IDaaS是云时代的身份和访问管理(IAM),他们之间的关系:IDaaS=SaaS+IAM
IDaaS是一个云服务平台,客户使用提供IDaaS服务相关的产品,例如单点登录,智能多因素认证,来实现云时代所需的既安全又高效的身份和访问管理功能。
一、背景
随着企业业务的发展,组织规模的持续扩大,我们需要借助大量应用系统进行日常的管理运营,其中有本地部署的核心系统,也有公有云部署的SAAS服务,这就构成了相对复杂的IT系统环境,随之而来的问题主要包括:
当前主要面临着以下问题:
1)登录安全的问题
2)账号管理的问题
3)应用权限管理的问题
1.1.登录安全的问题
目前企业信息系统中各业务应用系统主要采用“用户名、口令”的方式来实现对用户的身份表达,各系统身份认证方式全部采用传统的用户名、口令的鉴别方式。用户名、口令的机制很容易由于用户安全意识不强的问题而导致人为泄漏或者被别人猜测成功。从实际情况来看,大量的用户在选取密码方面都非常脆弱,如密码为空、与用户名相同、简单英文单词或汉语拼音、简单数字、某些特定日期(如生日)或电话号码等,这种情况下对账号安全问题的传统解决办法是使用如口令长度控制、定期修改口令控制等等,仍难以对该问题进行有效管控。
把整个信息应用系统的安全性构筑在这样的基础上,显然会带来严重的安全风险问题。因此面对存在多账户、多密码的登录安全问题;并且用户名/口令的身份认证方式已经无法满足企业当前业务安全的需求和合规性要求,企业需要更安全的登录身份认证。
1.2.统一账号管理
目前企业的各信息系统的账号都在各个应用系统中分别进行管理,各部门、分支机构各自管理账号。对账号新建、修改、删除的操作全部由人工在各个系统中分别操作完成。
因为各应用系统中账号和权限管理是分散的,系统管理员需 要在每个系统中创建、维护、注销用户的账号和权限信息,这种账号的管理方式对IT人员依赖很大,员工入职、调岗、离职所引发的账号信息变更和账号回收操作需要IT人员花费很多时间操作,无法完全避免账号错误的修改、账号回收遗漏等意外情况的发生,账号生命周期管理面临极大的失控混乱的风险。因此账号的管理需要自动化的、智能化的解决方案。
1.3.应用权限管理的问题
随着企业的发展,公司的应用系统也越来越多样化和庞大,而绝大多数应用系统都有自己独立的用户管理。其次,公司的机构也不断复杂化,分支机构和部门越来越多,对每个部门、员工开放的应用访问权限也不尽相同的。保证业务系统的安全性防步越权行为,如果不建立完整的应用权限管理,那么一个“非法用户”很可能轻易访问到所有业务系统。
员工入职、调岗、离职需要进行大量的账号授权、收回权限的操作,通常需要较长的时间才能够完成这样的一个流程