En 400-6655-581
5
返回列表
> 資源中心 > 文章>主題>云安全> 基于SaaS的身份認證平臺

基于SaaS的身份認證平臺

文章

2021-05-21瀏覽次數:340

近年來,云計算、大數據和移動互聯網等技術快速興起,企業(yè)的安全邊界也逐漸趨于模糊化。為了保護應用與數據的安全,確保員工、供應商及合作伙伴等通過各種設備安全訪問企業(yè)內部以及云端應用,是當下企業(yè)信息化進程中所關注的重點。

 

 

IDaaS釋義

 

IDaaS(Identity as a Service)身份即服務,可以理解為SaaS+IAM基于SaaS服務的云身份認證服務平臺。

 

Gartner給IDaaS的定義是“管理、賬戶配置、認證與授權以及報告等功能的結合”。Gartner指出,IAM云安全服務的主要增長動力來自中小企業(yè)日益增長的需求,包括擴展基礎IAM功能,為越來越多的訪問SaaS應用和內部Web應用的員工提供服務。越來越多的中小企業(yè)開始部署IAM云服務取代原來的內部部署的IAM工具,而大企業(yè)則傾向以混合云和內部部署的方式使用IAM。

 

 

 

IDaaS的優(yōu)勢

 

IDaaS的一個主要優(yōu)勢是節(jié)約成本。使用諸如微軟AD,IBM TIM TAM之類的軟件在企業(yè)本地部署可能會帶來很多成本,團隊需要定期維護服務器,購買、升級和安裝軟件,定期備份數據,支付托管費,監(jiān)控本地額外的地盤以確保網絡安全,設置VPN等。有了IDaaS,訂閱費和管理工作的成本就會大幅度降低。

 

除了節(jié)省開支,IDaaS的其他優(yōu)點還包括改進的網絡安全和節(jié)省的時間,登錄速度更快,密碼重置更少。無論用戶是從機場的開放WiFi登錄,還是從辦公室的辦公桌登錄,整個過程都是無縫和安全的。安全性的提高可以防止公司面臨可能會顛覆其業(yè)務的黑客攻擊或漏洞。以及應對企業(yè)未來業(yè)務快速增長的而對IAM服務的吞吐量的極速增加,對新技術的跟進,以及隨時出現的各種系統(tǒng)安全事件,都交給專業(yè)的IDaaS服務商來完成。

 

 

 IDaaS應用場景

 

微服務架構

 

微服務架構IDaaS可以集成CI/CD進行快速迭代,在產品版本發(fā)布引入灰度發(fā)布對關鍵業(yè)務模塊的發(fā)布進行小規(guī)模試運行,且適應功能服務業(yè)務的急劇增長,比如面對登錄量突然增長,只需要擴展SSO服務,而不需要擴展所有的服務。

 

面向消費者身份認證

 

為服務主客戶群體為消費者的應用提供IDaaS服務,有如下特點:

 

//  用戶量巨大,千萬級或者億級用戶數;

//  用戶注冊簡單,用戶提供盡量少的用戶數據,即可注冊成功;

//  與互聯網服務深度集成,提供互聯網頭部應用作為第三方認證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內部應用進行無縫集成;

//  用戶重復注冊智能識別,低頻攻擊識別,有效用戶智能識別;

//  同一個用戶可以重復存在于不同應用中,并能提供用戶關聯的能力;

//  具備用戶操作行為的海量數據審計能力,基于大數據下的用戶行為分析能力;

//  互聯網用戶分析能力,如分類、聚合、用戶畫像等;

//  保證7*24小時的可用;

//  促銷,秒殺,雙11,突發(fā)事件等各種對登錄過程的突然爆發(fā),需要秒級的服務快速擴充;

//  灰度發(fā)布,緩存降級限流。

 

面向雇員身份認證

 

為服務主群體為本企業(yè)雇員的應用提供IDaaS服務,有如下特點:

 

//  用戶組織架構復雜,不同應用沒有統(tǒng)一的組織架構;

//  用戶角色崗位復雜,存在角色過量分配,崗位交織兼崗、兼職情況眾多,臨時分配臨時回收各種權限;

//  用戶登錄操作比較便捷,提供豐富的身份認證方式,如人臉、指紋、短信、聲紋、電信三因素、FIDO等等;

//  與互聯網服務深度集成,提供互聯網頭部應用作為第三方認證,如微信、QQ、支付寶、淘寶、微博、抖音、Google等,支持與微信小程序、釘釘小程序內部應用進行無縫集成;

//  用戶重復注冊智能識別,低頻攻擊識別,有效用戶智能識別;

//  一個用戶可以重復存在于不同應用中,并能提供用戶關聯的能力;

//  具備用戶操作行為的海量數據審計能力,基于大數據下的用戶行為分析能力;

//  互聯網用戶分析能力,如分類、聚合、用戶畫像等;

//  能提供入職、離職、調崗、兼職、退休全業(yè)務生命流程;

//  全球化集團公司,全球訪問能力,多認證中心聯邦認證能力。

 

面向供應商身份認證

 

為服務主體群體為供應商的應用提供IDaaS服務,有如下特點:

 

//  供應商用戶數量眾多,供應商變化頻率高;

//  供應商人員離職率高;

//  供應商權限控制嚴格;

//  供應商網絡復雜,可以內網訪問,可以從外網直接訪問或通過VPN訪問;

//  分配賬號控制困難,怎么控制賬號密碼共享使用;

//  供應商僵尸賬號控制,離職人員賬號控制,權限變更控制。

 

面向物聯網身份認證

 

為服務主體群體為物聯網的應用提供IDaaS服務,有如下特點:

 

//  物聯網設備數量極大,增速極快;

//  物聯網設備網絡帶寬不穩(wěn)定,網速慢;

//  物聯網設備操作系統(tǒng)異構類型眾多,系統(tǒng)計算能力有限;

//  物聯網設備本身安全防護能力弱,容易被強行刷機;

//  物聯網設備分配唯一ID,不可偽造,不可篡改;

//  全球聯通的物聯網網關聯通,認證,鑒權能力;

//  低電量設備,無系統(tǒng)設備提供設備影子,統(tǒng)一管理;

//  設備與第三方服務器通訊加密、認證、鑒權。

 

 

派拉IDaaS產品及方案

 

派拉軟件自2008年成立起,一直深耕于身份安全領域,2016年從單體應用整體過渡到微服務架構,是業(yè)界唯一全微服務架構下的身份管理平臺。2015年開始進入SaaS平臺下的IDaaS研發(fā),2018年統(tǒng)一了IDaaS與微服務架構,發(fā)布了派拉IDaaS產品,全面支持各種身份場景的應用,并支持公有云PaaS平臺部署,混合云部署,私有云部署。

 

下面是派拉IDaaS的微服務架構,以在阿里云上部署的架構為例:

圖片

//  底層組件采用PaaS平臺提供的高可用服務,如負載均衡組件、OSS存儲、Mysql、Redis、Kubernetes 集群;

//  微服務網關前置,提供認證、鑒權、多租戶、微服務負載均衡;

//  底層服務以API方式提供服務,全docker化部署,實現秒級服務擴容。

 

其中物聯網身份認證整體方案如下:

圖片

//  提供物聯網設備整體方案;

//  提供安全通訊整體方案,統(tǒng)一的物聯網網關方案;

//  提供安全證書,安全密鑰,安全ID的整理管理方案。

 

圖片

 

派拉軟件IDaaS產品不僅提供云端IDaaS和本地化部署方式,還提供混合部署方案,可與云端IDaaS和本地化IAM打通,可以針對全球化辦公環(huán)境多中心打通,可以基于物聯網設備把設備提供商和服務提供商打通,并根據不同的服務主體最優(yōu)化選擇不同方案,為用戶提供快速、安全、高效的統(tǒng)一身份管理服務。無縫集成跨地域、跨網絡、跨應用、跨系統(tǒng)的統(tǒng)一身份管理服務。