- 1Flink简介、快速上手及部署_flink1.19
- 2时间序列模型
- 3如何导出https服务器端证书
- 4Mac OS X 上启动 FTP/SFTP server,并设置 log level_macos bash: /usr/lib/sftp-server:
- 5华为OD机试Js - 测试用例执行计划
- 62023春招,Java岗最全面试攻略,吃透25个技术栈Offer拿到手软_fit2cloud 的 java面试
- 7解决Android Studio gradle下载超时和缓慢问题(win10)_gradle下载很慢,配置代理服务器
- 8038 | JAVA办公自动化系统(源代码+论文) | 大学生毕业设计 | 极致技术工厂_小型javaweb教育自动化办公系统源码
- 9Android ProgressBar控件
- 10如何通过cmd命令进行硬盘分区(附加gpt转换成mbr)_guid怎么用cmd分区
统一身份认证实现,推广的可能性及优缺点?_企业门户 统一认证
赞
踩
在用户名和密码诞生的初期,它被视为安全的盾牌。可在信息指数级增长的今天,一个用户拥有大量账户密码,记不住又难找回。 传统的用户名 / 口令的身份认证方式安全性低、无法满足对身份认证的高可靠性要求的需求,统一身份认证应运而生。
一、What (定义讲解)
统一身份认证是指由一个平台给所有的系统提供身份数据,从而可以使用同一套账号密码,登录所有系统,就像是拿一把钥匙打开所有的门。
作为云端的统一身份认证系统,集成了验证、授权、应用、审计等功能,是用户身份和访问管理平台,需要具备以下四个功能:
(1)统一用户管理(Identification)。租户的账号、密码等信息集中存储,统一管理。
(2)身份鉴别(Authentication)。当租户想要登录某个应用系统时,验证他的票据或者身份是否合法。
(3)权限控制(Authorization)。规定允许登录系统的租户具备哪些操作权限。
(4)操作日志登记(Accountability)。记录租户的操作行为,以便事后责任追溯。
这个定义的核心在于“平台”。如果没有一个安全、中立的中央控制台来查看、管理和保护所有用户的访问权限,那么万能钥匙就会变成一张空头支票。想要保护和管理访问权限,中央控制台首先需要进行登录身份的认证。
举个例子,午夜子时,一个蒙面的黑衣人拿着银票要找银行兑付,尽管他说出了口令,银行还可能要求他回答安全问题。这就是多因素认证 MFA (Multi-factor Authentication) 的实践,也是可靠的中央控制台所必备的。
MFA 是一种身份验证方法,用户需要提供两个或两个以上的认证因素才能访问某个资源,如应用程序、在线帐户或 VPN。 兑银的例子其实是一种自适应的多因素认证,也就是基于上下文的认证。如果大白天的,一个衣冠楚楚的公子哥可能就不需要回答那么多。这种方法能针对不同场景灵活调用不同的认证因素, 平衡安全需求和用户体验。
统一身份认证就算有 MFA 技术加持,还是会有不少人担心这组唯一的账密如果被窃取了,岂不是得不偿失。
而单点登录能实现一处完成登录进入所有业务系统,其余应用自动处于登录态。也就是说,过程中不需要重复登录,也不传递密码。
单点登录 SSO(Single Sign On) 是指一种思想或服务,用户只需使用一次登录凭据就可以访问其他所有被授予权限的应用。而且说到用户体验,统一身份认证已经满足不了很多企业客户的需求。如何能在验证一次账密之后,方便无缝地访问企业内的其他系统,这一点就需要 “单点登录” 来解决。
二、Where(场景构建)
企业在统一员工身份管理时,面临诸多挑战:
- 应用太多,员工账号密码众多,复杂难记,或设置单一,存在安全隐患。
- 登录入口众多,没有统一界面,切换频繁,体验差。
- 不同应用和员工数据之间割裂,不同设备和操作系统不兼容。
- 不同应用、各地分支机构,档案信息不同。
三、How(问题解决)
不管你在开发什么类型的应用 —— 内部员工 IT 系统、toC 账号体系或者是给其他开发者暴露的 API,用户认证都是其中至关重要的一环,Authing 提供了非常多的认证方式给开发者选择、组合,密码策略、登录频繁检测、自定义认证流程等都可以通过管理控制台轻松完成(这些操作基本上也可以通过 Management API 来完成)。
在整个过程中,企业经常面临如下挑战:
员工的入职、调岗、兼职、离职等,需要人工创建、删除账号;对权限、信息进行认证、变更,工作量较大,容易造成漏删、误删。员工账户又涉及正式员工、临时工、经销商、供应链伙伴等多种角色,大量的员工入职、离职的账户管理,对人力、IT 部门是一个极大的挑战。
内部应用系统众多,认证方式千奇百怪,每个系统都建立不同的账号、密码,员工难以都记住。同时,运维人员也难以实现用同一套系统,对所有人员的身份信息和同一人员的多维度字段信息进行集中安全管理。
缺乏统一审计,造成资源浪费和信息泄露隐患。
所以,企业需要构建数字身份「体系」,保障身份互联、数据互通等能力,让业务流转加速,提升企业整体效率。整合数字智能生态,通过整合企业内外部应用,实现数据、身份、业务的闭环,以「身份中台」为底座,通过「零信任」安全架构,加速企业数字化转型进程。
解决方案:
- 身份自动化:用自动化的账号生命周期管理代替手动式账号管理,人员入职-创建账号-选择部门-授权应用-授权角色-停用-离职-归档-删除,实现自动化生命周期管理。
- 统一用户管理:统一建立单一身份源,将身份中的属性信息同步至统一目录,向外输出唯一标准数据,便于管理。同时,Authing 统一目录支持对统一人员账户信息进行集中安全的存储和管理。
- 统一认证管理:Authing 在一个门户里集成了内外部多套业务系统(例如 C/S 应用、SaaS 应用等), 通过单点登录 SSO,用户只需输入一套账号密码,即可登录所有业务系统,无需在多应用之间频繁切换。
- 统一权限管理:Authing 提供统一权限入口、统一权限模型、统一授权、权限生命周期自动化管理、权限合规分析、权限画像等服务,帮助解决银行业当前身份权限管理面临的开通难、统一难、授权难、溯源难、查询难、回收难、监管难的问题,打造科学的权限治理体系,整合银行资源,实现用户、应用、设备、服务器、操作系统、API 权限可管、可控和可视。
- 统一安全治理:Authing 搭建了风控中台及自适应决策引擎,在人员角色、受保护资源、访问策略、风险控制策略等方面,进行全链路安全审计,提升企业或组织数字化转型过程中的风险控制能力,大规模降低身份相关业务的受损风险。
另外,Authing 还通过可视化安全审计、多因素登录、密码管理、加密传输与存储,7 x 24 小时的安全应急响应,持续为企业和开发者提供完善安全的用户认证和访问管理服务。
关于 Authing
Authing 既是客户的支持者也是客户的产品专家和战略顾问,更是值得信赖的合作伙伴。我们提供全球化的身份专家支持团队,通过网络或电话,7*24 小时不间断支持。Authing 的帮助中心提供最新的技术知识库、商业案例以及与您的同行和 Authing 专家联系的机会。无论您何时需要我们,Authing 的支持团队总能最快响应。
目前,Authing 身份云已帮助 30,000+ 家企业和开发者构建标准化的用户身份体系,感谢可口可乐、元气森林、招商银行、中国石油、三星集团、CSDN 等客户选择并实施 Authing 解决方案。
