数字化转型浪潮中,企业纷纷拥抱云计算、SaaS应用、远程办公,但随之而来的却是身份管理的“一地鸡毛”:员工需记忆数十个账号密码、IT部门疲于应对权限混乱、安全漏洞频发……
据统计,平均每个业务部门要使用87个不同的SaaS应用。这些应用程序通常都有自己的身份管理系统,有的还无法随时相互集成,形成“身份孤岛”,既拖累效率,又体验不佳,甚至还埋下了安全隐患。
这无论是对于普通用户,还是IT管理员,无疑都是在增加工作负担:
作为用户,我们并不想考虑后台发生了什么。我们只希望在访问应用程序时,记忆一个账号密码,就可以获得安全、无缝的登录体验,无论它们是位于本地还是云上。
作为IT管理员,我们不想花时间编写代码来集成身份供应商、数据库......我们只想尽快设计、测试和部署高效流畅的用户体验,而无需请求高技能开发人员的帮助。
身份编排使所有这些成为可能!
01
什么是身份编排?
身份编排是一种基于标准的新型软件方法,用于管理分布式身份和访问控制管理 (IAM),协调不同⾝份系统间的⾝份数据和策略。
借助身份编排,企业可以跨云和本地集成多个身份系统或提供商,并在无需编写自定义代码或脚本的基础上,创建统一、简化并自动化执行的身份管理工作流程。
.png)
例如,当新员工加入公司时,他们通常需要访问许多系统。若手动为每个系统配置访问权限耗时耗力且易出错。如果员工转岗、离职,又需及时调整访问权限配置。
此时,若采用身份编排,即可在可视化基础上,从头到尾规划并自动化用户旅程全流程,快速简化身份和访问管理,降低安全漏洞风险,确保遵守法规,并通过提供对所需资源的无缝访问来增强用户体验。
.png)
整个流程设计过程中,IT管理员无需知道如何编写代码,即可优化这些流程或创建新流程。管理员可直接采用系统自带的流程模板,也可根据需求从头开始构建流程。
构建过程中,只需将各个节点拖放到画布上,配置流程,测试它,然后继续修改,直到满意为止。
02
身份编排与IAM的关系?
从上述介绍,我们可以看出IAM与身份编排之间的差异:
IAM是解决企业应用系统身份信息孤岛问题,连接并管理企业一个或多个域内的应用系统身份和权限信息的解决方案;
身份编排则是解决企业存在多个身份管理平台导致的跨域身份孤岛问题的解决方案。
它可以帮助企业将身份治理扩展到任何应用程序(包括第三方应用程序、移动设备等),并在本地、混合云和 SaaS 部署的不同环境中提供无缝、无摩擦的用户体验。
Gartner认为身份编排是IAM基础设施的演进,具有独特的特征。IAM 基础设施必须满足一组最低能力要求才能成为身份编排。具体表现为以下10条身份编排原则:
● 管控身份范围——任何人或机器
● 网络部署架构——支持集中控制部署和分散部署
● 架构——结构合理、精心策划、以旅程为导向
● 安全性——自适应、连续、风险意识和弹性
● 标准——普及
● 连接性——基于事件的集成
● 变化——持续且自动化
● 威胁检测与响应——规范和补救
● 隐私——为所有人
● 可视化——持续
03
身份编排如何运作?
身份编排通过抽象、集成和编排企业身份数据,使其可通过一组一致的 API 和接口访问,为企业提供一种模块化方法管理IAM架构。
.png)
例如,身份编排通过抽象层,将授权和身份验证过程从应用程序中外部化。然后,这些应用程序可以与任何身份系统或服务集成,且无需更改应用程序代码或修改配置。
身份编排会将登录请求路由到不同的并发身份提供商,或从各种身份存储中查找、检索用户属性、组和其他身份数据,并确保身份管理的各个步骤按正确的顺序进行。
它通过将身份系统集成并按特定顺序对它们执行特定操作,为用户创建运行时身份访问流,并控制从用户流开始到结束的访问全过程。
换句话说,身份编排如同企业IAM的“智能交通指挥中心”:
统一调度:借助开箱即用的连接器,无缝连接异构系统,打通部署在本地、公有云、SaaS平台等企业内所有身份管理系统(员工、客户、IoT设备、机器等),统一管理用户身份、权限策略和安全规则等。
自动化工作流:提供可视化无代码用户界面,围绕员工入转调离全生命周期,进行身份账号、权限分配等简单配置与自动化执行,简化入职、离职、变更管理功能,减少人为错误。
动态管控:根据用户行为、设备状态、地理位置等实时数据,自动调整验证强度甚至权限(例如:远程访问时强制二次验证)。
无感体验:员工一次登录即可访问所有授权应用,客户在不同渠道享受一致服务,无需重复认证,并可在零信任模型下进行动态授权。
事件驱动编排:根据来自威胁系统或其他应用程序的实时事件通知,自动重新配置身份和访问权限。
04
身份编排应用场景
实际应用中,身份编排技术更多地侧重于解决复杂的身份管理环境中的整合与协调问题。适用于企业拥有多个身份管理系统、多种身份验证机制以及复杂的权限管理需求的场景。
例如,在大型企业合并或收购后,需要整合不同公司原有的身份管理体系,这时身份编排就可以发挥作用,将这些不同的身份“碎片”整合为一个整体;
.png)
又或者全球性企业,在不同国家区域有各自本地化部署的IAM系统。通过身份编排技术,可以帮助企业快速统管统控集团的用户中心、认证中心、授权中心,确保用户从不同区域登录得到一致体验,并从合规要求进行统一认证编排,助力企业以集团视角对所有数字化业务可视、可管、可控。
此外,身份编排在对旧应用程序身份进行现代化改造、部署无密码/多因素身份验证、强制授权以及管理复杂的场景中,也是大有可为。它可以帮助企业组织在不改变原有的系统架构基础上,实现低成本的身份与访问控制管理能力升级。
尤其是在SaaS应用、企业上云的大趋势背景下,帮助企业将云身份功能扩展到本地应用程序。通过与大多数 IDP 和身份服务配合使用,以保护云和本地应用程序。在将工作负载从传统身份提供商迁移到云时,还可以帮助企业组织“迁移和改进”。
05
你的企业采用身份编排技术了吗?
从本质上讲,身份与应用程序紧密耦合,因此很难将它们与它们所在的身份服务区分开来。
而身份编排技术通过抽象层将应用程序与身份分离,在无需更改用户访问体验、重写任何代码或在多个身份系统中重新创建访问策略的基础上,帮助企业采取一致的身份与访问管理策略、现代化/迁移到云、增强网络安全和身份弹性等。
想象一下,企业无需重写代码即可对任何应用程序(包括本地、云上等)进行现代化改造和保护,并使用领先的身份管理工具。这些释放出来的资源可以做什么?
数智化的今天,你的企业是时候了解身份编排技术了。更多有关身份编排解决方案与成功案例,欢迎在线咨询!
7*24小时服务
专属安全顾问
Gartner推荐
IDC创新者
权威安全认证© 2021 Paraview Software. All rights reserved. 沪ICP备13029541号-1 
沪公网安备 31011502012922号
员工身份与访问控制eIAM
客户身份与访问控制cIAM
云身份治理IDaaS
智能身份认证IDA
细粒度权限管理xBAC
API安全网关API-SGW
API安全监测API-SD
API管理平台APIM
ESB 企业服务总线
特权访问管理PAM
数据库访问管理CQ
数据治理平台PDMP
一体化零信任
运维安全
数据安全治理
远程办公安全
国产化替代
企业合规管控
数字化集成平台
数字化员工门户
热门文章
