本文分享自华为云社区《面对庞大复杂的身份和权限管理,企业该怎么办?-云社区-华为云》,作者: 华为云PaaS服务小智。
随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战:
- 应用规模快速增长,存在信息孤岛。各个应用系统的访问入口和帐号孤立分散在各自系统中,缺乏统一的用户管理体系,造成在流程效率、信息安全、风控管理方面存在诸多风险问题。
- 用户数快速增长,用户维度扩大。用户、组织生命周期管理无统一的IT工具,人工管理低效易错。
- 用户身份和权限,缺乏统一管理平台。人员流动(离职、转岗等)后帐号和权限无法自动更新状态,造成帐号泄密;无审计日志,帐号操作无法追溯。
- 信息化发展,认证要求提高。传统的应用系统仅支持静态密码一种认证方式,无法兼顾易用和不同等级应用的安全性。
面对以上挑战,传统的身份和权限管理系统已无法应对,我们可以怎么做呢?这里先给大家介绍IAM和IDaaS,这两个与身份和权限管理系统息息相关的概念。
什么是IAM和IDaaSIAM(Identity and Access Management的缩写),即“身份与访问管理”,它提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理IT系统的帐号和资源权限,传统的IAM服务虽然解决了部分身份问题,但是开发效率低,成本浪费严重。
IDaaS(Identity As a Service的缩写),即“身份即服务”,IDaaS=IAM SaaS,是云计算时代、SaaS服务兴起的产物,是一种云化的身份与访问管理服务,由第三方云服务厂商构建并维护。与传统IAM相比,IDaaS为身份认证带来了SaaS的成本优势,且适配性更强、安全性更高,可处理更大规模、更加复杂的数据。
华为云应用身份管理服务OneAccessOneAccess是华为云提供的IDaaS服务,是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台,保证合法的用户、以适当的权限访问受信任的的应用系统,并对异常访问行为进行实时预警和有效防范,为企业构建“零信任”的安全架构提供身份基础设施,提供的核心能力如下:
| 多源身份管理融合客户多个身份源,为上层应用提供一致的身份服务;为帐号提供从注册到注销的全生命周期管理;管理企业内部的组织架构、用户身份,真正实现人与帐号一一对应。
| 多维度多粒度的权限管理
提供4种粒度权限管理模型(平台级、大门级、应用预置级和细粒度)。其中:平台级提供管理员的分权分域管理后台;大门级为普通用户提供访问应用系统的常用权限管理;应用预置级提供应用内置角色的控制能力;细粒度提供应用系统精确到菜单、按钮的控制能力。
| 融合认证能力支持密码、动态密码OTP、短信验证码、二维码、图形码能力,支持对接指纹、人脸等生物认证系统、CA数字证书;除单一认证方式外,还支持双因素、多因素MFA认证。
| 标准化SSO单点登录
提供行业主流的OAuth、SAML、CAS、OIDC标准协议,同时支持插件代填的方式实现对无接口应用系统的集成。
| 国内领先的预集成能力
支持4种行业标准SSO协议(OAuth、SAML、OIDC、CAS),预集成1050 行业应用,17类社交认证源(含Welink、钉钉、微信、支付宝和QQ等),9个行业身份源(含AD、飞书、SAP等),极大缩短客户的上线时间。
| 提供跨越企业内网的专属通道云桥云桥是一个应用级安全代理,其目的是在企业内网和OneAccess服务之间建立起一条安全通道,支持OneAccess对接企业内的身份和认证资源(例如:Windows AD),核心优势包括数据安全性、高有用和请求专有性。
OneAccess应用场景
OneAccess支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业,下面以云办公场景为例。
云办公场景下企业往往会面临很多典型问题:
- 人事事件无法业务协同,安全性差:在每次员工入职、离职、调岗等人事事件发生时,各个应用管理员需分别在各个系统中开通帐号或维护帐号。
- 缺少统一的企业自认证,安全性差:员工使用云办公系统帐号登录后,缺少统一的企业二次认证能力,信息安全得不到保障。
- 应用多样,员工使用不便:日常工作中使用了多套应用系统,每人有多个应用系统帐号,既有公有云的SaaS应用,也有本地部署的应用,需要在云办公系统和应用之间来回切换登录。
OneAccess身份访问管理方案是如何解决上述问题的呢?
| 身份全生命周期管理,保障企业信息安全人员入职、离职、转岗等人事变动,客户只需要维护身份源系统(例如:Windows AD、LDAP等)的人员变化,OneAccess定期同步身份源系统的用户信息,保证人员信息时刻准确,简化企业对人员的管理:
效果示例:
| 通过认证协议对接云办公系统,支持企业员工完成二次认证
企业员工变动频繁,如若不及时更新各个应用系统的帐号,离职人员访问企业内部系统,会造成信息泄露。企业员工登陆云办公系统后,可使用已有的身份源帐号进行企业二次认证,OneAccess支持通过OAuth 2.0等协议与云办公系统完成认证:
以国内某大型电子科技企业案例为例, OneAccess与华为云办公会议系统Welink集成,解决客户基础业务能力,包括身份管理、应用集成、单点登录、云办公等服务,效果如下:
| 提供单点登录,串接所有应用系统,统一应用权限管理
企业应用系统通过标准SSO协议集成到OneAccess,利用OneAccess的单点登录能力,做到一个帐号,一次认证,登录所有应用系统;将云办公系统作为认证源集成到OneAccess后,员工就可以在云办公系统中免密登录所有企业应用系统;利用OneAccess的应用权限管理,自动控制员工对应用系统的访问权限,减少企业管理员的维护成本:
以上述大型电子科技企业客户为例,效果如下:
OneAccess已助力多个客户完成了身份访问管理、云办公的建设,帮助客户实现了降本增效,同时保证了企业身份安全性以及办公效率,有助于客户品牌形象的进一步提升,推动企业数字化转型以及信息安全。
目前OneAccess已上架华为云国内站,想了解更多信息,点击应用身份管理服务OneAccess_华为云IDaaS_华为云,立即体验!
点击下方,第一时间了解华为云新鲜技术~
华为云博客_大数据博客_AI博客_云计算博客_开发者中心-华为云
,