OneAccess | 面對龐大復雜的身份和權限管理，企業該怎么辦？

隨著各領域加快向數字化、移動化、互聯網化的發展，企業信息環境變得龐大復雜，身份和權限管理面臨巨大的挑戰：

__應用規模快速增長，存在信息孤島。__各個應用系統的訪問入口和帳號孤立分散在各自系統中，缺乏統一的用戶管理體系，造成在流程效率、信息安全、風控管理方面存在諸多風險問題。

__用戶數快速增長，用戶維度擴大。__用戶、組織生命周期管理無統一的IT工具，人工管理低效易錯。

__用戶身份和權限，缺乏統一管理平臺。__人員流動（離職、轉崗等）后帳號和權限無法自動更新狀態，造成帳號泄密；無審計日志，帳號操作無法追溯。

__信息化發展，認證要求提高。__傳統的應用系統僅支持靜態密碼一種認證方式，無法兼顧易用和不同等級應用的安全性。

面對以上挑戰，傳統的身份和權限管理系統已無法應對，我們可以怎么做呢？這里先給大家介紹IAM和IDaaS，這兩個與身份和權限管理系統息息相關的概念。

什么是IAM和IDaaS

IAM （Identity and Access Management的縮寫）， 即“身份與訪問管理” ，它提供單點登錄、認證管理、集中的授權和審計，幫助企業安全、高效地管理IT系統的帳號和資源權限，傳統的IAM服務雖然解決了部分身份問題，但是__開發效率低，成本浪費嚴重__。

IDaaS （Identity As a Service的縮寫）， 即“身份即服務” ，IDaaS=IAM+SaaS，是云計算時代、SaaS服務興起的產物，是一種云化的身份與訪問管理服務，由第三方云服務廠商構建并維護。與傳統IAM相比，IDaaS為身份認證帶來了SaaS的__成本優勢__，且__適配性更強、安全性更高，可處理更大規模、更加復雜的數據。__

華為云應用身份管理服務OneAccess

OneAccess是華為云提供的IDaaS服務 ，是貫穿企業業務流程的身份訪問管理系統。提供集中式的身份管理、認證、授權、監控和審計平臺，保證合法的用戶、以適當的權限訪問受信任的的應用系統，并對異常訪問行為進行實時預警和有效防范，為企業構建“零信任”的安全架構提供身份基礎設施，提供的核心能力如下：

多源身份管理

融合客戶多個身份源，為上層應用提供一致的身份服務；為帳號提供從注冊到注銷的全生命周期管理；管理企業內部的組織架構、用戶身份，真正實現人與帳號一一對應。

多維度多粒度的權限管理

提供4種粒度權限管理模型（平臺級、大門級、應用預置級和細粒度）。其中：平臺級提供管理員的分權分域管理后臺；大門級為普通用戶提供訪問應用系統的常用權限管理；應用預置級提供應用內置角色的控制能力；細粒度提供應用系統精確到菜單、按鈕的控制能力。

融合認證能力

支持密碼、動態密碼OTP、短信驗證碼、二維碼、圖形碼能力，支持對接指紋、人臉等生物認證系統、CA數字證書；除單一認證方式外，還支持雙因素、多因素MFA認證。

標準化SSO單點登錄

提供行業主流的OAuth、SAML、CAS、OIDC標準協議，同時支持插件代填的方式實現對無接口應用系統的集成。

國內領先的預集成能力

支持4種行業標準SSO協議（OAuth、SAML、OIDC、CAS），預集成1050+行業應用，17類社交認證源（含Welink、釘釘、微信、支付寶和QQ等），9個行業身份源（含AD、飛書、SAP等），極大縮短客戶的上線時間。

提供跨越企業內網的專屬通道云橋

云橋是一個應用級安全代理，其目的是在企業內網和OneAccess服務之間建立起一條安全通道，支持OneAccess對接企業內的身份和認證資源（例如：Windows AD），核心優勢包括數據安全性、高有用和請求專有性。

OneAccess應用場景

OneAccess支持云辦公、智慧園區、智慧城市、智慧交通、金融和教育等多個解決方案和典型行業，下面以云辦公場景為例。

云辦公場景下企業往往會面臨很多典型問題：

• __人事事件無法業務協同，安全性差：__在每次員工入職、離職、調崗等人事事件發生時，各個應用管理員需分別在各個系統中開通帳號或維護帳號。
• __缺少統一的企業自認證，安全性差：__員工使用云辦公系統帳號登錄后，缺少統一的企業二次認證能力，信息安全得不到保障。
• __應用多樣，員工使用不便：__日常工作中使用了多套應用系統，每人有多個應用系統帳號，既有公有云的SaaS應用，也有本地部署的應用，需要在云辦公系統和應用之間來回切換登錄。

OneAccess身份訪問管理方案是如何解決上述問題的呢？

身份全生命周期管理，保障企業信息安全

人員入職、離職、轉崗等人事變動，客戶只需要維護身份源系統（例如：Windows AD、LDAP等）的人員變化，OneAccess定期同步身份源系統的用戶信息，保證人員信息時刻準確，簡化企業對人員的管理：

效果示例：

通過認證協議對接云辦公系統，支持企業員工完成二次認證

企業員工變動頻繁，如若不及時更新各個應用系統的帳號，離職人員訪問企業內部系統，會造成信息泄露。企業員工登陸云辦公系統后，可使用已有的身份源帳號進行企業二次認證，OneAccess支持通過OAuth 2.0等協議與云辦公系統完成認證：

以國內某大型電子科技企業案例為例, OneAccess與華為云辦公會議系統Welink集成，解決客戶基礎業務能力，包括身份管理、應用集成、單點登錄、云辦公等服務，效果如下：

提供單點登錄，串接所有應用系統，統一應用權限管理

企業應用系統通過標準SSO協議集成到OneAccess，利用OneAccess的單點登錄能力，做到一個帳號，一次認證，登錄所有應用系統；將云辦公系統作為認證源集成到OneAccess后，員工就可以在云辦公系統中免密登錄所有企業應用系統；利用OneAccess的應用權限管理，自動控制員工對應用系統的訪問權限，減少企業管理員的維護成本：

以上述大型電子科技企業客戶為例，效果如下：

OneAccess__已助力多個客戶完成了身份訪問管理、云辦公的建設，幫助客戶實現了__降本增效 ，同時__保證了企業身份安全性以及辦公效率__，有助于客戶品牌形象的進一步提升，推動企業數字化轉型以及信息安全。

審核編輯 黃昊宇