技术干货 | 基于Saas的身份认证平台

在云计算与移动技术的快速兴起，企业的IT环境越来越复杂，网络边界正在模糊；使用应用系统的用户身份边界也无法单一的确定；急需要一个基于云的统一身份管理平台（IDaaS）。IDaaS在移动办公、SaaS服务、PaaS平台逐步兴起并有大规模应用后必然的产物。企业正在逐步接受云和移动技术，企业需要在超越传统的网络边界和传统身份和访问管理（IAM）解决方案的能力。

什么是IDaaS?

IDaaS（Identity as a Service）身份即服务，可以理解为SaaS+IAM基于SaaS服务的云身份认证服务平台；

Gartner给IDaaS的定义是“管理、账户配置、认证与授权以及报告等功能的结合”。基于云端的IAM能够同时管理SaaS应用和内部应用。

Gartner指出，IAM云安全服务的主要增长动力来自中小企业的日益增长的需求，包括扩展基础IAM功能，为越来越多的访问SaaS应用和内部web应用的员工提供服务。越来越多的中小企业开始部署IAM云服务取代原来的内部部署的IAM工具，而大企业则倾向以混合云和内部部署的方式使用IAM。

Gartner表示，IDaas的核心方面是：

IGA：为用户提供云应用和密码重置功能。

Access：标准的用户身份验证、单点登录和授权，支持标准的联邦认证协议（SAML，OIDC 等）。

Intelligence：身份访问日志监视和报告。

IDaaS有什么优点?

IDaaS的一个主要优势是节约成本。使用诸如微软AD、IBM、TIM、TAM之类的软件在企业本地部署可能会带来很多成本。您的团队必须维护服务器，购买、升级和安装软件，定期备份数据，支付托管费，监控本地额外的地盘以确保网络安全，设置VPN，等等。

有了IDaaS，订阅费和管理工作的成本就大幅度降低。

除了节省开支，IDaaS的其他优点还包括改进的网络安全和节省的时间，登录速度更快，密码重置更少。无论用户是从机场的开放WiFi登录，还是从办公室的办公桌登录，整个过程都是无缝和安全的。安全性的提高可以防止公司面临可能会颠覆其业务的黑客攻击或漏洞。以及应对企业未来业务快速增长的而对IAM服务的吞吐量的极速增加，对新技术的跟进，以及随时出现的各种系统安全事件，都交给专业的IDaaS服务商来完成。

IDaaS应用场景和挑战

微服务架构

以微服务架构IDaas，可以集成CI/CD进行快速迭代，在产品版本发布引入灰度发布对关键业务模块的发布进行小规模试运行，并且功适应能服务业务急剧增长，可以单独扩展该服务；比如登录量突然增长，只需要扩展SSO服务，而不需要扩展所有的服务。

面向消费者身份认证

为服务主体客户群体为消费者的应用提供IDaaS服务，有如下特点：

1. 用户量巨大，千万级或者亿级用户数。

2. 用户注册简单，用户提供尽量少的用户数据，即可注册成功。

3. 用户登录操作的便利性，提供丰富的身份认证方式，如人脸、指纹、短信、声纹、电信三因素，FIDO等等。

4. 与互联网服务深度集成，提供互联网头部应用提供作为第三方认证，如微信、QQ、支付宝、淘宝、微博、抖音，Google等等，与微信小程序、钉钉小程序内部应用无缝集成的能力。

5. 用户重复注册智能识别，低频攻击识别，有效用户智能识别。

6. 同一个用户可以重复存在于不同应用中，并能提供用户关联的能力。

7. 用户操作行为的海量数据审计能力，基于大数据下的用户行为分析能力。

8. 互联网用户分析能力，如分类、聚合、用户画像等。

9. 需要保证7×24小时的可用。

10. 促销、秒杀、双11，突发事件等各种对登录过程的突然爆发，需要秒级的服务快速扩充。

11. 灰度发布，缓存降级限流。

面向雇员身份认证

为服务主体群体为本企业雇员的应用提供IDaaS服务，有如下特点：

1. 用户组织架构复杂，不同应用没有统一的组织架构。

2. 用户角色岗位复杂，存在角色过量分配，岗位交织兼岗、兼职情况众多，临时分配临时回收各种权限。

3. 用户登录操作的便利性，提供丰富的身份认证方式，如人脸，指纹，短信，声纹，电信三因素，FIDO等等。

4. 与互联网服务深度集成，提供互联网头部应用提供作为第三方认证，如微信、QQ、支付宝、淘宝、微博、抖音，Google等等，与微信小程序、钉钉小程序内部应用无缝集成的能力。

5. 用户重复注册智能识别，低频攻击识别，有效用户智能识别。

6. 同一个用户可以重复存在于不同应用中，并能提供用户关联的能力。

7. 用户操作行为的海量数据审计能力，基于大数据下的用户行为分析能力。

8. 互联网用户分析能力，如分类、聚合、用户画像等。

9. 能提供入职、离职、调岗、兼职、退休全业务生命流程。

10. 全球化集团公司，全球访问能力，多认证中心联邦认证能力。

面向供应商身份认证

为服务主体群体为供应商的应用提供IDaaS服务，有如下特点：

1. 供应商用户数量众多，供应商变化频率高。

2. 供应商人员离职率高。

3. 供应商权限控制严格。

4. 供应商网络复杂，可以内网访问，可以从外网直接访问或通过VPN访问。

5. 分配账号控制困难，怎么控制账号密码共享使用。

6. 供应商僵尸账号控制，离职人员账号控制，权限变更控制。

面向物联网身份认证

为服务主体群体为物联网的应用提供IDaaS服务，有如下特点：

1. 物联网设备数量极大，增速极快。

2. 物联网设备网络带宽不稳定，网速慢。

3. 物联网设备操作系统异构类型众多，系统计算能力有限。

4. 物联网设备本身安全防护能力弱，容易被强行刷机。

5. 物联网设备分配唯一ID，不可伪造，不可篡改。

6. 全球联通的物联网网关联通，认证，鉴权能力。

7. 低电量设备，无系统设备提供设备影子，统一管理。

8. 设备与第三方服务器通讯加密、认证、鉴权。

派拉IDaaS产品及方案

派拉软件的统一身份管理平台从2008年持续进行研发，2016年从单体应用整体过度到微服务架构，长期对身份管理业务和微服务架构理念进行深入研究。业界唯一全微服务架构下的身份管理平台。2015年开始进入SaaS平台下的IDaaS研发，2018年统一了IDaaS与微服务架构发布了派拉CIC产品，全面支持各种身份场景的应用，并支持公有云PaaS平台部署，混合云部署，私有云部署。都已经有成熟的运行案例。

下面是派拉CIC整体IDaaS的微服务架构，以在阿里云上部署的架构为例：

1. 底层组件采用PaaS平台提供的高可用服务，如负载均衡组件、OSS存储、Mysql、Redis、Kubernetes 集群；

2. 微服务网关前置，提供认证、鉴权、多租户、微服务负载均衡；

3. 底层服务以API方式提供服务，全docker化部署，实现秒级服务扩容。

其中物联网身份认证整体方案如下：

1. 提供物联网设备整体方案。

2. 提供安全通讯整体方案，统一的物联网网关方案。

3. 提供安全证书，安全密钥，安全ID的整理管理方案。

从根本上说，云提供了节约、效率和专业知识。与网络安全、监控、电子邮件、搜索等一样，身份也可以移动到云端。

派拉通过数十年在身份认证领域的耕耘，非常了解企业在统一身份管理中的流程及痛点，派拉CIC不仅提供云端IDaaS和本地化部署方式，还提供混合部署方案，可以云端IDaaS与本地化IAM打通，可以针对全球化办公环境多中心打通，可以基于物联网设备把设备提供商和服务提供商打通，根据不同的服务主体最优化选择不同方案，为用户提供快速、安全、高效的统一身份管理服务。无缝集成跨地域、跨网络、跨应用、跨系统的统一身份管理服务。