在云計(jì)算與移動(dòng)技術(shù)的快速興起，企業(yè)的IT環(huán)境越來(lái)越復(fù)雜，網(wǎng)絡(luò)邊界正在模糊；使用應(yīng)用系統(tǒng)的用戶(hù)身份邊界也無(wú)法單一的確定；急需要一個(gè)基于云的統(tǒng)一身份管理平臺(tái)（IDaaS）。IDaaS在移動(dòng)辦公、SaaS服務(wù)、PaaS平臺(tái)逐步興起并有大規(guī)模應(yīng)用后必然的產(chǎn)物。企業(yè)正在逐步接受云和移動(dòng)技術(shù)，企業(yè)需要在超越傳統(tǒng)的網(wǎng)絡(luò)邊界和傳統(tǒng)身份和訪問(wèn)管理（IAM）解決方案的能力。

什么是IDaaS?

IDaaS（Identity as a Service）身份即服務(wù)，可以理解為SaaS+IAM基于SaaS服務(wù)的云身份認(rèn)證服務(wù)平臺(tái)；

Gartner給IDaaS的定義是“管理、賬戶(hù)配置、認(rèn)證與以及報(bào)告等功能的結(jié)合”。基于云端的IAM能夠同時(shí)管理SaaS應(yīng)用和內(nèi)部應(yīng)用。

Gartner指出，IAM云安全服務(wù)的主要增長(zhǎng)動(dòng)力來(lái)自中小企業(yè)的日益增長(zhǎng)的需求，包括擴(kuò)展基礎(chǔ)IAM功能，為越來(lái)越多的訪問(wèn)SaaS應(yīng)用和內(nèi)部web應(yīng)用的員工提供服務(wù)。越來(lái)越多的中小企業(yè)開(kāi)始部署IAM云服務(wù)取代原來(lái)的內(nèi)部部署的IAM工具，而大企業(yè)則傾向以混合云和內(nèi)部部署的方式使用IAM。

Gartner表示，IDaas的核心方面是：

IGA：為用戶(hù)提供云應(yīng)用和密碼重置功能。

Access：標(biāo)準(zhǔn)的用戶(hù)身份驗(yàn)證、單點(diǎn)登錄和，支持標(biāo)準(zhǔn)的聯(lián)邦認(rèn)證協(xié)議（SAML，OIDC 等）。

Intelligence：身份訪問(wèn)日志監(jiān)視和報(bào)告。

IDaaS有什么優(yōu)點(diǎn)?

IDaaS的一個(gè)主要優(yōu)勢(shì)是節(jié)約成本。使用諸如微軟AD、IBM、TIM、TAM之類(lèi)的軟件在企業(yè)本地部署可能會(huì)帶來(lái)很多成本。您的團(tuán)隊(duì)必須維護(hù)服務(wù)器，購(gòu)買(mǎi)、升級(jí)和安裝軟件，定期備份數(shù)據(jù)，支付托管費(fèi)，監(jiān)控本地額外的地盤(pán)以確保網(wǎng)絡(luò)安全，設(shè)置VPN，等等。

有了IDaaS，訂閱費(fèi)和管理工作的成本就大幅度降低。

除了節(jié)省開(kāi)支，IDaaS的其他優(yōu)點(diǎn)還包括改進(jìn)的網(wǎng)絡(luò)安全和節(jié)省的時(shí)間，登錄速度更快，密碼重置更少。無(wú)論用戶(hù)是從機(jī)場(chǎng)的開(kāi)放WiFi登錄，還是從辦公室的辦公桌登錄，整個(gè)過(guò)程都是無(wú)縫和安全的。安全性的提高可以防止公司面臨可能會(huì)其業(yè)務(wù)的攻擊或漏洞。以及應(yīng)對(duì)企業(yè)未來(lái)業(yè)務(wù)快速增長(zhǎng)的而對(duì)IAM服務(wù)的吞吐量的極速增加，對(duì)新技術(shù)的跟進(jìn)，以及隨時(shí)出現(xiàn)的各種系統(tǒng)安全事件，都交給專(zhuān)業(yè)的IDaaS服務(wù)商來(lái)完成。

IDaaS應(yīng)用場(chǎng)景和挑戰(zhàn)

微服務(wù)架構(gòu)

以微服務(wù)架構(gòu)IDaas，可以集成CI/CD進(jìn)行快速迭代，在產(chǎn)品版本發(fā)布引入灰度發(fā)布對(duì)關(guān)鍵業(yè)務(wù)模塊的發(fā)布進(jìn)行小規(guī)模試運(yùn)行，并且功適應(yīng)能服務(wù)業(yè)務(wù)急劇增長(zhǎng)，可以單獨(dú)擴(kuò)展該服務(wù)；比如登錄量突然增長(zhǎng)，只需要擴(kuò)展SSO服務(wù)，而不需要擴(kuò)展所有的服務(wù)。

面向消費(fèi)者身份認(rèn)證

為服務(wù)主體客戶(hù)群體為消費(fèi)者的應(yīng)用提供IDaaS服務(wù)，有如下特點(diǎn)：

1. 用戶(hù)量巨大，或者億級(jí)用戶(hù)數(shù)。

2. 用戶(hù)注冊(cè)簡(jiǎn)單，用戶(hù)提供盡量少的用戶(hù)數(shù)據(jù)，即可注冊(cè)成功。

3. 用戶(hù)登錄操作的便利性，提供豐富的身份認(rèn)證方式，如人臉、指紋、短信、聲紋、電信三因素，F(xiàn)IDO等等。

4. 與互聯(lián)網(wǎng)服務(wù)深度集成，提供互聯(lián)網(wǎng)頭部應(yīng)用提供作為第三方認(rèn)證，如微信、QQ、支付寶、淘寶、微博、抖音，等等，與微信小程序、釘釘小程序內(nèi)部應(yīng)用無(wú)縫集成的能力。

5. 用戶(hù)重復(fù)注冊(cè)智能識(shí)別，低頻攻擊識(shí)別，有效用戶(hù)智能識(shí)別。

6. 同一個(gè)用戶(hù)可以重復(fù)存在于不同應(yīng)用中，并能提供用戶(hù)關(guān)聯(lián)的能力。

7. 用戶(hù)操作行為的海量數(shù)據(jù)審計(jì)能力，基于大數(shù)據(jù)下的用戶(hù)行為分析能力。

8. 互聯(lián)網(wǎng)用戶(hù)分析能力，如分類(lèi)、聚合、用戶(hù)畫(huà)像等。

9. 需要保證7×24小時(shí)的可用。

10. *、、雙11，突發(fā)事件等各種對(duì)登錄過(guò)程的突然爆發(fā)，需要秒級(jí)的服務(wù)快速擴(kuò)充。

11. 灰度發(fā)布，緩存降級(jí)限流。

面向雇員身份認(rèn)證

為服務(wù)主體群體為本企業(yè)雇員的應(yīng)用提供IDaaS服務(wù)，有如下特點(diǎn)：

1. 用戶(hù)組織架構(gòu)復(fù)雜，不同應(yīng)用沒(méi)有統(tǒng)一的組織架構(gòu)。

2. 用戶(hù)角色崗位復(fù)雜，存在角色過(guò)量分配，崗位交織兼崗、兼職情況眾多，臨時(shí)分配臨時(shí)回收各種權(quán)限。

3. 用戶(hù)登錄操作的便利性，提供豐富的身份認(rèn)證方式，如人臉，指紋，短信，聲紋，電信三因素，F(xiàn)IDO等等。

4. 與互聯(lián)網(wǎng)服務(wù)深度集成，提供互聯(lián)網(wǎng)頭部應(yīng)用提供作為第三方認(rèn)證，如微信、QQ、支付寶、淘寶、微博、抖音，等等，與微信小程序、釘釘小程序內(nèi)部應(yīng)用無(wú)縫集成的能力。

5. 用戶(hù)重復(fù)注冊(cè)智能識(shí)別，低頻攻擊識(shí)別，有效用戶(hù)智能識(shí)別。

6. 同一個(gè)用戶(hù)可以重復(fù)存在于不同應(yīng)用中，并能提供用戶(hù)關(guān)聯(lián)的能力。

7. 用戶(hù)操作行為的海量數(shù)據(jù)審計(jì)能力，基于大數(shù)據(jù)下的用戶(hù)行為分析能力。

8. 互聯(lián)網(wǎng)用戶(hù)分析能力，如分類(lèi)、聚合、用戶(hù)畫(huà)像等。

9. 能提供入職、離職、調(diào)崗、兼職、退休全業(yè)務(wù)生命流程。

10. 化集團(tuán)公司，訪問(wèn)能力，多認(rèn)證中心聯(lián)邦認(rèn)證能力。

面向供應(yīng)商身份認(rèn)證

為服務(wù)主體群體為供應(yīng)商的應(yīng)用提供IDaaS服務(wù)，有如下特點(diǎn)：

1. 供應(yīng)商用戶(hù)數(shù)量眾多，供應(yīng)商變化頻率高。

2. 供應(yīng)商人員離職率高。

3. 供應(yīng)商權(quán)限控制嚴(yán)格。

4. 供應(yīng)商網(wǎng)絡(luò)復(fù)雜，可以?xún)?nèi)網(wǎng)訪問(wèn)，可以從外網(wǎng)直接訪問(wèn)或通過(guò)VPN訪問(wèn)。

5. 分配賬號(hào)控制困難，怎么控制賬號(hào)密碼共享使用。

6. 供應(yīng)商僵尸賬號(hào)控制，離職人員賬號(hào)控制，權(quán)限變更控制。

面向物聯(lián)網(wǎng)身份認(rèn)證

為服務(wù)主體群體為物聯(lián)網(wǎng)的應(yīng)用提供IDaaS服務(wù)，有如下特點(diǎn)：

1. 物聯(lián)網(wǎng)設(shè)備數(shù)量極大，增速極快。

2. 物聯(lián)網(wǎng)設(shè)備網(wǎng)絡(luò)帶寬不穩(wěn)定，網(wǎng)速慢。

3. 物聯(lián)網(wǎng)設(shè)備操作系統(tǒng)異構(gòu)類(lèi)型眾多，系統(tǒng)計(jì)算能力有限。

4. 物聯(lián)網(wǎng)設(shè)備本身安全防護(hù)能力弱，容易被強(qiáng)行刷機(jī)。

5. 物聯(lián)網(wǎng)設(shè)備分配ID，不可偽造，不可篡改。

6. 聯(lián)通的物聯(lián)網(wǎng)網(wǎng)關(guān)聯(lián)通，認(rèn)證，鑒權(quán)能力。

7. 低電量設(shè)備，無(wú)系統(tǒng)設(shè)備提供設(shè)備影子，統(tǒng)一管理。

8. 設(shè)備與第三方服務(wù)器通訊加密、認(rèn)證、鑒權(quán)。

派拉IDaaS產(chǎn)品及方案

派拉軟件的統(tǒng)一身份管理平臺(tái)從2008年持續(xù)進(jìn)行研發(fā)，2016年從單體應(yīng)用整體過(guò)度到微服務(wù)架構(gòu)，長(zhǎng)期對(duì)身份管理業(yè)務(wù)和微服務(wù)架構(gòu)理念進(jìn)行深入研究。業(yè)界全微服務(wù)架構(gòu)下的身份管理平臺(tái)。2015年開(kāi)始進(jìn)入SaaS平臺(tái)下的IDaaS研發(fā)，2018年統(tǒng)一了IDaaS與微服務(wù)架構(gòu)發(fā)布了派拉CIC產(chǎn)品，全面支持各種身份場(chǎng)景的應(yīng)用，并支持公有云PaaS平臺(tái)部署，混合云部署，私有云部署。都已經(jīng)有成熟的運(yùn)行案例。

下面是派拉CIC整體IDaaS的微服務(wù)架構(gòu)，以在阿里云上部署的架構(gòu)為例：

1. 底層組件采用PaaS平臺(tái)提供的高可用服務(wù)，如負(fù)載均衡組件、OSS存儲(chǔ)、Mysql、Redis、Kubernetes 集群；

2. 微服務(wù)網(wǎng)關(guān)前置，提供認(rèn)證、鑒權(quán)、多租戶(hù)、微服務(wù)負(fù)載均衡；

3. 底層服務(wù)以API方式提供服務(wù)，全docker化部署，實(shí)現(xiàn)秒級(jí)服務(wù)擴(kuò)容。

其中物聯(lián)網(wǎng)身份認(rèn)證整體方案如下：

1. 提供物聯(lián)網(wǎng)設(shè)備整體方案。

2. 提供安全通訊整體方案，統(tǒng)一的物聯(lián)網(wǎng)網(wǎng)關(guān)方案。

3. 提供安全證書(shū)，安全密鑰，安全I(xiàn)D的整理管理方案。

從根本上說(shuō)，云提供了節(jié)約、效率和專(zhuān)業(yè)知識(shí)。與網(wǎng)絡(luò)安全、監(jiān)控、電子郵件、搜索等一樣，身份也可以移動(dòng)到云端。

派拉通過(guò)數(shù)十年在身份認(rèn)證領(lǐng)域的耕耘，非常了解企業(yè)在統(tǒng)一身份管理中的流程及痛點(diǎn)，派拉CIC不僅提供云端IDaaS和本地化部署方式，還提供混合部署方案，可以云端IDaaS與本地化IAM打通，可以針對(duì)化辦公環(huán)境多中心打通，可以基于物聯(lián)網(wǎng)設(shè)備把設(shè)備提供商和服務(wù)提供商打通，根據(jù)不同的服務(wù)主體化選擇不同方案，為用戶(hù)提供快速、安全、高效的統(tǒng)一身份管理服務(wù)。無(wú)縫集成跨地域、跨網(wǎng)絡(luò)、跨應(yīng)用、跨系統(tǒng)的統(tǒng)一身份管理服務(wù)。