随着业务上云、生态协作、多云混合等场景涌现,过往以防火墙为边界的身份与访问控制遭遇了新的挑战。如何打通云上与本地系统的身份体系,对内部员工和外部合作伙伴的账号、权限、行为进行统一管控,打破企业多个业务应用的数据孤岛,建立全面的身份画像,为用户提供更为顺畅和精准的服务,成为云原生时代新的安全需求。其中,云原生身份云服务(Identity as a Service,IDaaS)作为云计算创新应用领域,已在各行各业中展现出巨大潜力,成为现化身份管理和安全保障的关键。
01.数字环境变化,需求推动 IDaaS 发展
传统的身份管理无法满足企业数字化转型背景下业务快速扩展的需求,基于多云场景的身份管理需求价值凸显。随着远程办公的普及和数字工作环境的扩大,越来越多的员工采用移动设备进行工作,企业数据与个人应用程序共享同一设备空间,导致关键数据的所有权变得模糊不清。Statista 数据显示,截至 2023 年,全球移动设备用户已超过 50 亿,物联网设备数量预计将在 2024 年达到 260 亿台。与此同时,移动设备的安全状态变得更加难以预测,传统的终端管控手段变得难以应对这种新形势。动态变化的网络威胁需要更强大、更集中的安全方法,IDaaS 可以提供多因素身份验证、威胁情报和实时访问监控等高级安全功能,可以帮助企业抵御日趋复杂的网络威胁。Gartner 数据显示,到 2025 年,70% 的企业愿意采用 IDaaS 作为企业身份云解决方案。
02.中国 IDaaS 市场有巨大潜力
随着企业对安全性和合规性的需求不断增长以及云原生技术的广泛应用,企业更倾向于采用云原生的 IDaaS 解决方案,以满足不断变化、需要灵活扩展的业务需要。云计算的普及应用导致无边界的办公需求不断增长,推动了 IDaaS 的高速发展。据 MarketsandMarkets 预测,中国 IDaaS 市场规模预计将从 2022 年的 4.7 亿美元增长到 2028 年的 16.2 亿美元,复合年增长率为 25.3%,这一预测显示 IDaaS 技术在中国市场拥有巨大潜力和增长空间。
图片来源:MarketsandMarkets
03.全场景构建云原生 IDaaS 平台
从零建设云原生 IDaaS
如果您是没有建立身份和访问管理(IAM)系统或身份即服务(IDaaS)平台的企业,Authing 可以为您提供从零构建云原生 IDaaS 平台的全面支持。构建云原生的 IDaaS 平台需要考虑诸多因素,包括安全性、可扩展性、 灵活性和用户体验等。Authing 云原生 IDaaS 平台帮助您定义业务需求和目标,明确的平台功能需求,如身份认证、访问控制和用户管理,并确保提高安全性、提升用户体验和降低成本成本。Authing 采用现代化技术栈,适合云原生开发,包括容器化技术(如 Docker)、编排工具(如 Kubernetes)、微服务架构和服务网格等。同时,Authing 支持主流认证协议,如 OIDC、OAuth2、SAML 和 CAS 协议,保证兼容性和安全性。
集成现有的身份存储系统(如 LDAP、Active Directory 等)是关键一步。Authing 提供强大的集成功能,确保与其他云服务和应用程序的无缝对接,实现统一的身份管理和访问控制。在实施监控和运维方面表现出色,通过配置监控和日志记录,实时监控身份认证和访问控制的运行状态,并利用自动化运维工具,确保系统的稳定性和可靠性,定期评估系统性能和用户反馈,帮助企业持续进行优化和改进。Authing 云原生 IDaaS 平台遵循合规性要求,确保平台的安全性和隐私保护符合相关法律法规和行业标准,如个人信息保护法、等保要求和 GDPR 等。并且为管理员和用户提供培训和支持,确保他们能够正确使用和理解 IDaaS 平台,提高用户的认知度和接受度。
从传统 IAM 迁移到 IDaaS
许多企业已经基于传统架构建立了自己的身份与访问管理系统,随着企业的组织规模的持续扩大等业务发展和自身的壮大,企业信息安全的维度和边界变得越来越复杂,需要借助大量应用系统进行日常的管理运营,其这就构成了相对复杂的 IT 系统环境,随之而来传统 IAM 的劣势逐渐暴露企业普遍面临登录安全、账号管理和应用权限管理等问题。IDaaS 服务可以为企业用户解决这种登录和身份的融合问题。从传统 IAM 系统迁移到基于云迁移的 IDaaS 平台是一个棘手但有效的方式。
Authing 技术团队将协助企业评估现有 IAM 系统,进行功能和需求分析,确定当前系统提供的功能和服务,包括身份认证、访问控制、单点登录、多账户认证、审计和报告等。重写评估现有系统的性能、稳定性和扩展性,识别潜在的瓶颈和需要改进的地方。接下来,Authing 将帮助企业确定迁移目标和业务需求,明确迁移至 IDaaS 平台的优先级,例如提升安全性、简化管理、支持云原生应用等。通过详细的业务需求分析,确定 IDaaS 平台需要支持的功能和性能要求,确保新平台能够满足企业的实际需求。在制定迁移计划和策略时,将与企业合作,制定详细的迁移阶段、时间表、资源分配、风险管理和回滚计划。同时,确定迁移策略,确保用户数据、权限配置、审计日志等重要数据的完整性和安全性。在数据迁移和应用认证迁移过程中,验证制定开始的迁移策略,确保业务连续性,尽量减少对现有系统和客户体验的影响
以下是具体的迁移措施:
- 数据自动化同步能力
新建 IDaaS 平台需要可以从现有的 IAM 系统进行自动化数据同步,包括 API 接口,数据库,LDAP 协议,自动化脚本等多种方式。通过首次的全量数据同步初始化,到增量数据定时或实时同步,在现有 IAM 系统完全下线之前,保持数据自动化同步能力。
- 应用双通道
实现应用认证稳步迁移。搭建测试环境对接测试应用,或者是在应用上增加新的认证通道,实现一个应用对接现有 IAM 平台和新建 IDaaS 平台,通过不同的认证方式对用户进行惰性迁移。
- 从 AD/LDAP 迁移到 IDaaS
有的企业已经使用了微软 Active Directory(AD)或轻量级目录访问协议(LDAP)服务来搭建自己的用户身份管理平台。为避免出现"卡脖子"情况,政策倡导企业逐步迁移至国产信创的应用系统,以建立自主可控的基础软件体系。并且传统的 AD 和 LDAP 系统通常是在本地部署和管理的,随着企业的扩展,管理这些系统变得越来越复杂和繁琐。从传统 AD 或 LDAP 迁移到 IDaaS 平台可以带来更灵活、安全和易于管理的身份认证和访问控制解决方案。
顺应国产信创趋势,零成本迁移 AD 目录数据至 Authing ,实现灵活安全的统一身份认证管理体系,支撑企业未来 5-10 年的业务扩张。Authing 专业技术团队会详细评估现有 AD/LDAP 环境的功能和使用情况,包括用户管理、设备管理、组织管理、群组管理、身份认证和访问控制等,同时评估现有系统的性能、稳定性和扩展性,确定是否存在瓶颈或需改进之处,帮助企业实现从传统 AD 或 LDAP 系统到云原生 IDaaS 平台的顺利迁移,从而实现更高效的身份管理和系统运维,提升企业的安全性、灵活性,同时简化管理和降低成本。AD 系统迁移到 IDaaS 平台是一个相对漫长的过程,Windows 操作系统对于 AD 的依赖性较强,除了身份及设备管理相关功能外,还包括组策略,软件补丁管理,CA 证书及 DNS 服务等很多其他功能,所以在迁移过程中会出现长期共存的情况。
如下是具体的迁移路径:
- 阶段一
AD/LDAP 作为主身份源,将所有的数据同步到新建 IDaaS 平台。应用认证由原有的 AD 切换到 IDaaS 认证服务。
- 阶段二
当原有的数据全部同步到新建 IDaaS 平台后,IDaaS 平台将作为 SSOT(Single Source of Truth),实现身份数据的一致性和准确性。AD/LDAP 将作为下游存在,由 IDaaS 平台将所需要的用户、组织、群组等数据自动化同步到 AD/LDAP 平台。
通过以上步骤和考虑因素,您可以有效地从传统的 AD/LDAP 环境迁移到现代的 IDaaS 平台,实现更灵活、安全和高效的身份认证和访问管理解决方案。这种迁移不仅可以提升企业的 IT 运营效率,还能够支持未来的业务增长和云原生应用的部署。
针对 IDaaS 进行安全加固
针对已有 IDaaS 平台进行安全加固是确保身份认证和访问管理安全性的关键步骤。随着企业数字化转型步入“深水区”,网络安全威胁也日益增加。企业的身份认证和访问管理系统成为黑客攻击的重要目标,如果不采取有效的安全加固措施,企业面临的风险将大大增加,数据泄露的风险不断上升。企业的 IDaaS 平台管理着大量敏感的用户信息,包括员工、客户和合作伙伴的个人数据。一旦这些数据被泄露,企业将面临严重的法律和财务后果,同时对企业声誉造成不可估量的损害。通过对 IDaaS 平台进行安全加固,可以有效保护这些敏感数据,防止未经授权的访问和数据泄露。
Authing 致力于提供 IDaaS 平台安全加固措施,确保企业在其 IDaaS 平台上享有安全可靠的身份认证和访问管理安全性。Authing 持续自适应多因素作为下一代多因素安全认证平台被推出,能够分析用户登录和使用行为,有效识别风险,自动配置合适的 MFA 策略,在风险出现时拉起二次认证,全面提升安全风控能力。它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。在时间维度上,持续自适应多因素认证在用户整个使用旅程中持续不断的对其进行信任评估,以决定是否需要增加额外的认证流程。这样做的好处就是企业的安全得到实时监控,而用户只会在进行风险操作时被提示需要进行额外的认证。
单点登录(SSO)是目前企业降本增效以及提升用户体验的主流选择方案。相关的安全性配置也非常重要,包括适当的会话管理、强制重新认证、定期会话失效等策略,以防止会话劫持和重放攻击。Authing 通过将多个应用集成至一个工作台,实现了单点登录的强大能力,而无需进行额外的开发工作。用户只需完成一次登录,即可安全高效地访问所有被授予权限的应用系统,这极大地简化了繁琐的登录流程,显著提升了业务操作的效率。
实践案例:某省级教育厅需求痛点
- 随着信息技术的迅猛发展,教育信息化建设已成为教育改革发展的重要战略任务。大力推进教育信息化基础设施建设。通过构建高效、稳定的数字化基础设施,为教育信息化的深入发展奠定坚实基础。为加快推进教育数字化转型,教育厅印发关于教育领域数字化改革工作方案,提出构建数智驱动的教育治理新格局。
- 传统的身份认证和访问管理(IAM)系统难以满足教育信息化发展的需求,存在运维成本高、扩展性差、安全性低等问题。因此,亟需构建一套基于云原生技术的数字教育身份基础设施,实现身份统一管理、安全高效认证和精准授权控制。
- 教育厅需积极响应国家教育数字化战略,基于云原生技术,构建全省教育中枢大脑,打造统一的数字教育身份基础设施,实现组织、用户、应用权限和身份认证的一体化管理,有效推动了教育信息化发展,赋能教育治理新模式。
解决方案
浙江省教育厅采用云原生技术架构,构建统一的数字教育身份基础设施。包含以下核心组件:
- 身份认证中心:提供统一的身份认证服务,支持多种认证方式,如用户名密码、短信验证码和生物识别等。整合全省教育系统用户身份信息,建立统一的身份标识体系,实现用户身份的集中管理和共享。无论用户位于哪个教育机构或使用哪种设备,都可以通过统一的身份认证中心进行安全登录和访问,确保用户身份的唯一性和可靠性。
- 授权管理中心:基于角色、属性等多维度进行授权控制,实现对用户、应用和资源的精准访问控制。满足教育信息化管理的精细化需求。无论是教育管理者、教师、学生还是家长,都能通过这一平台便捷地访问所需的教育资源和服务。权限和身份的集中管理将显著提高系统的安全性和管理效率,减少管理的复杂性和成本。
- 审计中心:记录用户访问行为,提供详尽的审计日志,支持多维度查询和分析,为教育信息化安全运营提供强有力的支撑。通过对用户行为的实时监控和日志记录,审计中心可以及时发现并应对潜在的安全威胁和违规操作。管理员可以通过审计日志了解系统的使用情况,识别异常活动,确保系统的安全性和稳定性。
如果您想要了解更多内容,请扫描二维码下载《云原生身份云 IDaaS 技术与发展白皮书》!在这份白皮书中,您将会得到更详细的技术解读和发展趋势分析。