版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容, 举报,一经查实,本站将立刻删除。如若转载,请注明出处:http://56bg.com/_bin__xian_/6689.html
定制报告-个性化定制-按需专项定制研究报告
行业报告、薪酬报告
联系:400-6363-638
《Authing&中国信通院:2024云原生身份云 IDaaS 技术发展与应用白皮书(51页).pdf》由会员分享,可在线阅读,更多相关《Authing&中国信通院:2024云原生身份云 IDaaS 技术发展与应用白皮书(51页).pdf(51页珍藏版)》请在本站上搜索。 1、 主编单位:主编单位:北京蒸汽记忆科技有限公司 中国信息通信研究院云计算与大数据研究所 天翼云科技有限公司 招商银行股份有限公司 参编单位:(排名不分先后)参编单位:(排名不分先后)参编单位:北京经济技术开发区管委会、浙江省教育厅、高等教育出版社、万翼科技有限公司、长鑫存储技术有限公司、上海迈望信息技术有限公司、上海恺跃科技有限公司 参编人员:参编人员:谢扬、郑凌、王辰凯、韩磊、仇保琪、杜岚、付哲、曾卫民、章俊杰、杨京峰、邓超、孟若菲、李福鹏 前前 言言 2023年,由中共中央、国务院印发的数字中国建设整体规划布局指出,建设数字中国是数字时代推进中国式现代化的重要引擎,是构筑国家竞争新优势的有2、利支撑。数字化转型无疑已成为国家重要战略之一,云计算作为数字化转型的基石,在数字时代展现了前所未有的潜能。其中,云原生身份云服务(Identity as a Service,IDaaS)作为云计算创新应用领域,已在各行各业中展现出巨大潜力,成为现化身份管理和安全保障的关键。从宏观角度看,随着数字化转型的不断深化,身份安全问题得到各国广泛关注,企业技术创新不断,但是传统的身份管理软件却无法满足日益复杂的需求。技术和政策的双重驱动推动身份管理系统向现代化、智能化不断演进。从微观角度看,云原生轻量敏捷、高可靠、可编排的技术优势又为传统身份管理技术注入了新的活力,为身份基础设施化、业务应用的深度融合提3、供了可能。因此,IDaaS身份云技术成为现代化身份管理的必要选择。本白皮书旨在全面剖析 IDaaS身份云技术的发展与应用,提供全球及中国市场的最新趋势和洞察。本文将从市场综述、技术发展、应用痛点、发展路径与挑战等多个维度展开分析,帮助读者全面了解 IDaaS 技术的核心价值和未来机遇。希望本白皮书能为各界人士提供有价值的参考,推动 IDaaS 技术的广泛应用,加速实现数字化转型和创新,为实现“数字中国”规划目标贡献力量。目 录 前 言.3 目 录.4 一、一、全球云原生身份云市场发展概述全球云原生身份云市场发展概述.1(一)各国加速推进身份云战略,增大(一)各国加速推进身份云战略,增大 IDa4、aS 建设投入建设投入.1(二)云计算快速发展,全球身份云市场需求渐增长(二)云计算快速发展,全球身份云市场需求渐增长.1 二、我国云原生身份云市场发展概述二、我国云原生身份云市场发展概述.4(一)政策指引云计算创新发展,(一)政策指引云计算创新发展,IDaaS 成为身份管理市场主流选择成为身份管理市场主流选择.4(二)需求推动产业发展,我国(二)需求推动产业发展,我国 IDaaS 市场潜力巨大市场潜力巨大.5 三、从三、从 IAM 到到 IDaaS:功能与优势:功能与优势.6(一)身份云技术落地方式多元化发展.6(二)身份管理产品能力演进历史与方向.7(三三)多样化需求推动)多样化需求推动 5、IDaaS 功能愈加丰富功能愈加丰富.8(四)IDaaS 助力企业各部门效能提升.10 四、四、IDaaS 核心技术综述核心技术综述.14(一)身份协议技术的演进历史(一)身份协议技术的演进历史.14(二)(二)IDaaSIDaaS 平台技术架构关键设计理念平台技术架构关键设计理念.16(三)(三)IDaaS 核心技术架构核心技术架构.18 五、现代化五、现代化 IDaaS 身份云落地建设方法论身份云落地建设方法论.22(一)身份云平台赋能多场景下身份管理(一)身份云平台赋能多场景下身份管理.22(二)云原生(二)云原生 IDaaS 平台建设目标平台建设目标.24(三)云原生(三)云原生 ID6、aaS IDaaS 平台建设思路平台建设思路.27(四)云原生(四)云原生 IDaaS IDaaS 平台建设误区与难点平台建设误区与难点 .3333 六、行业实践案例分析六、行业实践案例分析 .3434 (一)教育云身份中台:浙江省教育厅基于云原生的身份基础设施实践.34(二)金融云身份中台(二)金融云身份中台 某大型某大型银行全栈云统一身份技术设施实践银行全栈云统一身份技术设施实践.36(三)智慧医药身份中台(三)智慧医药身份中台-云南白药集团云原生身份认证管理平台实践云南白药集团云原生身份认证管理平台实践.38(四)高新制造身份中台(四)高新制造身份中台-某高新制造企业某高新制造企业统一身7、份中台实践统一身份中台实践.40 七、未来展望和趋势发展七、未来展望和趋势发展.43(一)(一)IDaaS 与人工智能:利用大模型降低行业定制化成本与人工智能:利用大模型降低行业定制化成本.43(二)(二)IDaaS 与网络安全:基于大模型技术的动态风控技术与网络安全:基于大模型技术的动态风控技术.44(三)(三)IDaaS 与区块链:利用去中心化身份进行可信、联邦数据授权与区块链:利用去中心化身份进行可信、联邦数据授权.44 1 一、一、全球云原生身份云市场发展概述全球云原生身份云市场发展概述(一)各国加速推进身份云战略,增大(一)各国加速推进身份云战略,增大 IDaaS 建设投入建设投入 8、美国发布一系列标准和规范,推动身份管理技术普惠化、标准化发展。美国发布一系列标准和规范,推动身份管理技术普惠化、标准化发展。美国国家标准和技术研究所(NIST)自 2017年至今,已发布多个关于身份管理和访问控制的标准和指南,旨在推动 IDaaS 解决方案的广泛应用。其中,2017 年首次发布的 SP 800-63 数字身份指南,以及 2020 年发布的 SP 800-180 身份验证和身份确认指南,为政府和企业提供了实施 IDaaS 的最佳实践框架。NIST发布的标准指导了如何规划、实施和管理数字身份系统,确保身份管理的安全性和可靠性。欧盟在数字化转型的过程中也加大了对 IDaaS 的投入。9、欧盟发布相关规定,聚焦跨国数字身份互认。欧盟发布相关规定,聚焦跨国数字身份互认。欧盟委员会于 2018 年发布了欧盟电子身份和信任服务框架(eIDAS)法规,促进了成员国之间的电子身份互认。通过 eIDAS,欧盟各国可以使用统一的数字身份标准,实现跨国界的身份认证和授权,增强了内部市场的便利性和安全性。日韩推出各类“数字政府”计划,深度挖掘政府身份云价值。日韩推出各类“数字政府”计划,深度挖掘政府身份云价值。韩国政府在 2020 年推出了“数字新政”,其中包括了 IDaaS 的应用,以提升政府服务的数字化水平。韩国政府通过与国内外领先的 IDaaS 提供商合作,实现了多因素认证和单点登录,提高10、了政府服务的安全性和用户体验。日本政府在 2019 年启动了“数字政府行动计划”,通过 IDaaS 技术实现了政府服务的数字化转型。日本的“我的号码”系统为公民提供了统一的数字身份,方便公民通过一个身份认证访问多项政府服务,提升了行政效率和用户体验。(二)云计算快速发展,全球身份云市场需求渐增长(二)云计算快速发展,全球身份云市场需求渐增长 从整体来看,全球身份管理市场呈现高速增长趋势。从整体来看,全球身份管理市场呈现高速增长趋势。根据权威调查机构Business Research Insights 预测,全球身份管理市场将以高于 12%年复合增长率,从 2022 年的 148 亿美元增长到到11、 2028 年的 280 亿美元。这说明身份管理已在全球范围内受到广泛关注,同时,随着大模型等技术的不断发展,身份安全问题也将持续扩大,身份管理领域的关注度将进一步提高。2 来源:Business Research Insights 图 1 全球身份管理市场规模及预测(亿美元)在全球数字化转型的大背景下,身份云市场呈现出强劲的增长势头。在全球数字化转型的大背景下,身份云市场呈现出强劲的增长势头。随着移动设备和互联网用户的持续增长,对身份验证和安全访问管理的需求也在增加。Statista 数据显示,截至 2023 年,全球移动设备用户已超 过 50 亿,物联网设备数量预计将在 2024 年达到 12、260 亿台。这些用户需要安全、便捷的身份认证服务,并且企业和机构对安全、高效、便捷的身份管理解决方案的需求不断增加,这为 IDaaS 市场带来了巨大的增长潜力。Gartner数据显示,到 2025 年,70%的企业愿意采用 IDaaS 作为企业身份云解决方案。来源:Statista 图 2 全球移动设备数及物联网设备数规模(亿)除此之外,企业数据量的快速增长也推动了除此之外,企业数据量的快速增长也推动了 IDaaS 市场的发展。市场的发展。随着企业数字化转型的不断深入,特别是诸如大模型、区块链等创新技术的涌现,越来3 越多的应用和数据需要安全的访问控制和管理。IDC 数据显示,全球数据量预计13、将在 2025 年达到 175 ZB(zettabytes),这意味着企业需要更强大的身份和访问管理解决方案来保护其数据安全。来源:IDC 图 3 全球数据量(ZB)从厂商层面来看,在强大的需求推动下,国内外从厂商层面来看,在强大的需求推动下,国内外 IDaaS 厂商在市场上表现厂商在市场上表现优异。优异。财报数据显示,以 0kta、Auth0为代表的 IDaaS 巨头厂商连续三年增长率达到30%以上,2023 年财年,Okta 的总收入大幅跃升至 18.6 亿美元,同比增长率高达四十三个百分点,Auth0的总收入也大幅跃升至7亿美元,同比增长率高达49个百分点。来源:Okta 财报 图 4 14、Okta 总收入(亿美元)4 二、我国云原生身份云市场发展概述二、我国云原生身份云市场发展概述(一)(一)政策指引政策指引云云计算创新发展,计算创新发展,IDaaS 成为成为身份管理身份管理市市场主流选择场主流选择 随着云计算技术及网络安全技术的快速发展,IDaaS 身份云技术在中国的应用越来越广泛。近年来,如表 1所示,国家接连发布系列政策,旨在推动云原生、大数据、用户隐私保护、数据治理等 IDaaS 身份云相关技术的实现和突破。这些政策不仅为技术创新提供了有力的支持,也为企业在应用这些技术时提供了更加明确的指导方向。政策的出台也促进了相关技术的融合和发展,加速了 IDaaS 身份云技术在各15、行业的普及和应用,推动了整个市场的技术进步和商业模式创新。表 1 我国身份管理相关政策汇总 政策名称 发布时间 发布机构 内容解读“十四五”规划 2023 年 2 月 中共中央、国务院 到 2025 年,数字经济迈向全面扩展期,数字经济核心产业增加值占 GDP 比重达到 10%,数字化创新引领发展能力大幅提升,智能化水平明显增强,数字技术与实体经济融合取得显著成效,数字经济治理体系更加完善,我国数字经济竞争力和影响力稳步提升。党的二十大报告 2022 年 10 月 全国人大 推动战略性新兴产业融合集群发展,构建新一代信息技术等一批新的增长引擎。云计算作为新型数字基础设施,已成为新一代信息技术的16、核心引擎。数字中国建设整体布局规划 2023 年 2 月 中共中央、国务院 加强整体布局,按照夯实基础、赋能全局、强化能力、优化环境的战略路径,全面提升数字中国建设的整体性、系统性、协同性,促进数字经济和实体经济深度融合。网络安全法修订版 2022 年 9 月 中共中央、国务院 该法的修订版强调了网络安全和数据保护的重要性,包括对网络产品和服务的安全审查,以及对数据出境的安全评估等 个人信息保护2021 年 8 月 全国人大 该法规定了个人信息的处理、存储和使用的5 法 规则,以及个人在个人信息处理活动中的权利,如知悉、同意和撤回同意等。移动互联网应用程序个人信息保护管理办法 2021 年 417、 月 国家互联网信息办公室 该办法规定了移动互联网应用程序(App)处理个人信息的规则,包括获取用户同意、处理个人信息的范围和方式等。(二)需求推动产业发展,我国(二)需求推动产业发展,我国 IDaaS 市场潜力巨大市场潜力巨大 传统的身份管理无法满足企业数字化转型背景下业务快速扩展的需求,基传统的身份管理无法满足企业数字化转型背景下业务快速扩展的需求,基于多云场景的身份管理需求价值凸显。于多云场景的身份管理需求价值凸显。云计算的普及应用导致无边界的办公需求不断增长,推动了 IDaaS 的高速发展。IDaaS 能够与云基础设施无缝集成,并提供对用户访问云资源的集中控制,从而满足企业对灵活性和安18、全性的双重要求。其次,员工远程工作和自带设备策略的兴起,使得企业亟需更加灵活的身份管理方法。IDaaS 支持从任何地方、任何设备上安全访问企业资源,这种能力对于现代企业来说尤为重要。此外,日益扩大的网络安全威胁也推动了企业从传统的本地身份管理平台向 IDaaS 转变。同时,动态变化的网络威胁需要更强大、更集中的安全方法,IDaaS 可以提供多因素身份验证、威胁情报和实时访问监控等高级安全功能,可以帮助企业抵御日趋复杂的网络威胁。随着企业对安全性和合规性的需求不断增长,以及云原生技术的广泛应用,企业更倾向于采用云原生的 IDaaS 解决方案,以满足不断变化、需要灵活扩展的业务需要。据 Marke19、tsandMarkets 预测,中国 IDaaS 市场规模预计将从 2022 年的 4.7 亿美元增长到 2028 年的 16.2 亿美元,复合年增长率 为 25.3%,这一预测显示 IDaaS 技术在中国市场拥有巨大潜力和增长空间。6 来源:MarketsandMarkets 图 5 中国 IDaaS 市场规模(亿美元)三、从三、从 IAM 到到 IDaaS:功能功能与优势与优势(一)身份云技术落地方式多元化发展 图 6 IDaaS 身份云服务责任方模型 如图 6所示,与云服务模式相似,IDaaS 的落地方式分为软件即服务(SaaS)、平台即服务(PaaS)、基础设施即服务(IaaS)三种类20、型。IDaaS 公有云服务主要由外部进行管理运维,即由服务提供商以 SaaS 的模式提供服务。其中IDaaS 所需要的应用、数据、运行时、中间件、操作系统、虚拟化、服务器、7 存储和网络,均由服务提供商全面管理。因此,这种模式可以简化企业的管理工作,使企业能够专注于核心业务。IDaaS 私有云服务介于公有云和本地身份服务器之间,即以 PaaS 模式提供服务。在这种模式下,应用、数据和运行时由客户自行管理,基础设施则由服务提供商负责。这种模式可以给企业提供更大的灵活性,使企业能够在享受云服务便利的同时,仍保留一定的控制权。本地化 IDaaS 身份云服务则是部署在本地,以 IaaS 模式运行,完全21、由客户内部自行管理。这种传统模式可以给企业提供最高的控制权和安全性,但也增加了企业在硬件和软件维护上的负担。云计算的发展为企业提供了多种灵活的内部部署方式选择。随着企业逐渐采用 IDaaS 作为身份基础设施,不同需求的企业都可以根据自身需要灵活选取身份云服务的部署模式。(二)IDaaS 向智能身份云不断演进 图 7 IDaaS 身份云服务产品演进 如图 7所示,2010 年以前,身份管理产品主要以传统 IAM 本地化为主,针对不同企业进行定制化开发,私有协议较多但不标准,身份联通效率较低。2010 年后,为了实现灵活的身份管理服务,各大厂商逐步开始向 IAM SaaS 化演进,开始构建标准化协22、议,但这一阶段服务部署不够标准,企业用户的自主权相对较低。在此期间,随着云原生等技术的不断发展,PaaS 化的 IDaaS 得以应运而生。PaaS 化的 IDaaS 实现了身份云服务的容器化部署,实现了高可编排8 和持续自适应安全,更加灵活和高效。伴随着人工智能技术发展,预计 2025 年IDaaS 将迈入智能身份云阶段。身份管理产品各个阶段变标志着身份管理从定制化开发和私有协议,逐步过渡到标准化、云端化,并最终实现智能化、实时化和大数据驱动的身份管理。当前,我们正处于 PaaS 化 IDaaS 阶段向智能身份云 IDaaS 的转变,未来,IDaaS 将通过结合 AI 和大数据技术,进一步提升23、身份管理的智能化和实时性,提供更加精细化和智能化的服务,支持更加广泛的应用场景,满足企业和用户日益复杂的身份管理需求。(三三)多样化需求推动多样化需求推动 IDaaS 功能功能愈加愈加丰富丰富 一个现代化的 IDaaS 平台应具备广泛的功能覆盖和灵活的扩展能力。它不仅需要满足用户的基本的身份需求,还要确保系统的安全性和可靠性。通过可配置化、自动化和智能化的设计,IDaaS 平台能够大幅提升身份管理的效率和安全性,支持企业的数字化转型和业务发展。IDaaS作为企业实现高效、安全、灵活身份管理的关键工具,身份认证与授权管理、用户管理与自主服务、安全与合规管理、平台扩展与集成能力是现代 IDaaS 24、的核心功能。其核心功能具体内容如下:1.身份认证与授权管理身份认证与授权管理(1)可配置化的联邦认证)可配置化的联邦认证 功能性:支持 IdP 和 SP 场景角色,通过可配置化联邦认证,实现跨平台身份认证和授权。可靠性:兼容 SAML、OAuth 2.0、OpenID Connect 等主流协议,确保与各种应用和服务无缝集成。安全性:采用标准化协议,确保身份交换的过程安全可靠。(2)单点登录能力单点登录能力 功能性:提供单点登录功能,用户一次登录即可访问多个应用和服务。可用性:减少用户重复输入密码的频率,提高访问便捷性。安全性:集中管理用户会话,提高整体安全性。(3)细粒度权限模型能力)细粒度25、权限模型能力 9 功能性:实现基于角色(RBAC)和基于属性(ABAC)的访问控制,支持细粒度权限管理。可靠性:实时调整权限策略,适应不断变化的业务需求。合规性:确保操作符合行业法规和内部政策。2.用户管理与自助服务用户管理与自助服务 2.1 用户自助服务能力用户自助服务能力 功能性:提供用户自助服务门户,用户可以自行管理账户和个人信息。可用性:用户能够方便地重置密码、更新个人信息,减少对客服的依赖。效率提升:减少 IT 支持和管理的工作量,提高管理效率和响应速度。2.2 身份供给能力身份供给能力 功能性:自动化向多种下游异构应用创建、更新和删除用户账户。同步一致性:确保各系统间的数据一致,减26、少因数据不同步导致的安全隐患。运营成本降低:自动化供给流程,减少手动管理成本,提高运营效率。3.安全与合规管理安全与合规管理 3.1 持续自适应安全能力持续自适应安全能力 功能性:实时风险评估,动态调整安全策略,提供持续自适应的安全防护。智能防护:利用 AI 和机器学习技术监控和分析用户行为,检测异常活动。动态策略调整:根据风险评估结果自动调整安全策略。3.2 审计日志能力审计日志能力 功能性:记录用户和管理员活动以及系统事件的详细日志,支持安全审计和合规性检查。可追溯性:详细的审计日志便于追踪和调查安全事件。透明性:增强系统的透明度,帮助企业满足法规要求。4.平台扩展与集成平台扩展与集成 427、.1 API/SDK 开放能力开放能力 功能性:提供丰富的 API 和 SDK,支持与第三方应用和服务的无缝集成。10 开发者体验:提供丰富的 API 文档和 SDK 工具,降低开发成本。无缝集成:支持与各种第三方应用和服务的无缝对接,提升系统互操作性。4.2 多租户能力多租户能力 功能性:支持物理和逻辑多租户架构,提供独立的数据和配置环境。资源隔离:确保不同租户之间的数据和配置互不影响,提升数据安全性。灵活管理:提供灵活的配置和管理工具,支持多租户环境下的统一管理和监控。4.3 实时事件能力实时事件能力 功能性:开放全部事件 API,提供即时事件的消息订阅和管理能力。快速响应:第三方系统可以28、快速检测和响应 IDaaS 业务事件,提升系统资源利用率。主动防护:实时事件监控提前识别和防范潜在威胁,确保系统持续安全。5.创新与灵活性创新与灵活性 5.1 身份自动化能力身份自动化能力 功能性:通过低代码和可视化的工作流配置,实现用户生命周期的自动化处理。效率提升:减少人工操作,降低运营成本,提高一致性和准确性。安全性:标准化流程确保每个用户的身份管理都按照高标准执行。5.2 自定义元数据能力自定义元数据能力 功能性:支持用户定义和管理身份数据的自定义字段和属性。个性化:提供灵活定义身份数据结构的能力,满足不同业务场景需求。扩展性:支持复杂的数据模型,方便业务扩展和系统集成。5.3 应用网29、关能力应用网关能力 功能性:通过应用网关提供统一的入口控制和流量管理,实现老旧应用的免改造认证能力扩展。集中控制:提供统一的流量管理和安全控制入口,简化系统管理和监控。安全加固:通过应用网关过滤和监控流量,防止恶意攻击和未授权访问。(四)IDaaS 助力企业各部门效能提升 11 云原生架构在 IDaaS 平台中的应用,为企业不同核心部门带来了显著的业务效能提升,助力企业实现高效、安全、低代码可扩展的身份管理,持续赋能业务创新和发展。1.1.对企业核心部门的价值对企业核心部门的价值 云原生架构在 IDaaS 中的应用,通过开发者友好、低代码可配置、可定制、可扩展、可编排、事件驱动和微服务化的特点30、,为不同企业部门带来了显著的用户体验和业务价值提升,帮助企业落地数智化转型,共同推动企业更高效、更安全地进行身份管理,进一步助力企业有效实现降本增效。对核心业务部门的价值:对核心业务部门的价值:云原生 IDaaS 平台提供便捷的权限管理,通过直观的低代码配置和用户自助服务能力,核心业务部门可以快速管理和调整用户权限,灵活应对变化需求。通过快速配置和自动化工作流,确保核心业务部门能够高效运行,减少等待时间。云平台支持业务扩展通过灵活的权限管理和实时资源调整,支持新业务和项目的快速上线和扩展。通过提供一致和安全的用户体验,云原生 IDaaS 平台可以提升客户和员工的满意度,增强业务竞争力。对开发及31、对开发及 ITIT 部门的价值:部门的价值:通过云原生 IDaaS 平台开放的 API 和 SDK,开发者可以轻松集成和扩展 IDaaS 功能,减少学习曲线。此外,IDaaS 提供直观的低代码/无代码平台,允许开发者通过拖拽组件和配置表单快速创建身份管理流程。在业务价值方面,IDaaS 能够快速响应需求,开发和部署新的身份管理功能,响应业务需求变化,缩短交付周期。云原生 IDaaS 平台的灵活性和适应性使得开发者能够快速响应业务需求变化,进行功能扩展和调整,从而提高生产力,使开发者可以专注于核心业务逻辑,减少重复性工作。对安全部门的价值对安全部门的价值:云原生 IDaaS 平台提供可编排的安全32、策略,安全团队可以利用可视化的工作流工具轻松配置和调整身份验证和访问控制策略。通过统一的身份标识,安全策略能够覆盖所有用户和应用,确保策略的一致性和可操作性。安全团队可以快速定义、测试和部署安全策略,实时响应安全需求。实时事件驱动功能支持实时安全监控和响应,确保所有基于身份的操作都能被实时检测和处理。通过统一的身份标识,系统能够实时监控用户的登录、权限变更、资源访问等操作,及时发现异常行为。安全团队可以设置自动化的响应12 机制,例如锁定账户、强制多因素认证(MFA),以快速应对潜在的安全威胁。对人力资源部门的价值对人力资源部门的价值:在用户体验方面,云原生的低代码身份管理使得 HR 人员可以33、通过直观的界面管理用户身份和权限,无需技术背景。自助服务门户提供员工自助服务功能,简化用户注册和身份验证流程。在业务价值方面,云原生 IDaaS 平台 简化了用户管理,通过自动化用户生命周期管理,减少了手动操作和错误。自助服务和单点登录功能提升了员工的工作体验和效率。自动化流程降低了行政负担,使 HR 人员能够集中精力于核心业务。过这些云原生能力,IDaaS 平台不仅提升了 HR 部门的管理效率,还优化了员工体验,进一步增强了企业的整体运营效能。对法律和合规部门的价值:对法律和合规部门的价值:在用户体验方面,云平台透明的合规管理通过详细的合规报告和审核日志,使法律和合规部门可以实时监控和分析身34、份管理服务的合规性。自动化合规检查支持自动化的合规检查和提醒功能,确保企业持续符合最新法规要求。在业务价值方面,云原生 IDaaS 平台 减少了合规风险,通过自动化合规流程和实时监控,降低因人为错误导致的合规风险。全面的审计日志和报告功能提高了审核效率,简化了合规审核和内部审计流程。详细的合规记录和证据增强了法律保障。通过这些云原生能力,IDaaS 平台不仅提升了法律和合规部门的管理效率,还有效降低了合规风险,增强了企业在法律和合规方面的保障。2.2.IDaaSIDaaS 的优势的优势(1)IDaaS 相比传统相比传统 IAM 的优势的优势 IDaaS 平台基于云原生架构,能够根据业务需求动态35、扩展和缩减资源,确保在用户数量激增或业务需求变化时,系统依然保持高效运行。而传统的 IAM系统通常部署在本地,扩展性有限,难以快速响应业务变化。与传统的本地身份管理解决方案相比,IDaaS 的显著优势使其成为各种规模企业越来越有吸引力的选择:从单一身份场景到多元身份场景:伴随着企业业务规模的变化和业务领域的多元化,身份管理不再局限于本地化的员工目录管理,IDaaS 可以满足企业对于外部用户、合作伙伴及临时雇员的多种场景的个性化身份管理需13 求。降低成本和提高可扩展性:IDaaS 减少了企业投资和维护昂贵的本地基础设施的投入,从而降低了前期成本和持续维护费用。此外,IDaaS 解决方案具有高度36、可扩展性,使企业能够轻松适应用户量和资源访问需求的变化,而无需额外的硬件或软件投资。增强的安全性和合规性:IDaaS 采用强大的安全措施来保护敏感用户数据并实施访问控制策略。IDaaS 平台定期接受安全审计,并遵守行业合规性标准,例如中国的个人信息保护法,及海外的 HIPAA、GDPR 和 PCI DSS 等法律规范。与传统的本地解决方案相比,显著降低了数据泄露和未经授权访问的风险。简化用户管理和访问控制:IDaaS 简化了用户管理和访问控制任务,使管理员能够轻松地跨多个应用程序和资源配置、取消配置和管理用户身份和访问权限。这种集中式自动化的方法简化了管理,提升了效率,并降低了未经授权访问的风37、险。更高的敏捷性和创新性:IDaaS 为企业提供了快速适应不断变化的业务需求和采用新技术的敏捷性。基于云的基础设施和 IDaaS 提供商的定期更新确保企业始终能够访问最新功能。(2)IDaaS 相比微软相比微软 AD 目录服务的优势目录服务的优势 微软 AD 域服务是传统身份管理平台的典型代表,在本地化 IT 架构时代拥有较高的竞争优势和市场占有率。但伴随着企业云服务的增多和线上业务的复杂化,基于云原生架构的 IDaaS 相较于传统目录服务(如微软 AD)在开放性、扩展性、性能和性价比等多个方面有明显优势:开放性及云中立开放性及云中立 IDaaS:具有高度的开放性并且能够在多云环境灵活部署,能38、够与多种数据源、应用和服务进行无缝集成。提供丰富的 API接口,支持不同编程语言和框架,使开发者可以灵活定制和扩展身份管理功能。微软 AD:尽管微软 AD 提供了一定的开放性,但其生态系统较为封闭,主要与微软自身的产品和服务高度集成。对非微软平台的支持相对有限,需要更多的配置和定制化集成工作。14 扩展性扩展性 IDaaS:采用云原生架构,具备强大的扩展性。可以根据需求动态调整资源,支持大规模用户和设备的身份管理。基于数仓的架构允许高效的数据存储和查询,适应不断增长的数据量和用户数量。微软 AD:扩展性相对有限,特别是在大规模环境下需要复杂的配置和管理。尽管可以通过增加域控制器和分布式部署来提39、升扩展性,但整体灵活性不如基于数仓的解决方案。性能性能 IDaaS:得益于现代化的云计算和大数据技术,能够提供高性能的身份验证和数据处理能力。基于高性能数据仓库架构也能够支持高效的并行处理和快速的查询响应时间,适合高并发和大数据量的应用场景。微软 AD:性能在小规模和中等规模环境中表现良好,但在面对大规模、高并发请求时,可能会遇到性能瓶颈。依赖传统的目录查询和同步机制,性能提升受限。性价比性价比 IDaaS:通常采用按需付费模式,企业可以根据实际使用量支付费用,避免了前期的大量资本投入。云原生和多租户架构使其运营成本较低,性价比高。通过集中管理和自动化运维,降低了管理复杂性和运维成本。微软 A40、D:前期部署成本较高,包括服务器硬件、软件许可和配置管理。后期运维和扩展成本也较高,尤其在大规模部署中,需要额外的硬件和人力资源,整体性价比不如基于用量弹性付费的 IDaaS 服务。IDaaS 在开放性、扩展性、性能和性价比方面均优于传统的微软 AD 目录服务。其云原生架构、灵活的扩展能力、高性能处理和按需付费模式,使其成为现代企业身份管理的理想选择。相比之下,微软 AD 更适合以微软生态系统为主的企业,但在面对多云、跨云的大规模、复杂需求时,其局限性显而易见。四、四、IDaaS 核心技术核心技术概述概述(一)身份(一)身份协议技术协议技术的演进历史的演进历史 15 图 8 IDaaS 身份云41、服务核心技术协议演进 如图 8 所示,身份协议技术经历了本地化个人电脑(PC)时代、Web1.0 及Web2.0时代、Web3.0区块链与去中心化时代三个阶段。每个 Web 时代的技术进步和用户需求变化,都推动了 身份协议技术的创新和改进,也同步推动着IDaaS 身份解决方案发展。在 PC 时代,身份管理主要集中在本地设备和局域网内,依赖于 AD 和 LDAP 等协议。这一时期的身份管理以内部网络为主,强调局域网内的安全和访问控制。随着 Web 1.0 和 Web 2.0 的兴起,互联网应用逐渐增多,用户跨设备、跨应用的访问需求不断增加。为适应这一变化,OAuth 2.0 和 OpenID C42、onnect(OIDC)等协议应运而生。这些协议使得用户可以在不同的应用和服务之间实现单点登录和授权访问,极大地提升了用户体验和身份管理的效率。进入移动互联网及 Web 3.0 时代之后,用户需求变得更加复杂和多样化,身份管理技术也随之进一步发展。系统跨域身份管理(SCIM)标准简化了用户身份信息在不同系统之间的同步和管理。去中心化身份(DID)技术通过区块链赋予用户对其身份数据的完全控制权,增强了身份管理的安全性和隐私性。同时,无密码认证(FIDO)技术的推广,使得用户可以通过生物识别等无密码方式进行身份验证,提高了安全性和便捷性,减少了密码管理的复杂性和风险。身份协议技术的不断发展不仅提升43、了身份管理的安全性、灵活性和用户体验,还推动了 IDaaS 解决方案的不断创新和改进。现代 IDaaS 平台能够适应多设备、多场景的复杂需求,为用户提供无缝、可靠的身份管理服务,满足企业16 在不断变化的技术环境中的多样化需求。(二)(二)IDaaSIDaaS 平台技术架构关键设计理念平台技术架构关键设计理念 IDaaS平台的技术设计需要具备多种关键设计理念,这些理念确保了系统的灵活性、扩展性和可靠性,是 IDaaS 平台技术演进的趋势。开发者友好与低代码可配置化使得开发者能够在熟悉的环境中高效开发,降低了学习成本并加快了开发进程。可嵌入化与可扩展设计确保系统能够灵活集成各种第三方应用,支持业44、务的快速扩展和个性化需求。可编排与事件驱动架构提升了业务流程的灵活性和响应速度,确保系统能够实时处理和响应各类事件。微服务化与易部署设计简化了系统的部署和运维过程,提高了资源利用率和系统的适应性。高可用性设计则确保系统在高负载和复杂环境中的稳定运行,提供连续可靠的服务。1.开发者友好与低代码可配置化开发者友好与低代码可配置化(1)开发者友好)开发者友好 提供易用、文档齐全、示例代码丰富的 API/SDK,符合 RESTful 或 GraphQL规范,确保 API 的一致性和可预测性。SDK 需兼容主流前后端开发语言,并遵循各类语言的开发规范。提供开箱即用的 Web 组件和 App 组件,详尽的45、开发文档、教程和支持渠道。集成常用的开发工具、IDE 插件和框架,支持开发者在熟悉的环境中进行高效开发。(2)低代码可配置化)低代码可配置化 提供直观的拖拽式配置界面和常见配置模板,简化认证流程、账号数据同步、安全规则等配置过程。集成可视化规则引擎,允许管理员通过简单的条件和动作配置复杂的业务规则。实时预览和反馈功能、版本控制和回滚功能,帮助管理员轻松完成配置操作并减少出错。2.可嵌入化与可扩展可嵌入化与可扩展(1)可嵌入化)可嵌入化 设计灵活的插件架构,集成脚本引擎,提供自定义界面和工作流程的能力。支持与第三方业务系统的集成和数据交换,通过配置文件和模板进行系统定制。提供标准化配置模板和活跃46、的在线社区支持,帮助开发者快速实现定制化。(2)可扩展)可扩展 采用水平扩展架构、分布式数据库和文件系统,利用缓存和消息队列提高系统17 性能。容器化和微服务架构确保功能模块化,自动化监控工具和弹性伸缩策略用于实现资源的动态调整。区域部署和灾备方案用于增强系统的容灾能力。3.可编排与事件驱动可编排与事件驱动(1)可编排)可编排 采用工作流编排调度引擎实现业务流程的可编排和可调度管理,提供直观的可视化配置界面。支持拖拽式操作,模块化管理业务流程和数据流程,集成监控和分析工具,实时监控业务流程的执行情况。(2)事件驱动)事件驱动 采用事件总线和消息队列机制确保事件的可靠传递和处理,集成事件持久化和47、重试机制。实时监控和告警系统,根据事件流量和负载情况动态调整事件处理组件的实例数量,提供事件溯源和审计功能。4.微服务化与易部署微服务化与易部署(1)微服务化)微服务化 根据业务功能和领域合理划分微服务,使用 Docker 进行容器化部署,通过 Kubernetes 等编排工具管理和调度微服务。集成服务注册与发现机制,使用 API 网关进行请求路由和负载均衡,采用轻量级的通信协议和消息队列。集成监控工具和日志管理系统,实现对微服务的实时监控和日志分析。(2)易部署)易部署 使用容器化技术、自动化部署工具和 CI/CD 管道,确保应用在不同环境中的一致性和可移植性。采用基础设施即代码(IaC)工48、具,通过代码管理基础设施配置。集成自动化监控工具和告警系统,建立备份和恢复机制,确保系统的数据和配置能够在出现故障时快速恢复。5.高可用性高可用性(1)高可用)高可用 通过冗余设计和多区域部署、负载均衡和自动化故障恢复、分布式架构和容器编排,实现系统的高可用性和容灾能力。集成自动化监控工具和告警系统,定期备份和灾备演练,持续优化和测试系统性能和稳定性,确保系统在高负载和复杂环境中保持高可用性。18 (三)(三)IDaaS 核心技术架构核心技术架构 图 9 IDaaS 身份云服务通用技术架构 通用 IDaaS 核心技术架构是一个多层级的架构,旨在为企业提供安全可靠的身份管理解决方案。它涵盖了基础49、设施、中间件、应用管理、统一身份管理、应用集成、网关管理、研运一体化、身份自动化等多个方面。基础设施层提供计算、存储和网络等基础资源,支持上层应用的运行。中间件层包括数据库、消息队列、缓存等组件,为上层应用提供数据存储、消息传递和缓存等功能。应用管理平台负责管理 IDaaS 应用的部署、运行和监控。统一身份管理负责管理用户身份信息,包括注册、认证、授权等功能。应用集成负责将 IDaaS 与其他应用系统进行集成,实现统一身份认证和授权。网关管理负责对用户访问进行控制和防护,确保系统的安全性和稳定性。研运一体化包括 DevOps、持续集成、持续交付等工具和流程,帮助企业快速开发和部署 IDaaS 50、应用。身份自动化负责自动化身份管理流程,提高工作效率并降低安全风险。该架构可以根据具体需求进行调整,以满足企业的特定要求。核心技术核心技术 1:身份自动化身份自动化 Workflow 技术技术 身份自动化 Workflow 能力是 IDaaS 平台的关键组件,基于事件驱动架构,满足用户目录、组织架构、登录认证和安全管理的灵活配置需求。其设计理念包括事件驱动架构,实现灵活的任务调度和执行,确保实时性和可靠性。19 平台采用低代码/无代码设计,提供可视化、拖拉拽的配置方式,帮助企业快速构建和管理身份管理流程,降低开发成本。可视化工作流编排界面允许用户通过拖拽组件和配置参数,快速实现身份管理工作流的51、构建和管理。核心能力包括:身份全生命周期管理,提供员工入职、调动、离职等配置模板;身份数据集成与分发,支持与主流 HR 应用和数据库的连接;身份安全风险实时监测,结合 MFA 提供自适应风控策略;认证全流程编排,提供注册、认证等功能的节点化编排模板;灵活自定义编排,用户可以自由构建个性化流程模板。身份自动化 Workflow 提升了企业运营效率和安全性,降低了管理成本,增强了用户体验和系统灵活性。核心技术核心技术 2:B2B 逻辑多租户身份技术逻辑多租户身份技术 B2B 多租户能力是 IDaaS 平台的重要组成部分,通过提供租户间隔离、跨租户共享、分级分权管理、基于 API/SDK 的快速接入52、、租户个性化管理和独立管理后台等核心能力,帮助企业实现高效、安全、灵活的身份管理。租户间隔离:确保不同租户的数据和操作完全隔离,防止信息泄露和数据混淆,每个租户拥有独立的数据存储和处理空间。跨租户共享:在确保隔离的前提下,支持母公司与子公司之间共享通用资源和策略,提高资源利用效率。分级分权管理:实现多层次、多角色的权限分配和管理,确保权限管理的灵活性和精细化。快速接入租户:提供丰富的 API 和 SDK,使开发者能够快速接入和集成不同租户,简化租户接入工作量。租户个性化管理:允许租户根据自身需求,自定义管理和配置其身份体系,如登录页面、认证策略、用户属性等。独立管理后台:为每个租户提供独立的管53、理后台,租户管理员可自主管理用户、配置权限和策略,确保数据和操作的独立性。通过这些技术特性,B2B 多租户能力提升了企业管理效率和数据安全性,满足企业的个性化需求,简化开发和集成工作,增强市场竞争力。20 核心技术核心技术 3:基于容器化的流量隔离技术基于容器化的流量隔离技术 容器化技术是一种轻量级虚拟化方法,通过虚拟化操作系统资源,允许多个独立的应用实例在同一操作系统上运行。基于 Docker 和 Kubernetes 的容器化平台,提供了高度可扩展性和灵活性,使应用部署和管理变得更加高效和简单。IDaaS 平台利用这些技术,实现了多租户环境下的流量和资源隔离,保障了系统的稳定性和安全性。图54、 10 IDaaS 身份云服务多租户技术架构 多租户流量隔离架构在 IDaaS 平台中的实现主要包含以下几点:1.租户物理空间独立管理:在 Kubernetes 集群中为每个租户创建独立的命名空间,确保资源和服务的隔离,保证数据的独立性和安全性。2.租户级资源限制:在每个租户的命名空间中,设置资源限制(request 和 limit),确保每个租户获得所需的计算资源,防止资源过度消耗。3.租户级流量控制:通过云原生负载均衡(LB)、Kubernetes 的 ingress 和 Istio,实现南北向和东西向的流量控制,确保租户间流量隔离。4.服务和数据的物理隔离:在每个租户的命名空间中,认证服55、务、账号管理服务、权限管理服务和安全服务等都是物理隔离的,每个租户都有独立的数据库实例和中间件,确保数据安全和独立性。5.租户级弹性扩缩容:Kubernetes 提供自动扩展功能,根据实际负载自动调整容器实例数量,确保服务的稳定性和高可用性,应对突发流量和变化的业务需求。通过这些技术措施,基于容器化技术的多租户流量隔离架构提升了 IDaaS 21 平台的数据安全性、资源利用效率和系统稳定性,支持企业实现高效、安全、灵活的身份管理目标。核心技术核心技术 4:全链路、自动化的高可用技术全链路、自动化的高可用技术 为确保系统在任何情况下都能保持高效运行,IDaaS 平台基于开发运营一体化(DevOp56、s)体系,建立了一套全链路、自动化的高可用体系。这一体系涵盖了从发布变更前的全面测试,到业务运行时的实时监控和错误感知,再到流量镜像环境的模拟和控制,确保系统始终处于最佳状态。图 11 IDaaS 身份云服务高可用技术架构 全链路、自动化的高可用体系技术实现主要包含以下几点:全链路 E2E 自动化测试:在每次发布变更前,进行核心业务流程的端到端(E2E)自动化测试,模拟真实用户操作,验证系统在不同场景下的表现,发现并修复潜在问题。细粒度的原子化单元测试:覆盖系统中的每个模块和组件,模拟各种输入条件,确保每个功能单元独立运行时的正确性,帮助在开发早期发现并修复错误。灰度发布策略:采用灰度发布策略57、,逐步向用户推送更新,通过逐步扩大用户范围验证新版本的稳定性和兼容性,确保全量发布前修复问题,降低发布风险。定时全流程 E2E 自动化测试:在系统运行期间定时进行全流程 E2E 自动化测试,实时检测系统运行状态,确保业务流程始终正常,提高系统的可靠性和22 稳定性。可观测架构:实施完善的可观测架构,包括指标监控、日志采集分析和链路追踪,实时监控系统性能,快速定位和解决问题,减少系统故障对用户的影响。流量镜像环境:提供一比一复刻生产流量和数据的镜像环境,模拟真实流量和操作进行全面测试,确保变更或更新不会影响生产环境。通过这些措施,全链路、自动化的高可用体系为 IDaaS 平台提供了强大的稳定性和58、高可用性保障,提高了系统可靠性和安全性,降低了发布风险和运维成本,提升了用户满意度,支持业务的快速迭代和创新。五、现代化五、现代化 IDaaS 身份云落地建设方法论身份云落地建设方法论(一一)身份云平台赋能身份云平台赋能多场景下身份管理多场景下身份管理 随着信息技术的快速发展,互联网应用和云技术的日益普及,用户身份管理面临着越来越复杂的需求和挑战。传统的身份管理解决方案往往以单一的身份验证机制和本地化的访问控制策略为中心,难以满足多样化的多云场景需求。IDaaS 产品的出现,为身份管理带来了新的变革。IDaaS 将身份管理功能从传统的本地部署转移到云端,可以与其他业务系统进行快速集成,例如 H59、R 系统、CRM 系统等,并且提供完善的集成与被集成能力。通过这些精细化、可扩展、可复用的能力,IDaaS 产品能够满足用户、员工、合作伙伴和公民在不同场景下的身份管理需求,为各类组织提供安全、便捷、高效的身份管理解决方案。图 12 IDaaS 身份云服务核心业务场景 1.用户身份管理用户身份管理 23 在全面数字化转型的浪潮下,单一类型资源提供的服务已经不足以满足企业的需求,用户身份管理的核心场景包含了多个方面。首先是社交账号免密登录,用户可以使用已有的主流第三方社交平台快速无密码登录新的应用,实现应用的快速用户数量增长。其次,用户需要通过安全的方式访问各种在线服务和应用,以避免密码被盗用和60、账号被劫持。在跨设备无缝登录方面,用户希望能够在不同设备(如手机、平板、电脑)上无缝切换,而不需要反复登录。此外,用户非常关心其个人信息和数据的隐私和安全,期望在数据传输和存储过程中得到保护。通过这些场景的覆盖和优化,身份管理服务不仅提升了用户体验,还为实现更广泛的数字化转型奠定了坚实基础。2.员工身份管理员工身份管理 员工身份管理的核心场景包括多个重要方面。首先,确保员工可以通过安全的方式访问公司内部的各种资源和系统,保障企业数据和信息的安全性。其次,根据员工的职位和职责,分配适当的访问权限,严格遵循最小权限原则,以防止未经授权的访问和潜在的安全威胁。再次,全面管理员工的生命周期,从员工入职61、、在职期间的各种身份验证、权限管理,到离职后的权限撤销和信息归档,确保流程的完整性和安全性。此外,员工身份管理还支持自助服务功能,使员工能够自主处理日常的身份验证和权限申请事务,减少对 IT 部门的依赖,提高工作效率。流程自动化则进一步优化了身份管理的各个环节,确保操作的及时性和准确性,降低人为错误的风险。通过这些措施,企业能够构建一个安全、合规、高效的员工身份管理体系,满足不断变化的业务需求和安全挑战。3.合作伙伴身份管理合作伙伴身份管理 合作伙伴身份管理的核心场景包括多个重要方面。首先是跨组织的安全协作,与外部合作伙伴之间的安全协作需要确保在跨组织数据和资源访问过程中保持高度的数据分享安全62、性,防止信息泄露和未经授权的访问。其次是灵活的权限管理,根据合作关系的变化灵活调整权限和访问策略,确保合作伙伴的访问权限能够及时与业务需求相匹配。这种灵活性不仅提高了管理效率,也保证了业务合作的顺畅进行。此外,合作伙伴身份管理还注重身份联合与集成,通过实现与合作伙伴系统的身份联合,减少了重复注册和管理的复杂性。这样不24 仅简化了合作伙伴的访问流程,也增强了系统的整体安全性和可靠性。通过这些措施,企业能够构建一个安全、灵活、高效的合作伙伴身份管理体系,支持稳定的跨组织合作和业务拓展。4.公民身份管理公民身份管理 公民身份管理的核心场景涵盖了多个重要方面。首先,公民需要通过安全、便捷的方式访问各63、类公共服务和政府服务。确保这些访问过程中的数据和信息安全,是公民身份管理的首要任务。其次,提供高效可靠的身份验证机制至关重要。这不仅有助于防止身份盗用和欺诈行为,还能确保公共服务和政府服务的可靠性和信任度。通过先进的验证技术,公民可以放心地进行各种线上和线下的事务处理。此外,数据隐私和主权保护也是公民身份管理的关键要素。必须确保公民数据的隐私和安全,严格遵守相关法律法规,防止数据泄露和滥用。同时,尊重公民对其个人信息的主权,给予公民对自己数据的控制权和知情权,是建立公民信任的重要前提。通过这些措施,公民身份管理体系能够提供一个安全、可靠、尊重隐私的环境,支持公民高效便捷地访问各类公共服务和政府64、服务,维护社会的稳定和公民的权益。(二)云原生(二)云原生 IDaaS 平台建设目标平台建设目标 1.提升用户体验:落地无密码认证和全场景可视化身份洞察提升用户体验:落地无密码认证和全场景可视化身份洞察 随着数字化时代的到来,用户体验已经成为企业成功的关键因素之一。在这个信息爆炸的时代,用户对于安全性和便利性的需求不断增长,而落地无密码认证和全场景可视化身份洞察正是应对这一需求的重要措施之一。无密码认证通过生物特征识别、硬件设备认证等方式,将安全性提升到了一个新的水平,避免了传统密码认证存在的被猜测、被盗用的风险。同时,用户无需记忆复杂的密码,仅需使用自己的生物特征或者硬件设备进行认证,大大提65、升了使用便利性。基于全场景可视化身份洞察,企业可以更加全面地了解用户的行为和偏好,从而为用户提供个性化的服务和体验。通过深入了解用户的行为习惯和需求,企业可以更加精准地进行营销和服务,从而提升客户关系,增强用户黏性。2.落地身份治理:基于岗位与角色标准化的统一身份数据模型落地身份治理:基于岗位与角色标准化的统一身份数据模型 25 身份治理是企业信息安全管理的重要组成部分,它涉及对用户身份、权限和访问进行有效管理和控制,而基于岗位与角色标准化的统一身份数据模型则是一种有效的身份治理方法。岗位指在组织中扮演的特定职责和角色,通常与一组特定的权限和访问相关联;角色则是一组具有相似职责和权限的用户集合66、,可以根据用户的岗位或工作职责进行划分。统一身份数据模型包含用户身份信息(包括用户基本信息、岗位信息、角色信息等)、权限信息(记录用户所拥有的权限和访问权限)以及审计日志(记录用户的操作行为和访问记录,用于追溯和审计)。通过角色与权限的标准化,可以简化权限管理的复杂度,提高管理效率;基于岗位与角色的划分,可以更加精准地控制用户的权限,降低安全风险。统一身份数据模型可以提供完整的审计日志,帮助企业对用户的操作行为进行监控和追溯,提升合规性和安全性。3.零信任安全基座:构建以身份为中心的持续自适应安全策略零信任安全基座:构建以身份为中心的持续自适应安全策略 零信任安全基座是面对不断增加和演变的网络67、攻击,传统安全模型已不敷企业安全需求的解决方案。其核心理念在于以身份为中心的安全策略,始终不信任任何用户或设备,强调在任何时候、任何地点都需认证和授权才能访问资源。关键步骤包括多因素身份认证技术确保用户身份安全,基于角色的访问控制管理用户权限,以及实时监控和分析用户行为来检测异常活动和威胁。同时,利用机器学习和人工智能技术识别潜在安全威胁。智能响应机制应对安全事件,实施恢复计划最小化损失,是构建持续自适应安全策略的重要步骤。4.注重隐私保护:基于用户主权和自主授权建立身份数据合规使用注重隐私保护:基于用户主权和自主授权建立身份数据合规使用标准标准 在移动互联网和数字化时代的背景下,个人身份数据68、的安全和隐私保护日益成为关注焦点。为了建立信任并有效保护用户隐私,企业需积极采取措施,确立身份数据合规使用标准,并实施用户信息主权与自主授权的措施。建立身份数据合规使用标准方面,企业需确保身份数据处理符合相关法律法规,如个人信息保护法、通用数据保护条例等,并严格遵循数据最小化原则,仅收集、使用和存储必要的身份数据,避免过度收集和使用用户信息。此外,必须采取有效的数据安全保护措施,如加密、访问控制和数据备份,以确26 保用户身份数据的安全性。落地用户信息主权与自主授权方面,企业应尊重用户的信息主权,让用户拥有对自己身份数据的控制权,包括数据的收集、使用和共享权限。建立健全的自主授权机制,使用户能69、够自主选择对身份数据的使用和分享,例如选择性披露身份信息和随时撤销授权等功能,是保障用户权益和建立长久信任的重要步骤。5.增强合规审计:基于最小权限原则的系统权限精细化审计增强合规审计:基于最小权限原则的系统权限精细化审计 随着信息技术的发展和应用,企业系统中的权限管理和合规审计变得越来越复杂。为了确保系统安全和合规性,基于最小权限原则的系统权限精细化审计成为必要的举措。最小权限原则是指用户在访问系统资源时,只被授予其工作职责所需的最小权限,以减少系统风险和安全漏洞。通过权限精细化管理,对系统资源的权限进行细分和管理,确保用户只能访问到其必要的资源,从而提高系统的安全性和合规性。基于最小权限原70、则的系统权限精细化审计包括对系统中的用户和角色的权限进行审计,确保权限的分配符合最小权限原则,避免过度授权;实时监控用户对系统资源的访问行为,及时发现异常行为和未授权访问,确保系统安全;记录用户对系统资源的操作行为和日志,包括登录记录、文件操作和系统配置变更等,便于追溯和审计。6.用户自助服务:建立高效的、降低用户自助服务:建立高效的、降低 IT 人工的用户自主服务人工的用户自主服务 随着企业信息化程度的提高,用户对于信息技术支持的需求也在不断增长。为了提升工作效率和降低信息技术人工支持的压力,引入用户自助服务成为了一种有效的解决方案。用户自助服务具有重要意义,它可以提高效率,使用户能够通过自71、助服务快速解决常见问题,无需等待信息技术人员的支持,从而提高工作效率;降低成本,自助服务减少了对信息技术人员的依赖,降低了人力成本和支持成本;提升用户满意度,提供便捷的自助服务可以提升用户体验,增强用户满意度。7.大数据技术方法论:大数据有效赋能身份管理及数据治理大数据技术方法论:大数据有效赋能身份管理及数据治理 随着数据量的爆发式增长,大数据技术在企业中的应用日益广泛。对于身份识别与认证,利用大数据技术实现更精准、高效的身份识别与认证,包括基于行为分析的身份验证、生物特征识别等。对于访问控制与权限管理,基于大27 数据技术对用户访问行为进行实时监控和分析,实现精细化的访问控制和权限管理,提高72、系统安全性。对于数据隐私与合规性,基于大数据技术实现对敏感数据的加密、脱敏和访问控制,保护用户隐私,确保数据使用符合法规和政策要求。(三)云原生(三)云原生 IDaaS 平台建设思路平台建设思路 情况情况 1:从零建设云原生从零建设云原生 IDaaS 图 13 IDaaS 身份云服务通用构建流程 对于没有建立身份和访问管理(IAM)系统或身份即服务(IDaaS)平台的用户,构建云原生的 IDaaS 平台需要考虑诸多因素,包括安全性、可扩展性、灵活性和用户体验等。首先,需要定义业务需求和目标,确定平台的功能需求,如身份认证、访问控制和用户管理,同时明确平台的目标,包括提高安全性、提升用户体验和降73、低成本。其次,选择合适的技术栈,适合云原生开发的技术包括容器化技术(如 Docker)、编排工具(如 Kubernetes)、微服务架构和服务网格等,还需考虑使用主流认证协议,如 OIDC、OAuth2、SAML 和 CAS 协议等。在设计架构和数据模型时,需设计云原生架构,包括前端应用、后端服务、身份存储和访问控制等组件,同时设计合适的数据模型,包括用户信息、权限信息和审计日志等数据结构。接下来,实施身份认证和访问控制功能,涵盖用户名密码认证、社交账号登录、多因素认证等,及基于角色的访问控制和基于策略的访问控制等。集成现有的身份存储系统(如 LDAP、Active 28 Directory 74、等)也是重要的一步,并考虑与其他云服务和应用程序的集成,实现统一的身份管理和访问控制。实施监控和运维需要配置监控和日志记录,实时监控身份认证和访问控制的运行状态,同时配置自动化运维工具,确保系统的稳定性和可靠性。迭代优化和演进方面,应定期评估系统性能和用户反馈,进行优化和改进,不断学习和跟进最新的安全技术和云原生技术,保持系统的安全性和竞争力。遵循合规性要求确保平台的安全性和隐私保护符合相关法律法规和行业标准,如个人信息保护法、等保要求和 GDPR 等。用户培训和推广方面,为管理员和用户提供培训和支持,确保他们能够正确使用和理解 IDaaS 平台,并积极推广 IDaaS 平台,提高用户的认知度75、和接受度。建设步骤包括业务梳理,全面了解和分析企业的业务需求,确定需要集成到 IDaaS 平台的业务流程和场景;应用梳理,全面梳理企业内现有的应用系统,明确每个应用的身份认证和授权需求;权限梳理,细化用户权限管理,确保不同用户组在不同应用中的权限配置符合业务需求和安全策略;自动化实现,通过自动化工具和技术,实现身份管理流程的自动化,提升运维效率和安全性。情况情况 2:从传统从传统 IAM 迁移到迁移到 IDaaS 很多用户已经基于传统架构建立了自己的身份与访问管理系统,从传统的 IAM 系统迁移到基于云原生的 IDaaS 平台是一个具有挑战性但也值得的转型过程。首先,需要评估现有 IAM 系统76、,进行功能和需求分析,确定当前 IAM 系统提供的功能和服务,包括身份认证、访问控制、单点登录、多因素认证、审计和报告等。同时,需要评估现有系统的性能、稳定性和扩展性,确定是否存在瓶颈或需改进之处。其次,确定迁移目标和业务需求,明确迁移至 IDaaS 的目标和优先级,例如提升安全性、简化管理、支持云原生应用等,同时进行业务需求分析,确定 IDaaS 平台需要支持的功能和性能要求。再次,选择合适的 IDaaS 提供商,确保选择的 IDaaS 解决方案能够满足业务需求,提供所需的功能并与现有系统实现集成支持,同时确保 IDaaS 提供商符合行业标准和法规要求,如个人信息保护法、等保要求、GDPR 77、等。最后,制定迁移计划和策略,制定详细的迁移计划和策略,包括迁移的阶段、时间表、资源分配、风险管理29 和回滚计划,同时确定数据迁移策略,确保用户数据、权限配置、审计日志等重要数据的完整性和安全性。在数据迁移和应用认证迁移过程中,为保障业务的连续性和减少对现有系统及客户体验的影响,需要制定可执行的迁移策略,以下是具体的迁移措施:数据自动化同步能力数据自动化同步能力,新建 IDaaS 平台需要可以从现有的 IAM 系统进行自动化数据同步,包括 API 接口,数据库,LDAP 协议,自动化脚本等多种方式;通过首次的全量数据同步初始化,到增量数据定时或实时同步,在现有 IAM 系统完全下线之前,保持78、数据自动化同步能力。图 14 从传统身份服务迁移目录数据到 IDaaS 应用双通道应用双通道,实现应用认证稳步迁移;搭建测试环境对接测试应用,或者是在应用上增加新的认证通道,实现一个应用对接现有 IAM 平台和新建 IDaaS 平台,通过不同的认证方式对用户进行惰性迁移。图 15 从传统身份服务迁移认证能力到 IDaaS 30 情况情况 3:从从 AD/LDAP 迁移到迁移到 IDaaS 有的企业已经使用了微软 Active Directory(AD)或轻量级目录访问协议(LDAP)服务来搭建自己的用户身份管理平台,从传统 AD 或 LDAP 迁移到 IDaaS 平台可以带来更灵活、安全和易于79、管理的身份认证和访问控制解决方案。首先,需要评估现有 AD/LDAP 环境,进行功能和使用情况分析,确定当前 AD/LDAP 环境提供的功能和服务,包括用户管理、设备管理、组织管理、群组管理、身份认证和访问控制等,同时评估现有系统的性能、稳定性和扩展性,确定是否存在瓶颈或需改进之处。其次,确定迁移目标和业务需求,明确迁移至 IDaaS 的主要目标,如是否和现有的 AD/LDAP 长期共存,满足不同操作系统的管理要求,将哪些核心功能逐步迁移等,同时进行业务需求分析,确定 IDaaS 平台需要支持的功能和性能要求。再次,选择合适的 IDaaS 提供商,确保选择的 IDaaS 解决方案能够满足业务需80、求,提供所需的功能,如单点登录、多因素认证和访问控制等,并支持与现有系统的集成,同时确保 IDaaS 提供商符合行业标准和法规要求,如个人信息保护法、等保要求和 GDPR 等。最后,制定迁移计划和策略,包括详细的迁移计划和策略,涵盖迁移的阶段、时间表、资源分配、风险管理和回滚计划,同时确定数据迁移策略,确保用户数据、组织结构、权限配置和审计日志等重要数据的完整性和安全性。这些步骤和考虑因素将帮助企业顺利从传统 AD 或 LDAP 系统迁移到云原生 IDaaS 平台,提升系统的安全性、灵活性和可扩展性,同时简化管理和降低成本。AD 系统迁移到 IDaaS 平台是一个相对漫长的过程,因为 Wind81、ows 操作系统对于 AD 的依赖性较强,除了身份及设备管理相关功能外,还包括组策略,软件补丁管理,CA 证书及 DNS 服务等很多其他功能,所以在迁移过程中会出现长期共存的情况,如下是具体的迁移路径:阶段一,AD/LDAP 作为主身份源,将所有的数据同步到新建 IDaaS 平台;应用认证由原有的 AD 切换到 IDaaS 认证服务;31 图 16 从 AD/LDAP 服务平滑迁移目录数据到 IDaaS(阶段一)阶段二,当原有的数据全部同步到新建 IDaaS 平台后,IDaaS 平台将作为 SSOT(Single Source of Truth),实现身份数据的一致性和准确性;(AD/LDAP82、 将作为下游存在,由 IDaaS 平台将所需要的用户、组织、群组等数据自动化同步到 AD/LDAP 平台;图 17 从 AD/LDAP 服务平滑迁移目录数据到 IDaaS(阶段二)通过以上步骤和考虑因素,您可以有效地从传统的 AD/LDAP 环境迁移到现代的 IDaaS 平台,实现更灵活、安全和高效的身份认证和访问管理解决方案。这种迁移不仅可以提升企业的 IT 运营效率,还能够支持未来的业务增长和云原生应用的部署。情况情况 4:针对针对 IDaaS 进行安全加固进行安全加固 针对已有 IDaaS 平台进行安全加固是确保身份认证和访问管理安全性的关键步骤。首先,在身份认证安全加固方面,持续自适应83、多因素认证(CAMFA)32 是一种动态的安全机制,通过持续监测用户行为和上下文信息,来动态调整认证方式和强度,以确保用户身份的真实可靠性。CAMFA 不同于传统的多因素认证(MFA),它在整个用户会话期间不断评估用户的行为和环境变化。CAMFA 的工作原理包括行为监测,通过分析用户的行为模式(如打字速度、鼠标移动、点击频率等),判断当前操作是否符合用户的正常行为习惯;环境上下文,根据用户登录的时间、地点、设备、网络等环境因素,评估登录行为的合法性,例如,从不常见的地理位置登录可能会触发额外的验证步骤;风险评估,结合行为和环境信息,动态评估风险级别,当检测到异常行为或高风险环境时,系统会自动调84、整认证要求,可能会要求重新输入密码、提供额外的验证码或进行生物识别验证;持续监控,在用户整个会话期间持续监控,确保即使在初始登录之后,用户行为的任何异常变化都能及时被发现和响应。通过这种持续自适应的认证方式,CAMFA 可以在提高安全性的同时,减少对用户体验的干扰,提供更加灵活和智能的安全解决方案。此外,单点登录(SSO)安全性配置也非常重要,包括适当的会话管理、强制重新认证、定期会话失效等策略,以防止会话劫持和重放攻击。同时,实施强密码策略,包括密码长度、复杂性要求、定期更改密码等,避免弱密码导致的安全漏洞。图 18 持续自适应的安全认证策略 其次,在访问控制安全加固方面,使用基于角色的访问85、控制(RBAC)模型管理和分配用户的访问权限,确保用户仅能访问其职责范围内的资源和数据。配置最小权限原则,确保用户只有执行工作所需的最低权限,减少横向移动攻击的风险。实时监控和审计用户的访问行为,及时检测和响应异常活动或未授权访问。在数据安全加固方面,对存储在 IDaaS 平台中的敏感数据(如用户凭33 据、访问令牌)进行加密保护,确保数据在传输和存储过程中的安全性。同时,对不需要直接访问的敏感数据进行脱敏处理,降低数据泄露风险。在平台安全性加固方面,定期检查 IDaaS 平台组件和依赖的安全漏洞,及时应用补丁和更新,以防止已知漏洞被利用。审查和优化 IDaaS 平台的安全配置,包括网络安全、86、系统配置、服务端点访问控制等。员工培训和意识提升也是重要的一环。为管理员和终端用户提供安全意识培训,教育他们如何识别和应对社会工程攻击、钓鱼邮件等安全威胁。确保管理员和运维团队了解其安全责任,并实施适当的权限管理和监督。最后,制定并测试紧急响应计划,包括安全事件的检测、响应和恢复措施,以最小化潜在的安全漏洞影响。通过实施这些安全加固措施,可以有效提升 IDaaS 平台的安全性和稳定性,保护企业的身份数据和敏感信息不受未经授权的访问和攻击。(四)云原生 IDaaS 平台建设误区与难点 在构建云原生 IDaaS 平台时,过度定制化的功能设计往往会针对用户不同业务需求和功能需求进行过度定制,导致系统87、架构复杂,增加集成和维护难度,进而增加开发和测试成本,降低系统的可靠性和稳定性。过度定制化可能带来高昂的维护成本,特别是在更新和升级时需要额外的资源和努力,难以及时修复和更新可能导致的安全漏洞或性能问题。此外,过度定制化还可能导致技术债务积累,影响平台的长期可维护性和扩展性。为了避免这些问题,建议在设计阶段进行详细的需求分析与权衡,确保定制化功能具备明确的业务价值和回报预期,同时采用模块化设计、严格的开发和测试策略,并始终考虑安全和合规性要求,积极收集用户反馈并持续优化与改进定制化功能。同时,构建云原生 IDaaS 平台时,忽视老旧应用的友好集成、缺乏长期扩展性的架构设计、忽视身份平台基础设施88、的重要性、忽视用户体验与自助服务、忽视与企业业务流程的融合以及忽视安全性与稳定性,都会导致一系列误区和难点。面对老旧应用的集成需要全面的现状评估和定制化的集成方案,设计一个能够支持多样化和复杂性的 IDaaS 架构,需要综合考虑不同系统之间的集成、数据流动和安全性等方面。采用模块化和微服务架构、弹性计算和自动化运维,以应对突发和持续增长的负载,同时设计开放的 API 和标准化接口,确保架构34 的长期扩展性。将身份管理平台视为企业基础设施的核心组成部分,采用最佳的安全实践和技术解决方案,并实施高可用性、容错性和自动化恢复能力的架构,确保系统在面对故障或攻击时能够快速恢复和保持稳定。通过深入分析89、和理解企业业务流程需求,确保平台能够与之紧密融合,提供定制化的身份管理解决方案,支持灵活的配置和管理,并定期收集用户反馈和业务变化需求,持续优化平台功能和性能。最终,确保平台设计和运营符合相关的法律法规和行业标准,进行定期的安全审计和合规性检查,加强对安全措施和最佳实践的理解和执行,从而有效应对云原生 IDaaS 平台建设中可能出现的误区和难点,确保平台的长期稳定性和可持续发展。六、行业实践案例分析六、行业实践案例分析 (一)教育云身份中台:浙江省教育厅基于云原生的身份基础设施实践 背景介绍 随着信息技术的迅猛发展,教育信息化建设已成为教育改革发展的重要战略任务。为加快推进教育数字化转型,浙江90、省教育厅于 2021年 3月印发浙江省教育领域数字化改革工作方案,提出构建数智驱动的教育治理新格局。传统的身份认证和访问管理(IAM)系统难以满足教育信息化发展的需求,存在运维成本高、扩展性差、安全性低等问题。因此,亟需构建一套基于云原生技术的数字教育身份基础设施,实现身份统一管理、安全高效认证和精准授权控制。浙江省教育厅积极响应国家教育数字化战略,基于云原生技术,构建全省教育中枢大脑,打造统一的数字教育身份基础设施,实现组织、用户、应用权限和身份认证的一体化管理,有效推动了教育信息化发展,赋能教育治理新模式。解决方案 浙江省教育厅采用云原生技术架构,构建统一的数字教育身份基础设施,35 包含91、以下核心组件:身份认证中心:提供统一的身份认证服务,支持多种认证方式,如用户名密码、短信验证码和生物识别等。授权管理中心:基于角色、属性等多维度进行授权控制,实现对用户、应用和资源的精准访问控制。审计中心:记录用户访问行为,提供详尽的审计日志,支持多维度查询和分析。实施效果 打破数据孤岛,实现身份统一管理:整合全省教育系统用户身份信息,建立统一的身份标识体系,实现用户身份的集中管理和共享。提升认证效率,保障安全访问:支持多种认证方式,满足不同用户的认证需求,并提供强身份认证和安全防护措施,保障用户身份安全和数据安全。精准授权控制,赋能精细化管理:基于角色、属性等多维度进行授权控制,实现对用户、92、应用和资源的精准访问控制,满足教育信息化管理的精细化需求。自动化管理异构来源师生数据,实现数据治理:通过自动化手段管理来自不同来源的师生数据,确保数据一致性和完整性,有效进行数据治理。建立教育身份数据安全使用规范:制定和实施严格的教育身份数据安全使用规范,保障数据在使用过程中的安全和合规性。完善审计机制,助力安全运营:记录用户访问行为,提供详尽的审计日志,支持多维度查询和分析,为教育信息化安全运营提供强有力的支撑。案例意义 浙江省教育厅基于云原生技术的数字教育身份基础设施实践,为教育信息化发展提供了可借鉴的经验,具有以下重要意义:推动教育信息化基础设施建设:构建统一的数字教育身份基础设施,为教93、育信息化发展奠定了坚实的基础,符合中央和教育部关于加快教育现代化的要求。赋能教育治理新模式:实现身份统一管理、安全高效认证和精准授权控制,助力教育治理能力现代化水平提升,契合中央推进教育治理体系和治理能36 力现代化的目标。加速教育数字化转型:为教育信息化创新应用提供安全可控的基础平台,推动教育数字化转型升级,响应国家教育信息化 2.0行动计划,促进教育公平和质量提升。提升教育服务效能:通过智能化手段提升教育管理和服务水平,满足新时代对教育信息化发展的更高要求。保障教育数据安全:在确保数据安全和隐私保护的前提下,推动教育大数据应用,促进科学决策和教育治理现代化,符合国家对数据安全和隐私保护的政94、策要求。未来展望 浙江省教育厅将继续推进数字教育身份基础设施建设,完善相关功能,加强安全防护,为教育信息化发展提供更加坚实的支撑,助力教育高质量发展。(二)金融云身份中台(二)金融云身份中台 某大型银行某大型银行全栈云统一身份技术全栈云统一身份技术设施实践设施实践 背景介绍 顺应 十四五 规划中关于 加快金融机构数字化转型 要求,中国人民银行印发了金融科技发展规划(2022-2025年),基于这个背景某大型银行在数字化转型过程中积极应用云原生技术对业务系统进行了升级改造,大幅提升了底层技术平台对上层业务的支撑能力,某大型银行通过开发测试云、生产云、金融生态云三朵云的全栈云体系建设,全面支持业务95、的敏捷开发、持续交付和稳定运行。在这个统一云平台的背后则需要一个强大的身份基础设施,围绕用户账户的生命周期提供统一的账户管理、身份认证、授权管理、应用管理、审计管理、安全保障等能力。满足用户身份认证和系统组件身份认证的能力,同时为全栈云各子系统满足等保要求和金融监管对于身份认证相关的技术要求提供支撑。解决方案 行内现存多套用户管理系统,不同岗位和类型的员工有着不同的管理方式,需要对异构的用户主数据系统进行统一整合,并对外提供 SSOT(单一可信37 数据源)身份体系。通过搭建统一认证中心和单点登录平台,实现所有业务系统的统一认证集成,员工只需一次登录即可访问多个系统,从而提升用户体验和办公效率96、。不同的账号体系对于密码和安全等级要求不一致,需要实施一套灵活、高度自定义的密码安全体系,来满足安全性、合规性等要求。实施效果 建设统一的用户管理平台:将行内原有的多个用户主数据系统,数千个个部门和岗位,通过基于 API/SDK 的用户 OneID 方案,进行统一合并和管理,生成全局唯一 UID。搭建统一认证中心和认证门户:通过基于 OIDC、OAuth 2.0、SAML、CAS、LDAP 等标准联邦认证协议及自研 SSO 协议的统一认证平台,将行业使用的全部云平台系统进行统一的 SSO 单点登录集成,并且为后续的应用系统的管理提供统一 SSO 认证接入规范。完成整体业务的安全审计管理:完成用97、户、认证和权限管理体系的搭建后,为了满足行内对于金融行业安全审计监管的要求,提供了 密码安全策略管理、用户审计日志管理、认证防爆破管理 来满足审计合规性要求,并配合行内完成对于安全管理的多项专利发明申请。案例意义 某大型银行通过统一身份技术设施的实践,为金融行业的身份管理提供了一个成功的范例,其意义在于:通过建设统一的用户管理平台,某大型银行成功整合了原有的多个用户主数据系统。这不仅减少了维护和管理的复杂性,还显著降低了运营成本。同时实现了单点登录(SSO),提升了员工的用户体验,减少了在多个业务系统间切换的繁琐操作,从而提高了工作效率。统一的认证中心和认证门户通过支持多种标准认证协议(如 O98、IDC、SAML、CAS、LDAP),确保了认证过程的安全性和可靠性,满足了金融行业严格的安全要求。并且动态灵活的访问授权和细颗粒度的资源授权管理,有效防范了权限滥用和未授权访问,提升了整体业务系统的安全水平。完整的安全审计管理体系,包括密码安全策略管理、用户审计日志管理和38 认证防爆破管理,确保了符合金融行业的安全审计监管要求。通过这些措施,某大型银行不仅提升了内部安全管理水平,还配合完成了多项安全管理的专利发明申请,进一步巩固了其在金融安全领域的领先地位。基于云原生技术的身份管理平台,为某大型银行未来的金融科技创新提供了坚实的基础设施支持。通过灵活、可扩展的身份管理系统,某大型银行能够快99、速响应业务需求变化,推动金融产品和服务的创新发展。未来展望 某大型银行在未来的身份管理体系建设中,将继续推进以下方面的工作:深化云原生技术应用:进一步完善基于云原生技术的身份管理平台,提升系统的弹性和扩展性,确保能够应对未来业务增长和复杂场景的需求。强化安全防护措施:引入更多先进的安全技术,如零信任架构整合、持续自适应多因素认证(CAMFA)和行为分析,进一步增强身份认证和访问控制的安全性,确保始终符合最新的安全标准和监管要求。(三)智慧医药身份中台(三)智慧医药身份中台-云南白药集团云原生身份认证管云南白药集团云原生身份认证管理平台实践理平台实践 背景介绍 云南白药集团作为中国知名的中药企业100、,业务范围涵盖制药、医疗、健康产品等多个领域。随着集团业务的不断扩展和信息化建设的推进,集团内各业务系统、应用系统的数量和复杂性逐渐增加。为了提高信息系统的安全性、管理效率和用户体验,集团决定替换原有的 Oracle LDAP 认证和 AD 认证,形成新的云原生统一身份认证管理平台。解决方案 构建集团统一用户身份认证管理平台,实现支持全集团所有企业应用系统内用户身份、权限的统一管理,为集团内全体职工提供统一的应用入口,统一的用户身份,统一的账号管理,统一的应用权限授权机制,统一的安全访问控制机制,统一的安全审计手段。完成集团业务应用系统的用户同步、单点登录集成、数据治理工作。39 不梳理集团业101、务应用系统的人员身份、权限,建立统一的应用系统身份管理制度,规范应用系统内人员的创建、转移、关闭流程,身份的注册、注销,权限的配置、变更管理。编制集团统一的应用系统集成标准,形成技术标准统一、集成方式相近、集成路径相同的企业级标准规范。实施效果 建设统一的身份管理平台,实现 NCC 主数据系统,Oracle LDAP,AD 等多个系统的上游数据自动化同步到新的身份管理平台,对外提供 SSOT(单一可信数据源)身份体系。搭建统一认证门户,通过基于 OIDC、OAuth 2.0、SAML、CAS、LDAP 等标准联邦认证协议的统一认证平台,将 OA、ERP、财税系统、Wifi 无线认证等多个应用系102、统进行统一的 SSO 单点登录集成,并且为后续的应用系统的管理提供统一 SSO 认证接入规范。完成用户规则的统一以及相应的权限管理,建立完善的审计体系,实现以用户为基点的应用访问审计。案例意义 云南白药集团通过建立云原生统一身份认证管理平台项目不仅显著提升了集团的安全性、管理效率和用户体验,还为集团的持续发展和数字化转型提供了坚实的基础,其意义在于:提升集团信息化水平,该平台不仅整合了各个业务系统的身份认证和权限管理,还为集团提供了一个安全、可靠、可扩展的基础架构,提升了整体信息化水平。增强安全性与合规性,通过集中化的身份认证和权限管理,减少了因多系统多账号造成的安全隐患,提升了集团整体的安全103、性;引入统一的安全审计和监控机制,确保及时发现和处理安全事件,增强了系统的合规性和安全性。提升用户体验和工作效率,用户只需一次登录即可访问所有授权的系统,简化了登录流程,提升了用户体验和工作效率;统一用户门户为员工提供一个统一的应用入口,使得应用系统的访问更加便捷和高效。促进数字化转型,通过引入云原生技术、容器化、Kubernetes 等 先进技40 术,推动集团的信息技术创新;通过集中化的数据管理和治理,为集团的业务决策提供了更加准确和及时的数据支持。未来展望 云南白药集团在未来的身份管理体系建设中,将继续推进以下方面的工作:持续优化云原生架构:进一步深化云原生技术的应用,优化 Kubern104、etes 集群管理,提高资源利用率和系统性能,提升平台的灵活性和可扩展性。强化安全策略和合规管理:逐步引入零信任安全模型,加强身份验证、权限控制和安全监控,确保系统的全面安全性,不断更新和优化安全策略,确保系统符合所有相关的合规要求。(四)高新制造身份中台(四)高新制造身份中台-某高新制造企业某高新制造企业统一身份中台实统一身份中台实践践 背景介绍 公司目前面临多方面的账号和权限管理挑战。内部人员的账号管理缺乏统一的规则和生命周期管理机制,导致管理分散。同时,现有基于 AD 域的 SSO 认证系统负担过重,耦合性高,一旦出现问题会影响广泛,因此需要对域控平台进行瘦身并剥离人员账密管理。此外,公105、司缺乏对外部用户(如客户、供应商等)的统一管理,无法及时跟踪和销毁这些外部用户账号。各业务系统的权限管理分散,权限分配和转移过程复杂,难以实现统一审计。公司存在多种业务系统平台(B/S 和 C/S 系统)以及多终端(PC 等)的认证方式,未实现统一,导致用户需要多次认证。由于组织人事变动频繁,AD 域操作工作量大,急需一种简单有效的同步机制以支持日常运维。为了应对这些挑战,公司决定实施一套全面的身份和访问管理解决方案。该方案将通过集中化管理内部人员和外部用户的账号与权限,简化认证流程,减轻 AD 域的负担,确保各业务系统和终端的认证方式统一,并建立有效的同步机制以应对频繁的人事变动。此举将有助106、于提高管理效率,增强系统的安全性和稳定性,并提升用户体验。解决方案 41 构建统一的 SSO 平台:建立统一的权限及认证管理平台,实现账号密码的集中配置和管理,并基于此平台实现硬件终端设备、B/S、C/S 系统的统一账号、登录和权限管理。统一账号管理体系:建立从 HR 到 SSO 再到 AD 域的统一账号管理体系,确保业务系统用户及账号的统一,解耦 AD。用户账号生命周期管理:实现用户账号从创建、转移、权限分配、销毁等全生命周期的管理。多因素安全认证:实现内外部用户的多因素安全认证管理,包括短信、动态口令、二维码、指纹、人脸识别等多种方式。健全用户账号管理机制:建立完善的用户账号管理机制,实现107、身份审计、行为追踪、风险预警等功能。集中化权限管理:实现应用系统用户权限的统一集中管理,支持基于角色的访问控制和基于属性的访问控制。实施效果 用户管理中心和 AD 自动化管理:支持从多源获取用户数据,包括 HR 系统、AD、自身存有用户账号的应用系统等,进行数据清洗、合并并下发到下游系统;支持图形化配置,无需重启服务即可完成数据同步;支持用户管理页面字段的自定义和用户信息的维护;支持密码拦截和自动同步至本平台,支持 Windows 系统中修改密码并自动同步;组织类安全组和通讯组自动创建并同步到 AD,自动调整组织架构;支持非组织类安全组和邮箱通过流程申请自动创建并同步到 AD 和邮箱;支持多 108、AD 域的对接和数据同步。统一账号管理体系建设:支持创建、维护、禁用、归档用户账号,支持账号生命周期管理;支持一人多账号管理、孤儿账号、僵尸账号的安全治理和特权账号管理;支持外部客户、供应商账号的建立及管理;提供自动禁用和手动禁用账号功能,支持邮件提醒归档操作。统一权限管理体系建设:支持多种授权管理方式,快速分组或自定义分组分配业务权限或应用权限;支持批量回收、调整权限和设备访问控制,白名单、黑名单管理;用户账号变更时,相应权限随之变更。身份安全和密码安全体系建设:提供动态密码、密码到期提醒、弱口令检42 测和复杂度设置功能;提供身份鉴别和登录失败处理策略,支持密码规则的设定;支持数据加密、行109、为审计、异常告警和多因素认证;提供审计报表、日志导出和在线分析报表功能。用户自助中心:提供密码到期提醒、重置密码、账号解锁、自助信息维护和权限申请;支持分级授权和自助应用权限申请;系统支持简体中文、英文等多种语言包。案例意义 某高新制造企业通过实施统一身份中台,为高新制造行业的身份和访问管理提供了一个成功的范例,其意义在于:提升管理效率,简化账号与权限管理:通过构建统一的 SSO 平台和统一账号管理体系,某高新制造企业实现了内部人员和外部用户账号的集中化管理,简化了多平台、多终端的认证流程。此举不仅减轻了 AD 域的负担,还提高了系统的稳定性和可靠性。增强系统安全性,保障数据隐私:多因素安全认110、证和健全的用户账号管理机制,有效提升了系统的安全性。统一权限管理体系使得应用系统用户权限的集中化管理成为可能,避免了权限滥用,确保了业务系统的安全性。应对频繁人事变动,提高运维效率:通过实现用户账号全生命周期管理和自动化同步机制,某高新制造企业能够迅速应对组织人事变动,降低了运维工作量,提高了管理效率。提供良好的用户体验,提升用户满意度:用户自助中心提供了丰富的自助服务功能,如密码重置、账号解锁和权限申请等,提升了用户体验和满意度。多语言支持也使得系统更加适应国际化需求。实现外部用户统一管理,提升合作效率:统一管理外部客户和供应商账号,确保外部用户账号的及时跟踪和销毁,减少了外部用户管理的复杂111、性,提高了合作效率。未来展望 某高新制造企业在未来的身份和访问管理体系建设中,将继续推进以下方面的工作:深化技术应用,提升系统弹性和扩展性:进一步完善基于云原生技术的身43 份管理平台,提升系统的弹性和扩展性,确保能够应对未来业务增长和复杂场景的需求。强化安全防护措施,确保合规性和安全性:引入更多先进的安全技术,如零信任架构整合、持续自适应多因素认证(CAMFA)和行为分析,进一步增强身份认证和访问控制的安全性,确保始终符合最新的安全标准和监管要求。推进自动化管理,实现智能化运维:持续优化用户数据的自动化管理和同步机制,通过智能化手段进一步减少运维工作量,提高管理效率和系统响应速度。扩展自助服112、务功能,提升用户自主性:丰富用户自助中心的服务功能,提供更多的自助操作选项,提升用户的自主性和满意度,满足不同用户的个性化需求。构建全面的安全审计体系,保障运营安全:完善安全审计管理体系,提供更全面的审计报表和日志分析功能,支持多维度查询和分析,为系统安全运营提供强有力的支撑。七、未来展望和趋势发展七、未来展望和趋势发展(一)(一)IDaaS 与人工智能:利用大模型降低行业定制化成与人工智能:利用大模型降低行业定制化成本本 IDaaS 领先产品正借助人工智能(AI)和低代码技术,尤其是大模型(LLM,Large Language Model),如 OpenAI 的 GPT-4 和类似的大语言模113、型,其与身份自动化工作流技术的高度结合,能实现更高效的定制化和成本降低,并为用户带来实际效益。1.智能对话式交互技术智能对话式交互技术 通过大模型技术集成 IDaaS 平台 API,使用户可以使用自然语言描述来创建和调整 IDaaS 平台的复杂配置,这种方式不仅提高了配置效率,还使得非技术人员也能轻松管理复杂的身份验证流程,显著降低了定制化成本。2.智能身份自动化技术智能身份自动化技术 动态工作流配置:大模型可以理解和生成复杂的自然语言指令,从而自动配置和调整 IDaaS 工作流。例如,管理员可以用自然语言描述需要的身份验证44 流程,大模型会将其转换为具体的工作流配置。认证策略智能优化:结合114、用户行为和上下文及 Session 管理技术,大模型可以实时分析工作流的执行效果,自动调整认证策略和流程,以提高效率和安全性。(二)(二)IDaaS 与网络安全:基于大模型技术的动态风控技与网络安全:基于大模型技术的动态风控技术术 随着网络威胁的复杂性和频率不断增加,IDaaS 系统需要更智能和动态的解决方案来管理和缓解这些威胁。微软的最新研究表明,结合大模型(LLM,Large Language Model)的动态风控技术,可以显著增强企业的身份风控能力,并为企业有效降低安全运营成本。1.实时风险评估实时风险评估 大模型驱动的行为分析:大模型如 GPT-4能够分析大量用户行为数据,识别异常活115、动和潜在威胁。例如,通过对用户登录时间、位置和设备的分析,实时评估风险等级,动态调整认证策略。这样的分析可以帮助企业在用户行为发生变化时立即采取行动,增加多因素认证(MFA)或限制访问。2.自适应安全策略自适应安全策略 自适应安全工作流:通过结合大模型技术,IDaaS 平台可以自动创建和调整自适应安全工作流。大模型可以理解复杂的自然语言描述,将其转化为具体的安全策略配置,确保安全策略的动态调整和实施。例如,检测到异常活动时,工作流可以自动触发额外的安全检查或通知管理员采取进一步措施。3.威胁情报与响应威胁情报与响应 先进威胁检测:微软的研究表明,大模型能够在海量数据中识别网络攻击模式和趋势,提116、供上下文丰富的威胁情报。这些模型不仅能发现新兴威胁,还能通过与现有安全系统的集成,自动化响应和防御措施。例如,结合可信的威胁情报,大模型可以帮助识别并阻止复杂的攻击行为。(三)(三)IDaaS 与区块链:利用去中心化身份进行可信、联与区块链:利用去中心化身份进行可信、联45 邦数据授权邦数据授权 去中心化身份(DID)利用区块链技术,为用户提供了自主可控的身份管理方式。DID 通过区块链的分布式账本技术,确保身份数据的不可篡改和可验证性。这种去中心化的方式,不仅提升了安全性和隐私保护,还为数据的可信授权和交易提供了可靠的基础。通过 DID 技术和隐私计算,IDaaS 可以实现更安全、可信和高效117、的身份管理和数据共享。在数据出境、数据授权、数据入表和数据交易场景中,DID 技术展现了其独特的优势。1.隐私计算技术隐私计算技术 隐私计算技术通过多方安全计算(MPC)、同态加密和联邦学习等方法,在数据不离开本地的情况下,实现数据的计算和分析。这些技术在确保数据隐私的同时,最大限度地实现了数据的价值利用。应用方面,多方安全计算(MPC)允许多个数据持有者在不暴露自身数据的情况下,协同计算某个函数的结果,确保数据隐私和计算结果的正确性。同态加密支持对加密数据直接进行计算,计算结果仍然是加密形式,解密后得到正确结果,适用于对数据隐私要求极高的场景。联邦学习在不共享原始数据的前提下,多个机构可以协118、同训练机器学习模型,提高模型的泛化能力,同时保护数据隐私。通过这些应用,隐私计算技术不仅保障了数据隐私,还促进了数据的安全共享和价值利用,推动了数据驱动型决策和创新的发展。2.去中心化身份技术去中心化身份技术 去中心化身份技术(DID)基于区块链,赋予用户对其身份数据的完全控制权。每个用户拥有唯一的 DID,通过区块链实现身份验证和数据共享。在应用方面,身份自主管理使用户能够创建、控制和管理自己的 DID,不需要依赖中心化的身份提供者。去中心化认证通过区块链实现,DID 可以在多个平台和服务之间无缝认证,增强身份的安全性和隐私性。数据所有权和控制权让用户对其身份数据具有完全的所有权和控制权,可119、以自主决定数据的共享和使用。这些应用不仅提升了身份管理的安全性和隐私性,还赋予用户更多的自主46 权和控制权,推动了更加安全和透明的数字身份生态系统的发展。3.数据出境场景数据出境场景 数据出境涉及将本国的数据传输到其他国家或地区。基于区块链和 DID 技术,可以在不违反数据隐私和合规要求的情况下,实现安全的数据出境。在应用方面,数据加密传输利用区块链的加密机制,确保数据在出境过程中不被篡改和泄露。跨境数据合规通过智能合约实现,确保数据出境符合相关法律法规要求,自动执行合规检查和授权流程。数据访问控制基于 DID 技术,用户可以对出境数据的访问权限进行精细化控制,确保只有授权方可以访问数据。这120、些应用不仅增强了数据出境的安全性和合规性,还赋予用户对数据的更大控制权,确保数据在国际传输中的隐私和安全得到有效保护。4.数据授权场景数据授权场景 在数据授权场景中,数据所有者需要授权第三方使用其数据。区块链和 DID 技术可以实现安全、透明的数据授权。在应用方面,智能合约授权通过智能合约,实现自动化和条件化的数据授权流程,确保授权的透明和不可篡改。细粒度权限管理基于 DID 技术,用户可以设定精细的权限策略,对不同的数据消费者进行差异化授权。可撤销的授权允许用户随时撤销或修改授权,确保对数据的持续控制权。这些应用不仅提高了数据授权过程的安全性和透明度,还增强了用户对数据使用的控制能力,确保数121、据在授权过程中始终符合所有者的意图和规定。5.数据入表场景数据入表场景 数据入表指将外部数据写入本地数据库或系统。利用区块链和 DID 技术,可以确保数据入表的安全性和一致性。在应用方面,数据溯源通过区块链记录数据的来源和变更历史,实现数据的全生命周期溯源,确保数据的真实性和完整性。自动验证在数据入表前,通过智能合约和 DID 技术自动验证数据的合法性和一致性,减少手动审核的工作量。分布式存储结合区块链的分布式存储,确保入表数据的高可用性和抗篡改性。这些应用不仅提高了数据入表过程的安全性和可靠性,还增强了数据管理47 的透明度和效率,确保数据在写入本地系统时的高质量和可信度。6.数据交易场景数据交易场景 数据交易涉及数据的买卖和交换。基于区块链和 DID 技术,可以实现安全、透明的数据交易。在应用方面,智能合约交易通过智能合约自动执行数据交易流程,确保交易的公平和透明。数据确权基于 DID 技术,明确数据的所有权和使用权,防止数据盗用和滥用。隐私保护交易利用隐私计算技术,在数据交易过程中保护数据隐私,实现数据的安全共享和价值利用。这些应用不仅确保了数据交易过程的安全性和透明度,还增强了数据确权和隐私保护能力,促进了数据的安全共享和高效利用,进一步推动了数据经济的发展。