一文讀懂“身份編排”技術(shù)，破解多云時(shí)代身份安全管理難題

數(shù)字化轉(zhuǎn)型浪潮中，企業(yè)紛紛擁抱云計(jì)算、SaaS應(yīng)用、遠(yuǎn)程辦公，但隨之而來(lái)的卻是身份管理的“一地雞毛”：?jiǎn)T工需記憶數(shù)十個(gè)賬號(hào)密碼、IT部門(mén)疲于應(yīng)對(duì)權(quán)限混亂、安全漏洞頻發(fā)……

據(jù)統(tǒng)計(jì)，平均每個(gè)業(yè)務(wù)部門(mén)要使用87個(gè)不同的SaaS應(yīng)用。這些應(yīng)用程序通常都有自己的身份管理系統(tǒng)，有的還無(wú)法隨時(shí)相互集成，形成“身份孤島”，既拖累效率，又體驗(yàn)不佳，甚至還埋下了安全隱患。

這無(wú)論是對(duì)于普通用戶(hù)，還是IT管理員，無(wú)疑都是在增加工作負(fù)擔(dān)：

作為用戶(hù)，我們并不想考慮后臺(tái)發(fā)生了什么。我們只希望在訪問(wèn)應(yīng)用程序時(shí)，記憶一個(gè)賬號(hào)密碼，就可以獲得安全、無(wú)縫的登錄體驗(yàn)，無(wú)論它們是位于本地還是云上。

作為IT管理員，我們不想花時(shí)間編寫(xiě)代碼來(lái)集成身份供應(yīng)商、數(shù)據(jù)庫(kù)......我們只想盡快設(shè)計(jì)、測(cè)試和部署高效流暢的用戶(hù)體驗(yàn)，而無(wú)需請(qǐng)求高技能開(kāi)發(fā)人員的幫助。

身份編排使所有這些成為可能！

01

什么是身份編排？

身份編排是一種基于標(biāo)準(zhǔn)的新型軟件方法，用于管理分布式身份和訪問(wèn)控制管理 (IAM)，協(xié)調(diào)不同?份系統(tǒng)間的?份數(shù)據(jù)和策略。

借助身份編排，企業(yè)可以跨云和本地集成多個(gè)身份系統(tǒng)或提供商，并在無(wú)需編寫(xiě)自定義代碼或腳本的基礎(chǔ)上，創(chuàng)建統(tǒng)一、簡(jiǎn)化并自動(dòng)化執(zhí)行的身份管理工作流程。

例如，當(dāng)新員工加入公司時(shí)，他們通常需要訪問(wèn)許多系統(tǒng)。若手動(dòng)為每個(gè)系統(tǒng)配置訪問(wèn)權(quán)限耗時(shí)耗力且易出錯(cuò)。如果員工轉(zhuǎn)崗、離職，又需及時(shí)調(diào)整訪問(wèn)權(quán)限配置。

此時(shí)，若采用身份編排，即可在可視化基礎(chǔ)上，從頭到尾規(guī)劃并自動(dòng)化用戶(hù)旅程全流程，快速簡(jiǎn)化身份和訪問(wèn)管理，降低安全漏洞風(fēng)險(xiǎn)，確保遵守法規(guī)，并通過(guò)提供對(duì)所需資源的無(wú)縫訪問(wèn)來(lái)增強(qiáng)用戶(hù)體驗(yàn)。

整個(gè)流程設(shè)計(jì)過(guò)程中，IT管理員無(wú)需知道如何編寫(xiě)代碼，即可優(yōu)化這些流程或創(chuàng)建新流程。管理員可直接采用系統(tǒng)自帶的流程模板，也可根據(jù)需求從頭開(kāi)始構(gòu)建流程。

構(gòu)建過(guò)程中，只需將各個(gè)節(jié)點(diǎn)拖放到畫(huà)布上，配置流程，測(cè)試它，然后繼續(xù)修改，直到滿(mǎn)意為止。

02

身份編排與IAM的關(guān)系？

從上述介紹，我們可以看出IAM與身份編排之間的差異:

IAM是解決企業(yè)應(yīng)用系統(tǒng)身份信息孤島問(wèn)題，連接并管理企業(yè)一個(gè)或多個(gè)域內(nèi)的應(yīng)用系統(tǒng)身份和權(quán)限信息的解決方案；

身份編排則是解決企業(yè)存在多個(gè)身份管理平臺(tái)導(dǎo)致的跨域身份孤島問(wèn)題的解決方案。

它可以幫助企業(yè)將身份治理擴(kuò)展到任何應(yīng)用程序（包括第三方應(yīng)用程序、移動(dòng)設(shè)備等），并在本地、混合云和 SaaS 部署的不同環(huán)境中提供無(wú)縫、無(wú)摩擦的用戶(hù)體驗(yàn)。

Gartner認(rèn)為身份編排是IAM基礎(chǔ)設(shè)施的演進(jìn)，具有獨(dú)特的特征。IAM 基礎(chǔ)設(shè)施必須滿(mǎn)足一組最低能力要求才能成為身份編排。具體表現(xiàn)為以下10條身份編排原則：

03

身份編排如何運(yùn)作？

例如，身份編排通過(guò)抽象層，將授權(quán)和身份驗(yàn)證過(guò)程從應(yīng)用程序中外部化。然后，這些應(yīng)用程序可以與任何身份系統(tǒng)或服務(wù)集成，且無(wú)需更改應(yīng)用程序代碼或修改配置。

身份編排會(huì)將登錄請(qǐng)求路由到不同的并發(fā)身份提供商，或從各種身份存儲(chǔ)中查找、檢索用戶(hù)屬性、組和其他身份數(shù)據(jù)，并確保身份管理的各個(gè)步驟按正確的順序進(jìn)行。

它通過(guò)將身份系統(tǒng)集成并按特定順序?qū)λ鼈儓?zhí)行特定操作，為用戶(hù)創(chuàng)建運(yùn)行時(shí)身份訪問(wèn)流，并控制從用戶(hù)流開(kāi)始到結(jié)束的訪問(wèn)全過(guò)程。

換句話說(shuō)，身份編排如同企業(yè)IAM的“智能交通指揮中心”：

04

身份編排應(yīng)用場(chǎng)景

實(shí)際應(yīng)用中，身份編排技術(shù)更多地側(cè)重于解決復(fù)雜的身份管理環(huán)境中的整合與協(xié)調(diào)問(wèn)題。適用于企業(yè)擁有多個(gè)身份管理系統(tǒng)、多種身份驗(yàn)證機(jī)制以及復(fù)雜的權(quán)限管理需求的場(chǎng)景。

例如，在大型企業(yè)合并或收購(gòu)后，需要整合不同公司原有的身份管理體系，這時(shí)身份編排就可以發(fā)揮作用，將這些不同的身份“碎片”整合為一個(gè)整體；

又或者全球性企業(yè)，在不同國(guó)家區(qū)域有各自本地化部署的IAM系統(tǒng)。通過(guò)身份編排技術(shù)，可以幫助企業(yè)快速統(tǒng)管統(tǒng)控集團(tuán)的用戶(hù)中心、認(rèn)證中心、授權(quán)中心，確保用戶(hù)從不同區(qū)域登錄得到一致體驗(yàn)，并從合規(guī)要求進(jìn)行統(tǒng)一認(rèn)證編排，助力企業(yè)以集團(tuán)視角對(duì)所有數(shù)字化業(yè)務(wù)可視、可管、可控。

此外，身份編排在對(duì)舊應(yīng)用程序身份進(jìn)行現(xiàn)代化改造、部署無(wú)密碼/多因素身份驗(yàn)證、強(qiáng)制授權(quán)以及管理復(fù)雜的場(chǎng)景中，也是大有可為。它可以幫助企業(yè)組織在不改變?cè)械南到y(tǒng)架構(gòu)基礎(chǔ)上，實(shí)現(xiàn)低成本的身份與訪問(wèn)控制管理能力升級(jí)。

尤其是在SaaS應(yīng)用、企業(yè)上云的大趨勢(shì)背景下，幫助企業(yè)將云身份功能擴(kuò)展到本地應(yīng)用程序。通過(guò)與大多數(shù) IDP 和身份服務(wù)配合使用，以保護(hù)云和本地應(yīng)用程序。在將工作負(fù)載從傳統(tǒng)身份提供商遷移到云時(shí)，還可以幫助企業(yè)組織“遷移和改進(jìn)”。

05

你的企業(yè)采用身份編排技術(shù)了嗎？

從本質(zhì)上講，身份與應(yīng)用程序緊密耦合，因此很難將它們與它們所在的身份服務(wù)區(qū)分開(kāi)來(lái)。

而身份編排技術(shù)通過(guò)抽象層將應(yīng)用程序與身份分離，在無(wú)需更改用戶(hù)訪問(wèn)體驗(yàn)、重寫(xiě)任何代碼或在多個(gè)身份系統(tǒng)中重新創(chuàng)建訪問(wèn)策略的基礎(chǔ)上，幫助企業(yè)采取一致的身份與訪問(wèn)管理策略、現(xiàn)代化/遷移到云、增強(qiáng)網(wǎng)絡(luò)安全和身份彈性等。

想象一下，企業(yè)無(wú)需重寫(xiě)代碼即可對(duì)任何應(yīng)用程序（包括本地、云上等）進(jìn)行現(xiàn)代化改造和保護(hù)，并使用領(lǐng)先的身份管理工具。這些釋放出來(lái)的資源可以做什么？

數(shù)智化的今天，你的企業(yè)是時(shí)候了解身份編排技術(shù)了。更多有關(guān)身份編排解決方案與成功案例，歡迎在線咨詢(xún)！