据报道，美国安全企业曾发现一起重大数据泄露事件，一个属于 One More Lead 的数据库将多达 6300 万的用户信息储存在一个没有保护的数据库中，至少有 6300 万人的身份信息可能被盗，或者被诈骗，甚至更糟。如何进行统一的身份和访问管理，来减少数据泄漏的风险呢？

01

IAM、CIAM、EIAM

首先，身份和访问管理，或者简称身份管理 IAM：Identity and Access Managetment，大多数人想到的都是针对企业内部员工、合作伙伴、临时人员等提供统一身份认证和权限管理能力的内部产品（Enterprise Identity & Access Management 或 EIAM)。

然而，随着软件的边界拓展到我们生活的方方面面，统一管理身份的需求也不断拓展边界，以企业为核心，由内而外，企业也开始容纳外部的海量顾客身份，由此诞生了针对互联网用户的顾客身份管理（Customer Identity & Access Management 或 CIAM)。

实际上，企业在做好身份管理的过程中也⾯临着诸多挑战。

• 比如身份系统重复建设，导致多⽤户⻆⾊和分⽀机构并存，并需要投⼊⼤量运维资源，⽼旧应⽤的集成将⾯临极⼤的改造成本，使企业运营成本直线上升。

• 此外，如果权限管理体系建设不完善，会导致⼤量应⽤系统外部暴露，业务系统技术标准不统⼀，因此安全管理制度和策略难落实，身份管理的难度也会增⼤。而基于边界的传统⽹络安全架构会使得企业数字化转型成为难题。

• 另外，如果多应⽤重复开发身份登录模块，则⽆法复⽤和统⼀⼊⼝，因此导致开发周期长，成本⾼，身份管理难度大。

初始由 Accenture、AWS 等国外服务商率先将 CIAM 作为一个独立的、必须的产品来看待。完全不同于以内部效率为核心的 EIAM 产品，CIAM 的目标是协助企业完成全局的信息化转型，在所有对外服务中统一用户的身份，在以体验为核心的用户争夺战中，为终端用户提供完整的身份自助服务、为不同平台用户提供统一而流畅的使用、注册体验，以此来提高用户的留存、黏性，进一步创造价值，在行业竞争中取得先机。

今天领先的 IDaaS 服务商，都在致力于为企业提供上手即用、安全可拓展的用户管理和认证服务。使用 IDaaS，企业的 IT 研发、运维人员都可以快速管理任何应用、人员或设备的连接。无论是顾客、成员或是合作伙伴，无论是在云上、本地或是在移动设备上，IDaaS 服务商都可以帮助政企的 IT 服务变得更加安全，提高外部的核心业务的上线速度，也提高内部人员的生产力并保持合规性。

02

IDaaS 提供商基于 IAM 提供云的解决方案

先通俗易懂地解释一下 IDaaS。

当组织开发或维护应用时，他们会选择自己实现哪些功能以及将哪些功能托管给第三方。例如，如果你正在编写一个用于付款的应用程序，那么使用 Ping++ 之类的平台而不是从头开始开发自己的支付系统，通常会更节省时间和成本。

如果你的应用程序要求用户登录，情况也是如此。鉴于登录的复杂性以及身份管理涉及到的分析和合规成本，通常最简单的方法是购买 IDaaS 并集成到你的应用中。

因此，购买 IDaaS 服务时，实际上是在购买 API（应用程序编程接口）。用最简单的话来说，API 是一组关于软件或应用程序如何交互的规则，例如翻译器或中介器。

也就是说，在有 IDaaS 的情况下，API 在终端用户、IDaaS 提供商和服务商服务器中间流转。

在谈论管理身份时，我们指的是三种基本用户类别的身份：

• 客户身份和访问管理（CIAM），适用于最终用户。

• Workforce IAM，它管理你的员工及其对内部应用程序的访问。

• B2B IAM，使企业可以将身份与其业务合作伙伴和企业客户进行集成。

这三个类别的场景区别很大，组织会依据不同的场景选择不同的 IDaaS 厂商。

当然，几乎所有 IDaaS 提供程序都有一些共同的核心功能，这些包括：

• 多因素身份验证（MFA）

• 生物识别

• 单点登录（SSO）

• 用户管理和访问控制

03

IAM 的发展关键词 —— API

在众多 IDaaS 厂商中，Authing 采用云原生架构，支持 k8s+Docker 的部署方式，已在 AWS，华为，阿里云，腾讯云，七牛云等多个公有云上实现基于云原生部署及弹性伸缩能力，是多厂商中唯一支持云原生架构的产品。

Authing 基于用户池实现多租，同时可实现三种方式的多租隔离：公有云逻辑多租，私有云物理多租，私有化 k8s 容器多租。此外由于基于云原生，理论上无租户数上限，平滑扩展。

Authing 可对接多种云原生 KMS 服务；实现端到端加密、数据传输加密完备；同时拥有完整的 DevOps 能力：基于云原生的研发全套 CICD 流水线。

以 API 为中心的身份中台

通俗易懂 API

API 代表「应用程序编程接口」。它是一段代码，充当两个不同团队所开发软件之间的过渡。API 充当双方之间的中介者或翻译者，来回传递请求和响应。

拿就餐举例，你向服务员说：「我要一块鸡排」，服务员会向厨房传递这个信息，你不用操心「鸡排是怎么做的」，十分钟后你就可以吃到鸡排。

在这个例子中，你是某个软件的用户，服务员是 API，厨房是软件的服务器。

社交登录是 API 的常见例子。当软件实施了社交登录后，用户只需单击一下按钮即可通过身份提供商进行身份验证，例如「使用微信登录」、「使用 QQ 登录」。在微信登录中，是腾讯向开发者提供了 API 以帮助用户使用微信身份登录到开发者的应用。

开发者可以通过开放 API，拓展 Authing 本身的很多场景，解决了数百万用户的登录和身份融合问题。

Authing（红线）和其他 IDaaS 厂商的对比

关于 Authing
 

Authing 是国内首款以开发者为中心的全场景身份云产品，为企业和开发者提供完善安全的用户认证和访问管理服务。作为云原生架构下的身份云产品，Authing 在产品创建初期，目标就是服务亿级的企业和个人开发者客户，轻量级、易部署、低消耗、技术栈成熟，运维易的云原生技术产品架构，成为了 Authing 的首选。

快速掌握干货，洞察市场趋势。想要占领 IAM 的高地，请持续关注 Authing 技术博客。