基于零信任架构的IDaaS实现

CARTA：一致的持续自适应风险和信任评估(continuous adaptive risk and trust assessment, CARTA)方法；持续评估用户生命周期内的风险，并结合API认证及多因素能力来要求用户进行二次认证或多次认证，从而达到可以降低用户风险可以更全面的保护能力；在进行高价值数据、服务、API操作时根据实时的风险计算结合多因素系统让访问主体重新出示身份或出示更高安全性身份验证方式，用来规避主动或被动的风险攻击，从而整体保护客户的系统安全、网络安全及数据安全；

CASB：云访问安全代理(CASB)是一种工具，用于监听和管理云应用与用户之间的流量，可以帮助保护云环境，CASB的“四个支柱”包括——可视化、合规性、数据安全和威胁防护；“访问”是CASB中的一环，这类产品可以提供威胁防护，加强云上数据应用的访问和身份验证控制。在许多情况下，CASB通过和现有的IDaaS进行交互，可以监视业务活动并执行规则。

UEM：统一端点管理(UEM)，管理任何端点的整个生命周期：移动（Android、iOS）、桌面（Windows 10、macOS、Chrome OS）、强固型设备甚至 IoT（Linux 和其他）；收集终端硬件、操作系统、应用、数据、行为等信息进行终端安全评估；

细粒度授权：更细粒度的会话管理功能，基于单个资源、资源组、用户账号和资源目录的范围，授权给用户、组、组织、角色和岗位，控制其访问准入、数据获取能力；并建立角色互斥模型；

Session管理：Token统一注销和重新验证的控制策略，动态控制用户已认证的会话；根据持续风险评估引擎对已经生成的Token进行风险等级调整，根据用户上下文及历史数据进行风险计算可以阻止高风险行为；

BYOI：BYOI(社交媒体身份整合)，管理数字、面向客户、多渠道网站（Web、移动、IoT）上的客户身份，用户来源是未知的（注册前）并可能创建多个虚假帐户，不能假定身份。并且可以整合不同社交媒体不同身份信息，对多来源身份进行清洗合并，并管理用户身份画像及标签；

API Auth：API的认证和授权(使用OAuth/OIDC)，在零信任架构中所有面向访问主体的服务、API都必须经过可信代理进行统一管理，在访问代理中依托API技术对访问客体的访问请求进行统一的认证和授权，并结合风险引擎对API基本的访问进行风险动态控制，还可以结合细粒度授权能力对访问的API进行控制。