OneAccess | 面對龐大復(fù)雜的身份和權(quán)限管理，企業(yè)該怎么辦？

隨著各領(lǐng)域加快向數(shù)字化、移動化、互聯(lián)網(wǎng)化的發(fā)展，企業(yè)信息環(huán)境變得龐大復(fù)雜，身份和權(quán)限管理面臨巨大的挑戰(zhàn)：

__應(yīng)用規(guī)?？焖僭鲩L，存在信息孤島。__各個應(yīng)用系統(tǒng)的訪問入口和帳號孤立分散在各自系統(tǒng)中，缺乏統(tǒng)一的用戶管理體系，造成在流程效率、信息安全、風(fēng)控管理方面存在諸多風(fēng)險問題。

__用戶數(shù)快速增長，用戶維度擴(kuò)大。__用戶、組織生命周期管理無統(tǒng)一的IT工具，人工管理低效易錯。

__用戶身份和權(quán)限，缺乏統(tǒng)一管理平臺。__人員流動（離職、轉(zhuǎn)崗等）后帳號和權(quán)限無法自動更新狀態(tài)，造成帳號泄密；無審計日志，帳號操作無法追溯。

__信息化發(fā)展，認(rèn)證要求提高。__傳統(tǒng)的應(yīng)用系統(tǒng)僅支持靜態(tài)密碼一種認(rèn)證方式，無法兼顧易用和不同等級應(yīng)用的安全性。

面對以上挑戰(zhàn)，傳統(tǒng)的身份和權(quán)限管理系統(tǒng)已無法應(yīng)對，我們可以怎么做呢？這里先給大家介紹IAM和IDaaS，這兩個與身份和權(quán)限管理系統(tǒng)息息相關(guān)的概念。

什么是IAM和IDaaS

IAM （Identity and Access Management的縮寫）， 即“身份與訪問管理” ，它提供單點登錄、認(rèn)證管理、集中的授權(quán)和審計，幫助企業(yè)安全、高效地管理IT系統(tǒng)的帳號和資源權(quán)限，傳統(tǒng)的IAM服務(wù)雖然解決了部分身份問題，但是__開發(fā)效率低，成本浪費嚴(yán)重__。

IDaaS （Identity As a Service的縮寫）， 即“身份即服務(wù)” ，IDaaS=IAM+SaaS，是云計算時代、SaaS服務(wù)興起的產(chǎn)物，是一種云化的身份與訪問管理服務(wù)，由第三方云服務(wù)廠商構(gòu)建并維護(hù)。與傳統(tǒng)IAM相比，IDaaS為身份認(rèn)證帶來了SaaS的__成本優(yōu)勢__，且__適配性更強(qiáng)、安全性更高，可處理更大規(guī)模、更加復(fù)雜的數(shù)據(jù)。__

華為云應(yīng)用身份管理服務(wù)OneAccess

OneAccess是華為云提供的IDaaS服務(wù) ，是貫穿企業(yè)業(yè)務(wù)流程的身份訪問管理系統(tǒng)。提供集中式的身份管理、認(rèn)證、授權(quán)、監(jiān)控和審計平臺，保證合法的用戶、以適當(dāng)?shù)臋?quán)限訪問受信任的的應(yīng)用系統(tǒng)，并對異常訪問行為進(jìn)行實時預(yù)警和有效防范，為企業(yè)構(gòu)建“零信任”的安全架構(gòu)提供身份基礎(chǔ)設(shè)施，提供的核心能力如下：

多源身份管理

融合客戶多個身份源，為上層應(yīng)用提供一致的身份服務(wù)；為帳號提供從注冊到注銷的全生命周期管理；管理企業(yè)內(nèi)部的組織架構(gòu)、用戶身份，真正實現(xiàn)人與帳號一一對應(yīng)。

多維度多粒度的權(quán)限管理

提供4種粒度權(quán)限管理模型（平臺級、大門級、應(yīng)用預(yù)置級和細(xì)粒度）。其中：平臺級提供管理員的分權(quán)分域管理后臺；大門級為普通用戶提供訪問應(yīng)用系統(tǒng)的常用權(quán)限管理；應(yīng)用預(yù)置級提供應(yīng)用內(nèi)置角色的控制能力；細(xì)粒度提供應(yīng)用系統(tǒng)精確到菜單、按鈕的控制能力。

融合認(rèn)證能力

支持密碼、動態(tài)密碼OTP、短信驗證碼、二維碼、圖形碼能力，支持對接指紋、人臉等生物認(rèn)證系統(tǒng)、CA數(shù)字證書；除單一認(rèn)證方式外，還支持雙因素、多因素MFA認(rèn)證。

標(biāo)準(zhǔn)化SSO單點登錄

提供行業(yè)主流的OAuth、SAML、CAS、OIDC標(biāo)準(zhǔn)協(xié)議，同時支持插件代填的方式實現(xiàn)對無接口應(yīng)用系統(tǒng)的集成。

國內(nèi)領(lǐng)先的預(yù)集成能力

支持4種行業(yè)標(biāo)準(zhǔn)SSO協(xié)議（OAuth、SAML、OIDC、CAS），預(yù)集成1050+行業(yè)應(yīng)用，17類社交認(rèn)證源（含Welink、釘釘、微信、支付寶和QQ等），9個行業(yè)身份源（含AD、飛書、SAP等），極大縮短客戶的上線時間。

提供跨越企業(yè)內(nèi)網(wǎng)的專屬通道云橋

云橋是一個應(yīng)用級安全代理，其目的是在企業(yè)內(nèi)網(wǎng)和OneAccess服務(wù)之間建立起一條安全通道，支持OneAccess對接企業(yè)內(nèi)的身份和認(rèn)證資源（例如：Windows AD），核心優(yōu)勢包括數(shù)據(jù)安全性、高有用和請求專有性。

OneAccess應(yīng)用場景

OneAccess支持云辦公、智慧園區(qū)、智慧城市、智慧交通、金融和教育等多個解決方案和典型行業(yè)，下面以云辦公場景為例。

云辦公場景下企業(yè)往往會面臨很多典型問題：

• __人事事件無法業(yè)務(wù)協(xié)同，安全性差：__在每次員工入職、離職、調(diào)崗等人事事件發(fā)生時，各個應(yīng)用管理員需分別在各個系統(tǒng)中開通帳號或維護(hù)帳號。
• __缺少統(tǒng)一的企業(yè)自認(rèn)證，安全性差：__員工使用云辦公系統(tǒng)帳號登錄后，缺少統(tǒng)一的企業(yè)二次認(rèn)證能力，信息安全得不到保障。
• __應(yīng)用多樣，員工使用不便：__日常工作中使用了多套應(yīng)用系統(tǒng)，每人有多個應(yīng)用系統(tǒng)帳號，既有公有云的SaaS應(yīng)用，也有本地部署的應(yīng)用，需要在云辦公系統(tǒng)和應(yīng)用之間來回切換登錄。

OneAccess身份訪問管理方案是如何解決上述問題的呢？

身份全生命周期管理，保障企業(yè)信息安全

人員入職、離職、轉(zhuǎn)崗等人事變動，客戶只需要維護(hù)身份源系統(tǒng)（例如：Windows AD、LDAP等）的人員變化，OneAccess定期同步身份源系統(tǒng)的用戶信息，保證人員信息時刻準(zhǔn)確，簡化企業(yè)對人員的管理：

效果示例：

通過認(rèn)證協(xié)議對接云辦公系統(tǒng)，支持企業(yè)員工完成二次認(rèn)證

企業(yè)員工變動頻繁，如若不及時更新各個應(yīng)用系統(tǒng)的帳號，離職人員訪問企業(yè)內(nèi)部系統(tǒng)，會造成信息泄露。企業(yè)員工登陸云辦公系統(tǒng)后，可使用已有的身份源帳號進(jìn)行企業(yè)二次認(rèn)證，OneAccess支持通過OAuth 2.0等協(xié)議與云辦公系統(tǒng)完成認(rèn)證：

以國內(nèi)某大型電子科技企業(yè)案例為例, OneAccess與華為云辦公會議系統(tǒng)Welink集成，解決客戶基礎(chǔ)業(yè)務(wù)能力，包括身份管理、應(yīng)用集成、單點登錄、云辦公等服務(wù)，效果如下：

提供單點登錄，串接所有應(yīng)用系統(tǒng)，統(tǒng)一應(yīng)用權(quán)限管理

企業(yè)應(yīng)用系統(tǒng)通過標(biāo)準(zhǔn)SSO協(xié)議集成到OneAccess，利用OneAccess的單點登錄能力，做到一個帳號，一次認(rèn)證，登錄所有應(yīng)用系統(tǒng)；將云辦公系統(tǒng)作為認(rèn)證源集成到OneAccess后，員工就可以在云辦公系統(tǒng)中免密登錄所有企業(yè)應(yīng)用系統(tǒng)；利用OneAccess的應(yīng)用權(quán)限管理，自動控制員工對應(yīng)用系統(tǒng)的訪問權(quán)限，減少企業(yè)管理員的維護(hù)成本：

以上述大型電子科技企業(yè)客戶為例，效果如下：

OneAccess__已助力多個客戶完成了身份訪問管理、云辦公的建設(shè)，幫助客戶實現(xiàn)了__降本增效 ，同時__保證了企業(yè)身份安全性以及辦公效率__，有助于客戶品牌形象的進(jìn)一步提升，推動企業(yè)數(shù)字化轉(zhuǎn)型以及信息安全。

審核編輯 黃昊宇