【应用安全架构】通过UMM学习身份和访问管理系统
【应用安全架构】通过UMM学习身份和访问管理系统
作为一名 IT 架构师,我被要求向我的客户介绍统一 IT 组件的概念,该组件可以在分布式 IT 环境中管理用户的身份和权限。问题在于,该组件不仅应处理在标准招聘流程中收集的员工数据,还应处理也是系统用户的合作伙伴、承包商和客户。
什么是 CIAM?
随着在线设备 (IoT) 的爆炸式增长以及客户对安全性和隐私的更高期望,公司必须想办法确保他们的客户可以随时通过任何设备安全、安全地使用他们的应用程序或服务。这就是引入客户身份和访问管理 (CIAM) 的地方。CIAM 允许对具有经过验证的身份、安全性和可扩展性的资源进行自适应、客户友好的访问。
Figure 1 CIAM pillars
CIAM 对于需要用户注册身份和创建帐户的面向公众的应用程序是必需的。采用 CIAM 的趋势受到各种用例的推动,包括有针对性的营销以增加收入、对客户进行身份验证以启用单点登录、提供更好的用户体验以及法规遵从性。CIAM 软件可帮助组织安全有效地管理客户数据,包括客户的身份和活动。
有了它,客户不再需要注册帐户或以其他方式提供信息来使用每个品牌接触点(例如应用程序、网站和帮助台门户)。该软件需要提供整个客户群及其物联网环境的单一视图。这样的解决方案鼓励客户更频繁地使用该软件,从而有可能更频繁地销售。
Figure 2 CIAM trends
CIAM 作为面向公众的 IAM
CIAM 作为更大的身份访问管理 (IAM) 概念的一个子集,专注于管理需要访问公司网站、门户网站和电子商务的客户的身份。不是在公司的软件应用程序的每个实例中管理用户帐户,而是在集中式 CIAM 组件中管理身份,从而使身份的重用成为可能。IAM 和 CIAM 的核心功能构建块和协议在身份验证、授权、目录服务和生命周期管理等领域保持不变。另一方面,面向客户的 IAM 需要更灵活的身份验证和更简单的授权模型。并非没有意义的是,更高的可扩展性要求和遵守法规的额外努力,例如管理欧盟用户隐私的 GDPR。
Figure 3 CIAM vs IAM features
CIAM 的主要功能还包括用于注册的自助服务、密码和同意管理、配置文件管理、报告和分析(即用于营销目的)、用于移动应用程序的 API 和 SDK,以及社交身份注册和登录。
全渠道和改善客户体验的想法导致开发可以利用新业务机会的新功能。自适应访问应识别动态标识符,例如客户的位置、设备、IP 地址和其他供应商收集的数据。例如,系统会提示使用新设备登录敏感应用程序的客户进行 MFA。另一方面,使用之前注册的移动设备登录的客户可以使用无密码身份验证,从而提高安全性和可用性。
Gartner 说
CIAM 和其他 IAM 部署之间的重叠继续增长。CIAM 用例越来越需要身份生命周期等重要 IAM 要求,以对抗恶意攻击者。审计、报告和控制分析对于将 CIAM 部署与组织的安全和 DevOps 流程紧密联系起来也很重要。此外,围绕集成 SDK/API 和自助服务的常见 CIAM 要求现在正在用于现代应用程序开发的 IAM 解决方案,以及获得消费者体验期望的员工。CIAM 和 IAM 的这种单一实施可以提供运营效率,并且还应该适应企业及其用户不断变化的需求。
Gartner 在其报告(2019 年)中提供了一系列供应商,这些供应商是面向客户的访问管理解决方案的领导者:Okta、Microsoft、Ping Identity、IBM。
是时候介绍 UMM
受到 UMM 在 Zoetis 案例研究中的鼓励,我决定回顾一下这个不太受欢迎的解决方案,涉及上面列出的市场领导者。我专注于大多数 CIAM 解决方案中引入的众所周知的常见功能。
常见的 CIAM 功能 | 微软 Azure AD B2C | Okta 客户身份 | Ping 客户身份 | BlueSoft UMM |
预定义的 注册表单 | ✓ | ✓ | ✓ | |
自助登记 | ✓ | ✓ | ✓ | ✓ |
密码管理 | ✓ | ✓ | ✓ | ✓ |
SSO | ✓ | ✓ | ✓ | ✓ |
身份联盟 | ✓ | ✓ | PingFederate | ✓ |
角色和组 | Azure AD | ✓ | ✓ | |
MFA | ✓ | ✓ | ✓ | ✓ |
规则和 政策引擎 | ✓ | ✓ | ✓ | ✓ |
同意和 隐私管理 | ✓ | ✓ | ✓ | |
配置文件生 成和管理 | ✓ | ✓ | ✓ | ✓ |
渐进式分析 | ✓ | ✓ | ✓ | |
应用程序的 身份验证 和授权 | ✓ | ✓ | ✓ | ✓ |
通知 | Via RESTful | ✓ | ✓ | ✓ |
身份存储库 | ✓ | ✓ | ✓ | ✓ |
社会身份 注册和登录 | ✓ | ✓ | ✓ | ✓ |
用于移动应用 程序的 API 和 SDK | ✓ | ✓ | ✓ | ✓ |
ETL/批量 数据同步 | ✓ | ✓ | ✓ | |
数字身份证明 | ✓ | ✓ | ✓ | |
报告和分析 | Application Insight | ✓ | ✓ | |
审计/日志管理器 | ✓ | ✓ | ✓ | ✓ |
邀请机制 | as a custom policy | ✓ | ||
OpenID Connect、 OAuth 2.0 和 SAML 支持 | ✓ | ✓ | ✓ | ✓ |
API保护 | ✓ | ✓ | ✓ | ✓ |
交付 | cloud | cloud, on-premises | cloud, on-premises | cloud, on-premises |
根据上表中收集的分析结果,很明显 UMM 解决方案涵盖了所有常见功能。
用户管理模块是经过验证的(至少两个商业用例)、高度可用、易于自适应的 CIAM 解决方案,可以在云以及本地基础设施中交付。允许安全有效地与旧系统集成。拥有广泛的规则引擎可以缩短市场适应业务需求的时间。乍一看,这并不比市场领导者提供的要少,甚至在某些情况下更多。更重要的是,由于丰富的功能组合,它也可以被认为是IAM解决方案,可以带来很多好处。
谢谢大家关注,转发,点赞。
版权声明:本文内容由网络用户投稿,版权归原作者所有,本站不拥有其著作权,亦不承担相应法律责任。如果您发现本站中有涉嫌抄袭或描述失实的内容,请联系我们jiasou666@gmail.com 处理,核实后本网站将在24小时内删除侵权内容。
发表评论
暂时没有评论,来抢沙发吧~