面對龐大複雜的身份和許可權管理,企業該怎麼辦?
摘要:隨著各領域加快向數字化、移動化、網際網路化的發展,企業資訊環境變得龐大複雜,身份和許可權管理面臨巨大的挑戰。
本文分享自華為雲社群《面對龐大複雜的身份和許可權管理,企業該怎麼辦?》,作者: 華為雲PaaS服務小智。
隨著各領域加快向數字化、移動化、網際網路化的發展,企業資訊環境變得龐大複雜,身份和許可權管理面臨巨大的挑戰:
- 應用規模快速增長,存在資訊孤島。各個應用系統的訪問入口和帳號孤立分散在各自系統中,缺乏統一的使用者管理體系,造成在流程效率、資訊保安、風控管理方面存在諸多風險問題。
- 使用者數快速增長,使用者維度擴大。使用者、組織生命週期管理無統一的IT工具,人工管理低效易錯。
- 使用者身份和許可權,缺乏統一管理平臺。人員流動(離職、轉崗等)後帳號和許可權無法自動更新狀態,造成帳號洩密;無審計日誌,帳號操作無法追溯。
- 資訊化發展,認證要求提高。傳統的應用系統僅支援靜態密碼一種認證方式,無法兼顧易用和不同等級應用的安全性。
面對以上挑戰,傳統的身份和許可權管理系統已無法應對,我們可以怎麼做呢?這裡先給大家介紹IAM和IDaaS,這兩個與身份和許可權管理系統息息相關的概念。
什麼是IAM和IDaaS
IAM(Identity and Access Management的縮寫),即“身份與訪問管理”,它提供單點登入、認證管理、集中的授權和審計,幫助企業安全、高效地管理IT系統的帳號和資源許可權,傳統的IAM服務雖然解決了部分身份問題,但是開發效率低,成本浪費嚴重。
IDaaS(Identity As a Service的縮寫),即“身份即服務”,IDaaS=IAM+SaaS,是雲端計算時代、SaaS服務興起的產物,是一種雲化的身份與訪問管理服務,由第三方雲服務廠商構建並維護。與傳統IAM相比,IDaaS為身份認證帶來了SaaS的成本優勢,且適配性更強、安全性更高,可處理更大規模、更加複雜的資料。
華為雲應用身份管理服務OneAccess
OneAccess是華為雲提供的IDaaS服務,是貫穿企業業務流程的身份訪問管理系統。提供集中式的身份管理、認證、授權、監控和審計平臺,保證合法的使用者、以適當的許可權訪問受信任的的應用系統,並對異常訪問行為進行實時預警和有效防範,為企業構建“零信任”的安全架構提供身份基礎設施,提供的核心能力如下:
| 多源身份管理
融合客戶多個身份源,為上層應用提供一致的身份服務;為帳號提供從註冊到登出的全生命週期管理;管理企業內部的組織架構、使用者身份,真正實現人與帳號一一對應。
| 多維度多粒度的許可權管理
提供4種粒度許可權管理模型(平臺級、大門級、應用預置級和細粒度)。其中:平臺級提供管理員的分權分域管理後臺;大門級為普通使用者提供訪問應用系統的常用許可權管理;應用預置級提供應用內建角色的控制能力;細粒度提供應用系統精確到選單、按鈕的控制能力。
| 融合認證能力
支援密碼、動態密碼OTP、簡訊驗證碼、二維碼、圖形碼能力,支援對接指紋、人臉等生物認證系統、CA數字證書;除單一認證方式外,還支援雙因素、多因素MFA認證。
| 標準化SSO單點登入
提供行業主流的OAuth、SAML、CAS、OIDC標準協議,同時支援外掛代填的方式實現對無介面應用系統的整合。
| 國內領先的預整合能力
支援4種行業標準SSO協議(OAuth、SAML、OIDC、CAS),預整合1050+行業應用,17類社交認證源(含Welink、釘釘、微信、支付寶和QQ等),9個行業身份源(含AD、飛書、SAP等),極大縮短客戶的上線時間。
| 提供跨越企業內網的專屬通道雲橋
雲橋是一個應用級安全代理,其目的是在企業內網和OneAccess服務之間建立起一條安全通道,支援OneAccess對接企業內的身份和認證資源(例如:Windows AD),核心優勢包括資料安全性、高有用和請求專有性。
OneAccess應用場景
OneAccess支援雲辦公、智慧園區、智慧城市、智慧交通、金融和教育等多個解決方案和典型行業,下面以雲辦公場景為例。
雲辦公場景下企業往往會面臨很多典型問題:
- 人事事件無法業務協同,安全性差:在每次員工入職、離職、調崗等人事事件發生時,各個應用管理員需分別在各個系統中開通帳號或維護帳號。
- 缺少統一的企業自認證,安全性差:員工使用雲辦公系統帳號登入後,缺少統一的企業二次認證能力,資訊保安得不到保障。
- 應用多樣,員工使用不便:日常工作中使用了多套應用系統,每人有多個應用系統帳號,既有公有云的SaaS應用,也有本地部署的應用,需要在雲辦公系統和應用之間來回切換登入。
OneAccess身份訪問管理方案是如何解決上述問題的呢?
| 身份全生命週期管理,保障企業資訊保安
人員入職、離職、轉崗等人事變動,客戶只需要維護身份源系統(例如:Windows AD、LDAP等)的人員變化,OneAccess定期同步身份源系統的使用者資訊,保證人員資訊時刻準確,簡化企業對人員的管理:
效果示例:
| 通過認證協議對接雲辦公系統,支援企業員工完成二次認證
企業員工變動頻繁,如若不及時更新各個應用系統的帳號,離職人員訪問企業內部系統,會造成資訊洩露。企業員工登陸雲辦公系統後,可使用已有的身份源帳號進行企業二次認證,OneAccess支援通過OAuth 2.0等協議與雲辦公系統完成認證:
以國內某大型電子科技企業案例為例, OneAccess與華為雲辦公會議系統Welink整合,解決客戶基礎業務能力,包括身份管理、應用整合、單點登入、雲辦公等服務,效果如下:
| 提供單點登入,串接所有應用系統,統一應用許可權管理
企業應用系統通過標準SSO協議整合到OneAccess,利用OneAccess的單點登入能力,做到一個帳號,一次認證,登入所有應用系統;將雲辦公系統作為認證源整合到OneAccess後,員工就可以在雲辦公系統中免密登入所有企業應用系統;利用OneAccess的應用許可權管理,自動控制員工對應用系統的訪問許可權,減少企業管理員的維護成本:
以上述大型電子科技企業客戶為例,效果如下:
OneAccess已助力多個客戶完成了身份訪問管理、雲辦公的建設,幫助客戶實現了降本增效,同時保證了企業身份安全性以及辦公效率,有助於客戶品牌形象的進一步提升,推動企業數字化轉型以及資訊保安。
目前OneAccess已上架華為雲國內站,想了解更多資訊,點選連結,立即體驗!