OneAccess | 面對(duì)龐大復(fù)雜的身份和權(quán)限管理,企業(yè)該怎么辦?
隨著各領(lǐng)域加快向數(shù)字化、移動(dòng)化、互聯(lián)網(wǎng)化的發(fā)展,企業(yè)信息環(huán)境變得龐大復(fù)雜,身份和權(quán)限管理面臨巨大的挑戰(zhàn):
__應(yīng)用規(guī)模快速增長(zhǎng),存在信息孤島。__各個(gè)應(yīng)用系統(tǒng)的訪問(wèn)入口和帳號(hào)孤立分散在各自系統(tǒng)中,缺乏統(tǒng)一的用戶管理體系,造成在流程效率、信息安全、風(fēng)控管理方面存在諸多風(fēng)險(xiǎn)問(wèn)題。
__用戶數(shù)快速增長(zhǎng),用戶維度擴(kuò)大。__用戶、組織生命周期管理無(wú)統(tǒng)一的IT工具,人工管理低效易錯(cuò)。
__用戶身份和權(quán)限,缺乏統(tǒng)一管理平臺(tái)。__人員流動(dòng)(離職、轉(zhuǎn)崗等)后帳號(hào)和權(quán)限無(wú)法自動(dòng)更新狀態(tài),造成帳號(hào)泄密;無(wú)審計(jì)日志,帳號(hào)操作無(wú)法追溯。
__信息化發(fā)展,認(rèn)證要求提高。__傳統(tǒng)的應(yīng)用系統(tǒng)僅支持靜態(tài)密碼一種認(rèn)證方式,無(wú)法兼顧易用和不同等級(jí)應(yīng)用的安全性。
面對(duì)以上挑戰(zhàn),傳統(tǒng)的身份和權(quán)限管理系統(tǒng)已無(wú)法應(yīng)對(duì),我們可以怎么做呢?這里先給大家介紹IAM和IDaaS,這兩個(gè)與身份和權(quán)限管理系統(tǒng)息息相關(guān)的概念。
什么是IAM和IDaaS
IAM (Identity and Access Management的縮寫), 即“身份與訪問(wèn)管理” ,它提供單點(diǎn)登錄、認(rèn)證管理、集中的授權(quán)和審計(jì),幫助企業(yè)安全、高效地管理IT系統(tǒng)的帳號(hào)和資源權(quán)限,傳統(tǒng)的IAM服務(wù)雖然解決了部分身份問(wèn)題,但是__開發(fā)效率低,成本浪費(fèi)嚴(yán)重__。
IDaaS (Identity As a Service的縮寫), 即“身份即服務(wù)” ,IDaaS=IAM+SaaS,是云計(jì)算時(shí)代、SaaS服務(wù)興起的產(chǎn)物,是一種云化的身份與訪問(wèn)管理服務(wù),由第三方云服務(wù)廠商構(gòu)建并維護(hù)。與傳統(tǒng)IAM相比,IDaaS為身份認(rèn)證帶來(lái)了SaaS的__成本優(yōu)勢(shì)__,且__適配性更強(qiáng)、安全性更高,可處理更大規(guī)模、更加復(fù)雜的數(shù)據(jù)。__
華為云應(yīng)用身份管理服務(wù)OneAccess
OneAccess是華為云提供的IDaaS服務(wù) ,是貫穿企業(yè)業(yè)務(wù)流程的身份訪問(wèn)管理系統(tǒng)。提供集中式的身份管理、認(rèn)證、授權(quán)、監(jiān)控和審計(jì)平臺(tái),保證合法的用戶、以適當(dāng)?shù)臋?quán)限訪問(wèn)受信任的的應(yīng)用系統(tǒng),并對(duì)異常訪問(wèn)行為進(jìn)行實(shí)時(shí)預(yù)警和有效防范,為企業(yè)構(gòu)建“零信任”的安全架構(gòu)提供身份基礎(chǔ)設(shè)施,提供的核心能力如下:
多源身份管理
融合客戶多個(gè)身份源,為上層應(yīng)用提供一致的身份服務(wù);為帳號(hào)提供從注冊(cè)到注銷的全生命周期管理;管理企業(yè)內(nèi)部的組織架構(gòu)、用戶身份,真正實(shí)現(xiàn)人與帳號(hào)一一對(duì)應(yīng)。
多維度多粒度的權(quán)限管理
提供4種粒度權(quán)限管理模型(平臺(tái)級(jí)、大門級(jí)、應(yīng)用預(yù)置級(jí)和細(xì)粒度)。其中:平臺(tái)級(jí)提供管理員的分權(quán)分域管理后臺(tái);大門級(jí)為普通用戶提供訪問(wèn)應(yīng)用系統(tǒng)的常用權(quán)限管理;應(yīng)用預(yù)置級(jí)提供應(yīng)用內(nèi)置角色的控制能力;細(xì)粒度提供應(yīng)用系統(tǒng)精確到菜單、按鈕的控制能力。
融合認(rèn)證能力
支持密碼、動(dòng)態(tài)密碼OTP、短信驗(yàn)證碼、二維碼、圖形碼能力,支持對(duì)接指紋、人臉等生物認(rèn)證系統(tǒng)、CA數(shù)字證書;除單一認(rèn)證方式外,還支持雙因素、多因素MFA認(rèn)證。
標(biāo)準(zhǔn)化SSO單點(diǎn)登錄
提供行業(yè)主流的OAuth、SAML、CAS、OIDC標(biāo)準(zhǔn)協(xié)議,同時(shí)支持插件代填的方式實(shí)現(xiàn)對(duì)無(wú)接口應(yīng)用系統(tǒng)的集成。
國(guó)內(nèi)領(lǐng)先的預(yù)集成能力
支持4種行業(yè)標(biāo)準(zhǔn)SSO協(xié)議(OAuth、SAML、OIDC、CAS),預(yù)集成1050+行業(yè)應(yīng)用,17類社交認(rèn)證源(含Welink、釘釘、微信、支付寶和QQ等),9個(gè)行業(yè)身份源(含AD、飛書、SAP等),極大縮短客戶的上線時(shí)間。
提供跨越企業(yè)內(nèi)網(wǎng)的專屬通道云橋
云橋是一個(gè)應(yīng)用級(jí)安全代理,其目的是在企業(yè)內(nèi)網(wǎng)和OneAccess服務(wù)之間建立起一條安全通道,支持OneAccess對(duì)接企業(yè)內(nèi)的身份和認(rèn)證資源(例如:Windows AD),核心優(yōu)勢(shì)包括數(shù)據(jù)安全性、高有用和請(qǐng)求專有性。
OneAccess應(yīng)用場(chǎng)景
OneAccess支持云辦公、智慧園區(qū)、智慧城市、智慧交通、金融和教育等多個(gè)解決方案和典型行業(yè),下面以云辦公場(chǎng)景為例。
云辦公場(chǎng)景下企業(yè)往往會(huì)面臨很多典型問(wèn)題:
- __人事事件無(wú)法業(yè)務(wù)協(xié)同,安全性差:__在每次員工入職、離職、調(diào)崗等人事事件發(fā)生時(shí),各個(gè)應(yīng)用管理員需分別在各個(gè)系統(tǒng)中開通帳號(hào)或維護(hù)帳號(hào)。
- __缺少統(tǒng)一的企業(yè)自認(rèn)證,安全性差:__員工使用云辦公系統(tǒng)帳號(hào)登錄后,缺少統(tǒng)一的企業(yè)二次認(rèn)證能力,信息安全得不到保障。
- __應(yīng)用多樣,員工使用不便:__日常工作中使用了多套應(yīng)用系統(tǒng),每人有多個(gè)應(yīng)用系統(tǒng)帳號(hào),既有公有云的SaaS應(yīng)用,也有本地部署的應(yīng)用,需要在云辦公系統(tǒng)和應(yīng)用之間來(lái)回切換登錄。
OneAccess身份訪問(wèn)管理方案是如何解決上述問(wèn)題的呢?
身份全生命周期管理,保障企業(yè)信息安全
人員入職、離職、轉(zhuǎn)崗等人事變動(dòng),客戶只需要維護(hù)身份源系統(tǒng)(例如:Windows AD、LDAP等)的人員變化,OneAccess定期同步身份源系統(tǒng)的用戶信息,保證人員信息時(shí)刻準(zhǔn)確,簡(jiǎn)化企業(yè)對(duì)人員的管理:
效果示例:
通過(guò)認(rèn)證協(xié)議對(duì)接云辦公系統(tǒng),支持企業(yè)員工完成二次認(rèn)證
企業(yè)員工變動(dòng)頻繁,如若不及時(shí)更新各個(gè)應(yīng)用系統(tǒng)的帳號(hào),離職人員訪問(wèn)企業(yè)內(nèi)部系統(tǒng),會(huì)造成信息泄露。企業(yè)員工登陸云辦公系統(tǒng)后,可使用已有的身份源帳號(hào)進(jìn)行企業(yè)二次認(rèn)證,OneAccess支持通過(guò)OAuth 2.0等協(xié)議與云辦公系統(tǒng)完成認(rèn)證:
以國(guó)內(nèi)某大型電子科技企業(yè)案例為例, OneAccess與華為云辦公會(huì)議系統(tǒng)Welink集成,解決客戶基礎(chǔ)業(yè)務(wù)能力,包括身份管理、應(yīng)用集成、單點(diǎn)登錄、云辦公等服務(wù),效果如下:
提供單點(diǎn)登錄,串接所有應(yīng)用系統(tǒng),統(tǒng)一應(yīng)用權(quán)限管理
企業(yè)應(yīng)用系統(tǒng)通過(guò)標(biāo)準(zhǔn)SSO協(xié)議集成到OneAccess,利用OneAccess的單點(diǎn)登錄能力,做到一個(gè)帳號(hào),一次認(rèn)證,登錄所有應(yīng)用系統(tǒng);將云辦公系統(tǒng)作為認(rèn)證源集成到OneAccess后,員工就可以在云辦公系統(tǒng)中免密登錄所有企業(yè)應(yīng)用系統(tǒng);利用OneAccess的應(yīng)用權(quán)限管理,自動(dòng)控制員工對(duì)應(yīng)用系統(tǒng)的訪問(wèn)權(quán)限,減少企業(yè)管理員的維護(hù)成本:
以上述大型電子科技企業(yè)客戶為例,效果如下:
OneAccess__已助力多個(gè)客戶完成了身份訪問(wèn)管理、云辦公的建設(shè),幫助客戶實(shí)現(xiàn)了__降本增效 ,同時(shí)__保證了企業(yè)身份安全性以及辦公效率__,有助于客戶品牌形象的進(jìn)一步提升,推動(dòng)企業(yè)數(shù)字化轉(zhuǎn)型以及信息安全。
審核編輯 黃昊宇
-
華為云
+關(guān)注
關(guān)注
3文章
2832瀏覽量
19250
發(fā)布評(píng)論請(qǐng)先 登錄
芯盾時(shí)代助力深圳港集團(tuán)構(gòu)建用戶身份與訪問(wèn)管理平臺(tái)
IC卡在人員管理中的應(yīng)用
電能質(zhì)量在線監(jiān)測(cè)裝置的權(quán)限管理如何保障數(shù)據(jù)安全?
電能質(zhì)量在線監(jiān)測(cè)裝置支持多賬號(hào)權(quán)限管理嗎?
芯盾時(shí)代中標(biāo)南光集團(tuán)身份管理與訪問(wèn)控制系統(tǒng)項(xiàng)目
人臉識(shí)別身份核驗(yàn)終端卡頓死機(jī)怎么辦?看這篇就夠了
芯盾時(shí)代構(gòu)建全場(chǎng)景覆蓋的身份管理產(chǎn)品矩陣
當(dāng)NUC505 USBD設(shè)置為全速模式,主機(jī)發(fā)送“SET REPORT”命令但未正常檢測(cè)到 NUC505 該怎么辦?
技術(shù)文章 | Ubuntu權(quán)限管理攻略
芯盾時(shí)代助力中電港構(gòu)建身份安全防護(hù)體系
芯盾時(shí)代助力企業(yè)身份與訪問(wèn)管理進(jìn)入智能新時(shí)代
芯盾時(shí)代全場(chǎng)景身份治理解決方案助力企業(yè)提升業(yè)務(wù)安全
Linux權(quán)限管理基礎(chǔ)入門
設(shè)備管理系統(tǒng)新范式:區(qū)塊鏈存證+動(dòng)態(tài)權(quán)限管理
OneAccess | 面對(duì)龐大復(fù)雜的身份和權(quán)限管理,企業(yè)該怎么辦?
評(píng)論