas, y establecer y mejorar un sistema de garantía de tecnología de seguridad de la información orientado a datos. Bajo la guía de la política, las empresas nacionales promueven activamente el proceso de localización y sustitución y mejoran continuamente sus capacidades de seguridad de la información.
En la era digital actual, la información de identidad del usuario se ha convertido en los datos centrales de varias aplicaciones y servicios, lo que requiere una protección y gestión estrictas por parte de las empresas. El software de campo de identidad implica servicios importantes, como la autenticación de identidad y la gestión de autoridad, y desempeña un papel vital en la protección de la información de identidad del usuario, y es la primera barrera para que las empresas garanticen la seguridad de la información. Por lo tanto, realizar la localización del software en el campo de la identidad no solo es de gran importancia para el control independiente del software básico, sino también una medida importante para proteger los datos de los usuarios de la empresa y mantener la seguridad de la información.
Sin embargo, la localización y el reemplazo de software en el campo de la identidad es un gran proyecto y no se puede lograr de la noche a la mañana. La confiabilidad del software, la compatibilidad de las aplicaciones antiguas, la diferencia en la experiencia del usuario y la adaptación de la arquitectura futura son desafíos para que las empresas lleven a cabo el reemplazo de la localización. Para las empresas que necesitan tener en cuenta las demandas alternativas de localización actuales y futuras, Authing, como una nueva generación de nube de identidad de escena, propone una transición gradual y una solución alternativa de localización insensible al usuario.
01. Reemplace fácilmente Microsoft AD
Antes de la localización del software en el campo de la identidad, las empresas utilizaban principalmente el servicio de administración de directorios de usuarios localizados proporcionado por Microsoft Active Directory (Microsoft AD) para administrar los recursos en tres aspectos: identidad, aplicación y terminal. Según las estadísticas, alrededor del 90 % de las empresas de todo el mundo utilizan AD como su plataforma interna de servicio de identidad basada en directorios.
Bajo la tendencia de la nube de aplicaciones, SaaSization y sustitución de localización, Microsoft AD que utiliza LDAP (Protocolo ligero de acceso a directorios), DNS (Sistema de nombres de dominio) y el protocolo de autenticación Kerberos solo puede controlar los permisos dentro del dominio y los "servicios en la nube" limitados. La capacidad también dificulta la integración con diversas aplicaciones.
Además, las empresas confían en Microsoft AD como el servidor central de inicio de sesión para todas las empresas. Los escenarios de aplicaciones altamente acoplados entre el servidor Microsoft AD y el sistema comercial también dificultan la protección de los datos de los usuarios empresariales y el mantenimiento de la seguridad de la información. Los riesgos de seguridad de todo el cuerpo afectar el negocio de la empresa.
De acuerdo con el análisis comparativo anterior, es inminente que las empresas reemplacen Microsoft AD ya sea que estén aprovechando las tendencias de la industria para el desarrollo sostenible o actualizando las estrategias de prevención de la seguridad de la información. En respuesta a estas demandas de las empresas, Authing propuso una solución para "actualizar" Microsoft AD.
-
Importe los usuarios existentes de Microsoft AD de la empresa al servicio de directorio Authing IDaaS. Instale el componente Authing AD Connector en el servidor miembro de dominio de Microsoft AD, conecte Authing a través de este componente, reenvíe la solicitud de autenticación de identidad a AD y devuelva la autorización, para que la empresa aún pueda usar los datos organizacionales de Microsoft AD como fuente de identidad. .
-
Extienda Microsoft AD con Authing IDaaS. Authing es compatible con LDAP, RADIUS, OIDC, SMAL, OAuth2.0, CAS y otros protocolos, y preintegra más de 2000 aplicaciones de software de uso común.Las empresas que usan Microsoft AD pueden usar Authing para ampliar la autenticación de identidad y la gestión de identidad sin necesidad de migración y reconstrucción completas. para implementar rápidamente el inicio de sesión único.
-
Durante el período de transición, se lleva a cabo una migración diferida de identidad para realizar el desacoplamiento de Microsoft AD. Cuando el usuario empresarial se autentique correctamente, la cuenta y la contraseña del usuario se guardarán en el servicio de directorio Authing IDaaS y la identidad se migrará de forma inerte. Después de que la migración diferida sea exitosa, la empresa puede optar por reemplazar la fuente de identidad, lo que completa el desacoplamiento de Microsoft AD.
En pocas palabras, es compatible con aplicaciones antiguas en la etapa inicial y se adapta a la nueva arquitectura en el futuro; no hay una percepción de transición suave y no hay diferencia en la experiencia del usuario. A través de la solución Authing, las empresas pueden resolver fácilmente los problemas de autenticación y sincronización de cuentas de todo el software de aplicación relacionado con Microsoft AD y realizar el reemplazo de localización del software en el campo de la identidad.
02. Arquitectura de confianza cero basada en el sistema de confianza
El reemplazo de localización no es solo un reemplazo a nivel de aplicación, sino que también cubre la exploración y la práctica a nivel de chip y sistema operativo. Frente a los muchos desafíos que presentan las muchas aplicaciones localizadas de B/S desarrolladas por empresas basadas en chips y sistemas operativos domésticos, las capacidades y el valor de Authing no se limitan a reemplazar Microsoft AD para la administración de cuentas. Authing también ha respondido a cómo lograr una administración unificada de cuentas, cómo establecer una relación de confianza entre dispositivos, cómo garantizar la seguridad de acceso comercial y cómo proteger la seguridad de los datos de los usuarios.
Authing toma la identidad digital como la piedra angular de la confianza y se refiere a la mejor práctica de arquitectura de confianza cero para construir una cadena confiable de extremo a extremo de usuarios confiables, dispositivos confiables, tráfico confiable y aplicaciones confiables. Con el respaldo de las tres tecnologías principales de administración unificada de identidades y control de acceso, componentes de límite definidos por software y sistema de administración de riesgos, brinda cuatro capacidades clave para las aplicaciones empresariales, a saber, acceso de seguridad comercial centrado en la identidad, evaluación de confianza continua y acceso dinámico. control.
En la actualidad, Authing ha ayudado a clientes como instituciones de educación superior y Fosun Group a ejecutarse de manera estable en las plataformas de nube nacionales de Alibaba Cloud, Huawei Cloud, Tencent Cloud, Kingsoft Cloud y Kingdee Guanyi Cloud. Al mismo tiempo, Authing también ha llevado a cabo una extensa verificación y adaptación en chips domésticos, sistemas operativos domésticos, bases de datos domésticas y middleware doméstico.Además, Authing también tiene el "Certificado de Certificación de Producto de Criptografía Comercial" emitido por el Centro de Pruebas de Criptografía Comercial. de la Administración Estatal de Criptografía.》, admite el uso de secretos nacionales SM1, SM2, SM3, SM4 y otros métodos de encriptación para proporcionar una gestión de identidad integral para la sustitución de localización
03. Caso de mejores prácticas: Desacoplamiento de Microsoft AD y fortalecimiento de la gestión de identidades
Una empresa de chips IDM líder en China tiene más de 20 000 empleados internos, utiliza más de 500 aplicaciones y lleva a cabo una administración de identidad unificada basada en Microsoft AD. La empresa está comprometida con el diseño, la investigación y el desarrollo, la producción y las ventas de chips de memoria de acceso aleatorio dinámico DRAM, y cuenta con un taller de producción y muchos equipos de fabricación de alta precisión. En esta etapa, Microsoft AD no solo administra el equipo en el taller de fabricación, sino que también administra el equipo en el área de oficinas y la información de identidad de los empleados.
desafío de la demanda
-
La producción y la oficina de la empresa comparten un AD de Microsoft, y el dominio AD se mezcla con varios directorios de información, como máquinas y empleados, y existen riesgos de seguridad y riesgos de mantenimiento que los problemas pueden afectar entre sí.
-
El dominio AD no es lo suficientemente flexible, y la operación y configuración son complicadas, y la transferencia de personal ordinaria generará mucho trabajo de operación y mantenimiento.
-
Las empresas aún se encuentran en una etapa de rápido desarrollo. A medida que aumenta el número de aplicaciones de acceso, la gestión de identidades se convertirá en el cuello de botella del desarrollo futuro.
solución
Con el fin de ayudar a la empresa a resolver los problemas anteriores, Authing proporciona una solución específica basada en la plataforma de gestión de automatización de identidades nativa de la nube impulsada por eventos:
-
Desconecte AD, deje que AD administre dispositivos y Authing administre identidades
A través del centro de sincronización Authing, se realiza la clonación de dominio dual de Microsoft AD A y Microsoft AD B, de modo que el área de fabricación y el área segura de la oficina se pueden cambiar sin problemas, y la cuenta, el grupo de usuarios y otra información se mantienen consistentes: deje que el dominio AD se concentre en administrar equipos e integrarse con soluciones comerciales .
Al mismo tiempo, al utilizar el software de recursos humanos como fuente de identidad y Authing como la plataforma de gestión de autenticación de identidad unificada, la identidad se proporciona al AD descendente, se establece un sistema de gestión de cuentas unificado y la gestión de cuentas de personal se elimina "sin problemas".
A diferencia del dominio AD tradicional, el uso de Authing como plataforma de gestión puede realizar la gestión del ciclo de vida completo de las cuentas de los empleados, desde las etapas de creación, transferencia, permisos y destrucción, admite permisos de activación/desactivación con un solo clic, lo que reduce en gran medida la carga de operaciones de TI repetidas.
-
El uso hábil de API ahorra tiempo de TI y dinero comercial
Authing es compatible con múltiples API/SDK y proporciona llamadas gratuitas al personal de TI. Siempre que se base en protocolos estandarizados, puede completar rápidamente la configuración de las aplicaciones existentes y futuras aplicaciones nuevas sin temor a la estructura B/S, C/S y multi -métodos de autenticación de terminal. Frente a calcular el precio en base a la aplicación conectada y desarrollarla por separado, utilizar la API con el documento de desarrollo no solo tiene un bajo coste de aprendizaje, sino que consigue una reutilización unificada al integrar todos los sistemas, de una vez por todas.