集团权限管理（面对庞大复杂的身份和权限管理）

本文分享自华为云社区《面对庞大复杂的身份和权限管理，企业该怎么办？-云社区-华为云》，作者： 华为云PaaS服务小智。

随着各领域加快向数字化、移动化、互联网化的发展，企业信息环境变得庞大复杂，身份和权限管理面临巨大的挑战：

• 应用规模快速增长，存在信息孤岛。各个应用系统的访问入口和帐号孤立分散在各自系统中，缺乏统一的用户管理体系，造成在流程效率、信息安全、风控管理方面存在诸多风险问题。
• 用户数快速增长，用户维度扩大。用户、组织生命周期管理无统一的IT工具，人工管理低效易错。
• 用户身份和权限，缺乏统一管理平台。人员流动（离职、转岗等）后帐号和权限无法自动更新状态，造成帐号泄密；无审计日志，帐号操作无法追溯。
• 信息化发展，认证要求提高。传统的应用系统仅支持静态密码一种认证方式，无法兼顾易用和不同等级应用的安全性。

面对以上挑战，传统的身份和权限管理系统已无法应对，我们可以怎么做呢？这里先给大家介绍IAM和IDaaS，这两个与身份和权限管理系统息息相关的概念。

什么是IAM和IDaaS

IAM（Identity and Access Management的缩写），即“身份与访问管理”，它提供单点登录、认证管理、集中的授权和审计，帮助企业安全、高效地管理IT系统的帐号和资源权限，传统的IAM服务虽然解决了部分身份问题，但是开发效率低，成本浪费严重。

IDaaS（Identity As a Service的缩写），即“身份即服务”，IDaaS=IAM SaaS，是云计算时代、SaaS服务兴起的产物，是一种云化的身份与访问管理服务，由第三方云服务厂商构建并维护。与传统IAM相比，IDaaS为身份认证带来了SaaS的成本优势，且适配性更强、安全性更高，可处理更大规模、更加复杂的数据。

华为云应用身份管理服务OneAccess

OneAccess是华为云提供的IDaaS服务，是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台，保证合法的用户、以适当的权限访问受信任的的应用系统，并对异常访问行为进行实时预警和有效防范，为企业构建“零信任”的安全架构提供身份基础设施，提供的核心能力如下：

| 多源身份管理

融合客户多个身份源，为上层应用提供一致的身份服务；为帐号提供从注册到注销的全生命周期管理；管理企业内部的组织架构、用户身份，真正实现人与帐号一一对应。

| 多维度多粒度的权限管理

提供4种粒度权限管理模型（平台级、大门级、应用预置级和细粒度）。其中：平台级提供管理员的分权分域管理后台；大门级为普通用户提供访问应用系统的常用权限管理；应用预置级提供应用内置角色的控制能力；细粒度提供应用系统精确到菜单、按钮的控制能力。

| 融合认证能力

支持密码、动态密码OTP、短信验证码、二维码、图形码能力，支持对接指纹、人脸等生物认证系统、CA数字证书；除单一认证方式外，还支持双因素、多因素MFA认证。

| 标准化SSO单点登录

提供行业主流的OAuth、SAML、CAS、OIDC标准协议，同时支持插件代填的方式实现对无接口应用系统的集成。

| 国内领先的预集成能力

支持4种行业标准SSO协议（OAuth、SAML、OIDC、CAS），预集成1050 行业应用，17类社交认证源（含Welink、钉钉、微信、支付宝和QQ等），9个行业身份源（含AD、飞书、SAP等），极大缩短客户的上线时间。

| 提供跨越企业内网的专属通道云桥

云桥是一个应用级安全代理，其目的是在企业内网和OneAccess服务之间建立起一条安全通道，支持OneAccess对接企业内的身份和认证资源（例如：Windows AD），核心优势包括数据安全性、高有用和请求专有性。

OneAccess应用场景

OneAccess支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业，下面以云办公场景为例。

云办公场景下企业往往会面临很多典型问题：

• 人事事件无法业务协同，安全性差：在每次员工入职、离职、调岗等人事事件发生时，各个应用管理员需分别在各个系统中开通帐号或维护帐号。
• 缺少统一的企业自认证，安全性差：员工使用云办公系统帐号登录后，缺少统一的企业二次认证能力，信息安全得不到保障。
• 应用多样，员工使用不便：日常工作中使用了多套应用系统，每人有多个应用系统帐号，既有公有云的SaaS应用，也有本地部署的应用，需要在云办公系统和应用之间来回切换登录。

OneAccess身份访问管理方案是如何解决上述问题的呢？

| 身份全生命周期管理，保障企业信息安全

人员入职、离职、转岗等人事变动，客户只需要维护身份源系统（例如：Windows AD、LDAP等）的人员变化，OneAccess定期同步身份源系统的用户信息，保证人员信息时刻准确，简化企业对人员的管理：

效果示例：

| 通过认证协议对接云办公系统，支持企业员工完成二次认证

企业员工变动频繁，如若不及时更新各个应用系统的帐号，离职人员访问企业内部系统，会造成信息泄露。企业员工登陆云办公系统后，可使用已有的身份源帐号进行企业二次认证，OneAccess支持通过OAuth 2.0等协议与云办公系统完成认证：

以国内某大型电子科技企业案例为例, OneAccess与华为云办公会议系统Welink集成，解决客户基础业务能力，包括身份管理、应用集成、单点登录、云办公等服务，效果如下：

| 提供单点登录，串接所有应用系统，统一应用权限管理

企业应用系统通过标准SSO协议集成到OneAccess，利用OneAccess的单点登录能力，做到一个帐号，一次认证，登录所有应用系统；将云办公系统作为认证源集成到OneAccess后，员工就可以在云办公系统中免密登录所有企业应用系统；利用OneAccess的应用权限管理，自动控制员工对应用系统的访问权限，减少企业管理员的维护成本：

以上述大型电子科技企业客户为例，效果如下：

OneAccess已助力多个客户完成了身份访问管理、云办公的建设，帮助客户实现了降本增效，同时保证了企业身份安全性以及办公效率，有助于客户品牌形象的进一步提升，推动企业数字化转型以及信息安全。

目前OneAccess已上架华为云国内站，想了解更多信息，点击应用身份管理服务OneAccess_华为云IDaaS_华为云，立即体验！

点击下方，第一时间了解华为云新鲜技术~

华为云博客_大数据博客_AI博客_云计算博客_开发者中心-华为云

,