面对庞大复杂的身份和权限管理,企业该怎么办?

面对,庞大,复杂,身份,权限,管理,企业,怎么办 · 浏览次数 : 223

小编点评

**华为云身份和权限管理服务OneAccessOneAccess概述** 随着各领域加速向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战。传统身份和权限管理系统已无法应对,需要采用更高级的解决方案。 **IAM (身份与访问管理) 和 IDaaS (身份即服务) 解决方案** IDaaS是一种云化的身份与访问管理服务,提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理IT系统的帐号和资源权限。 与传统IAM相比,IDaaS具有以下优势: * **成本效益:**IDaaS提供SaaS的成本优势,可处理更大规模、更加复杂的数据。 * **安全性:**IDaaS提供标准化SSO协议支持,支持多种认证方式,确保安全。 * **易用性:**IDaaS易于使用,可与多种应用系统集成。 * **可扩展性:**IDaaS可以根据需求扩展,满足不同企业的不同需求。 **华为云OneAccessOneAccess简介** 华为云OneAccessOneAccess是一款用于企业身份管理和访问管理的云服务。它提供以下功能: * 多源身份管理:支持多个身份源,为上层应用提供一致的身份服务。 * 多维度多粒度的权限管理:提供4种粒度权限管理模型,满足不同需求。 * 认证能力支持多种认证方式,确保安全性。 * 单点登录:支持行业主流的SSO协议,简化用户登录流程。 *跨越企业内网的专属通道:提供云桥云桥服务,在企业内网和OneAccess服务之间建立安全通道。 **OneAccess在云办公场景中的应用** OneAccess可用于云办公场景中,解决以下问题: * 人事事件无法业务协同。 * 安全差:员工使用云办公系统帐号登录后,缺少统一的企业二次认证能力。 * 应用多样,员工使用不便。 **结论** 华为云OneAccessOneAccess是一款可用于企业身份管理和访问管理的云服务,可以有效解决企业信息环境中的身份和权限管理挑战。

正文

摘要:随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战。

本文分享自华为云社区《面对庞大复杂的身份和权限管理,企业该怎么办?》,作者: 华为云PaaS服务小智。

随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战:

  • 应用规模快速增长,存在信息孤岛。各个应用系统的访问入口和帐号孤立分散在各自系统中,缺乏统一的用户管理体系,造成在流程效率、信息安全、风控管理方面存在诸多风险问题。
  • 用户数快速增长,用户维度扩大。用户、组织生命周期管理无统一的IT工具,人工管理低效易错。
  • 用户身份和权限,缺乏统一管理平台。人员流动(离职、转岗等)后帐号和权限无法自动更新状态,造成帐号泄密;无审计日志,帐号操作无法追溯。
  • 信息化发展,认证要求提高。传统的应用系统仅支持静态密码一种认证方式,无法兼顾易用和不同等级应用的安全性。

面对以上挑战,传统的身份和权限管理系统已无法应对,我们可以怎么做呢?这里先给大家介绍IAM和IDaaS,这两个与身份和权限管理系统息息相关的概念。

什么是IAM和IDaaS

IAM(Identity and Access Management的缩写),即“身份与访问管理”,它提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理IT系统的帐号和资源权限,传统的IAM服务虽然解决了部分身份问题,但是开发效率低,成本浪费严重。

IDaaS(Identity As a Service的缩写),即“身份即服务”,IDaaS=IAM+SaaS,是云计算时代、SaaS服务兴起的产物,是一种云化的身份与访问管理服务,由第三方云服务厂商构建并维护。与传统IAM相比,IDaaS为身份认证带来了SaaS的成本优势,且适配性更强、安全性更高,可处理更大规模、更加复杂的数据。

华为云应用身份管理服务OneAccess

OneAccess是华为云提供的IDaaS服务,是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台,保证合法的用户、以适当的权限访问受信任的的应用系统,并对异常访问行为进行实时预警和有效防范,为企业构建“零信任”的安全架构提供身份基础设施,提供的核心能力如下:

| 多源身份管理

融合客户多个身份源,为上层应用提供一致的身份服务;为帐号提供从注册到注销的全生命周期管理;管理企业内部的组织架构、用户身份,真正实现人与帐号一一对应。

| 多维度多粒度的权限管理

提供4种粒度权限管理模型(平台级、大门级、应用预置级和细粒度)。其中:平台级提供管理员的分权分域管理后台;大门级为普通用户提供访问应用系统的常用权限管理;应用预置级提供应用内置角色的控制能力;细粒度提供应用系统精确到菜单、按钮的控制能力。

| 融合认证能力

支持密码、动态密码OTP、短信验证码、二维码、图形码能力,支持对接指纹、人脸等生物认证系统、CA数字证书;除单一认证方式外,还支持双因素、多因素MFA认证。

| 标准化SSO单点登录

提供行业主流的OAuth、SAML、CAS、OIDC标准协议,同时支持插件代填的方式实现对无接口应用系统的集成。

| 国内领先的预集成能力

支持4种行业标准SSO协议(OAuth、SAML、OIDC、CAS),预集成1050+行业应用,17类社交认证源(含Welink、钉钉、微信、支付宝和QQ等),9个行业身份源(含AD、飞书、SAP等),极大缩短客户的上线时间。

| 提供跨越企业内网的专属通道云桥

云桥是一个应用级安全代理,其目的是在企业内网和OneAccess服务之间建立起一条安全通道,支持OneAccess对接企业内的身份和认证资源(例如:Windows AD),核心优势包括数据安全性、高有用和请求专有性。

OneAccess应用场景

OneAccess支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业,下面以云办公场景为例。

云办公场景下企业往往会面临很多典型问题:

  • 人事事件无法业务协同,安全性差:在每次员工入职、离职、调岗等人事事件发生时,各个应用管理员需分别在各个系统中开通帐号或维护帐号。
  • 缺少统一的企业自认证,安全性差:员工使用云办公系统帐号登录后,缺少统一的企业二次认证能力,信息安全得不到保障。
  • 应用多样,员工使用不便:日常工作中使用了多套应用系统,每人有多个应用系统帐号,既有公有云的SaaS应用,也有本地部署的应用,需要在云办公系统和应用之间来回切换登录。

OneAccess身份访问管理方案是如何解决上述问题的呢?

| 身份全生命周期管理,保障企业信息安全

人员入职、离职、转岗等人事变动,客户只需要维护身份源系统(例如:Windows AD、LDAP等)的人员变化,OneAccess定期同步身份源系统的用户信息,保证人员信息时刻准确,简化企业对人员的管理:

效果示例:

| 通过认证协议对接云办公系统,支持企业员工完成二次认证

企业员工变动频繁,如若不及时更新各个应用系统的帐号,离职人员访问企业内部系统,会造成信息泄露。企业员工登陆云办公系统后,可使用已有的身份源帐号进行企业二次认证,OneAccess支持通过OAuth 2.0等协议与云办公系统完成认证:

以国内某大型电子科技企业案例为例, OneAccess与华为云办公会议系统Welink集成,解决客户基础业务能力,包括身份管理、应用集成、单点登录、云办公等服务,效果如下:

| 提供单点登录,串接所有应用系统,统一应用权限管理

企业应用系统通过标准SSO协议集成到OneAccess,利用OneAccess的单点登录能力,做到一个帐号,一次认证,登录所有应用系统;将云办公系统作为认证源集成到OneAccess后,员工就可以在云办公系统中免密登录所有企业应用系统;利用OneAccess的应用权限管理,自动控制员工对应用系统的访问权限,减少企业管理员的维护成本:

以上述大型电子科技企业客户为例,效果如下:

OneAccess已助力多个客户完成了身份访问管理、云办公的建设,帮助客户实现了降本增效,同时保证了企业身份安全性以及办公效率,有助于客户品牌形象的进一步提升,推动企业数字化转型以及信息安全。

目前OneAccess已上架华为云国内站,想了解更多信息,点击链接,立即体验!

 

点击关注,第一时间了解华为云新鲜技术~

与面对庞大复杂的身份和权限管理,企业该怎么办?相似的内容:

面对庞大复杂的身份和权限管理,企业该怎么办?

摘要:随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战。 本文分享自华为云社区《面对庞大复杂的身份和权限管理,企业该怎么办?》,作者: 华为云PaaS服务小智。 随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限

火山引擎ByteHouse:OLAP如何支持超高QPS点查?

更多技术交流、求职机会,欢迎关注字节跳动数据平台微信公众号,回复【1】进入官方交流群 在当今高速发展的互联网时代,信息传播迅速,用户数量激增。在面对如此庞大的用户群体和高频的访问需求时,系统高并发访问的性能问题成为了无法回避的挑战。为了满足业务场景中对数据并发查询的即时性和准确性要求,越来越多的企业

面对百度的无期徒刑,幸好还有微软的必应

昨天我们通过【i博客园】公众号发布文章 被百度降权的经历:没有百度的日子,是百度给的无期徒刑 时发现,百度不但没有回心转意,反而对园子的处罚更加严厉了,博客主站(www域名)的新发内容一天内0收录。 而在去年9月21日我们完全解除对百度蜘蛛的屏蔽后(详见博文),9月25日那天一天内的百度收录有20页

[转帖]面对龙芯3A5000的逼迫,3A4000要为生存抗争!

https://baijiahao.baidu.com/s?id=1709233817860985518&wfr=spider&for=pc 龙芯3A5000是龙芯中科自主设计的最新型号桌面CPU,比上一代3A4000提升了50%的性能。本人通过真机实测,印证了3A5000无论是单核性能还是多核性能

Spring Cloud Gateway编码实现任意地址跳转

面对同样的客户端请求,SpringCloud Gateway可以转发给不同的服务去处理,掌握这个技能,让请求从微服务入口处被掌控,被调度

跑AI大模型的K8s与普通K8s有什么不同?

在面对大模型AI火热的当下,咱们从程序员三大件“计算、存储、网络”出发,一起看看这种跑大模型AI的K8s与普通的K8s有什么区别?有哪些底层就可以构筑AI竞争的地方。

『手写Mybatis』实现映射器的注册和使用

前言 如何面对复杂系统的设计? 我们可以把 Spring、MyBatis、Dubbo 这样的大型框架或者一些公司内部的较核心的项目,都可以称为复杂的系统。 这样的工程也不在是初学编程手里的玩具项目,没有所谓的 CRUD,更多时候要面对的都是对系统分层的结构设计和聚合逻辑功能的实现,再通过层层转换进行

生产事故-误删文件开发运维险被同时开除

入职多年,面对生产环境,尽管都是小心翼翼,慎之又慎,还是难免捅出篓子。轻则满头大汗,面红耳赤。重则系统停摆,损失资金。每一个生产事故的背后,都是宝贵的经验和教训,都是项目成员的血泪史。为了更好地防范和遏制今后的各类事故,特开此专题,长期更新和记录大大小小的各类事故。有些是亲身经历,有些是经人耳传口授

实际上手体验maven面对冲突Jar包的加载规则

这篇文章主要记录了本次遇到的问题:即maven在面对不同版本的jar包在pom文件中同时声明会存在加载覆盖的问题,于是通过查询网上相关资料对maven包的加载规则介绍,并通过实际场景对其进行分析验证

迷茫中翻滚

最近真的是忙疯了,面对着裁员和失业浪潮,我和别人走的是不同的路线,同事们其实已经被市场打脸到不行!什么情怀 人文关怀,企业文化,在现实面前都不值得一击。但是我总是无数次问我自己,当初入行的时候你的初心是什么?成为一个技术超群的程序猿,后来呢?我想着给自己构建了一个蓝图,我要在一家企业一直成长五年,直