应用身份服务(IDaaS)是一个集中式身份管理服务,为政企客户提供统一的应用门户、用户目录、单点登录、集中授权、以及行为审计等中台服务。 IDaaS 支持 SAML、OIDC、CAS 等常见身份联邦协议,也可以与钉钉通讯录、AD、HR 系统等身份源打通,做到统一的身份权限管理和应用访问控制。
应用身份服务(IDaaS)产品优势
支持多种账户源
支持多种账户数据源,如AD、LDAP、以及任何提供SCIM标准API的应用,可快速导入企业既有账户体系。
应用预集成
预集成了市面上常见的公有云服务,并可对接阿里云RAM。
丰富的认证协议
支持SAML、OIDC、OAuth、CAS等所有主流标准单点登录协议,对于未支持标准协议的应用,也支持采用API、SDK、密码代填等方式进行快速集成。
为企业降本增效
以公有云服务方式提供,开箱即用,企业无需自身运维,极大降低运维成本;为开发者提供便于集成的API,可避免多个系统中身份认证和账户管理的重复建设,节约大量研发成本。
应用身份服务(IDaaS)应用场景
1、企业应用单点登录
帮助企业建立专有门户
企业的员工、合作伙伴以及客户,都可以通过IDaaS提供的统一门户,一键访问所有被授权的应用。
能够解决
分散的登录地址及密码管理问题
企业引入的应用系统逐年增加,用户需要记住越来越多的地址和密码,容易导致工作效率降低,新应用推广困难等问题。同时用户在管理多个密码时常用的一些对策如统一密码、规律化密码等,也带来了更多安全风险,给攻击者以可乘之机。
2、统一用户目录
提供云原生的目录服务
为企业信息化建设提供唯一的用户身份数据,以及集中的账户生命周期管理,有更新自动向下游同步,无限扩展,永久在线。
能够解决
解决员工账户信息孤岛、管理遗漏问题
企业多个应用系统之间由于开发隔离带来的信息孤岛问题,导致员工入职、转岗时流程繁杂耗时,离职后账户权限回收不彻底等问题。
额外的研发与运维成本
企业本地部署目录服务,需要投入大量的运维资源,并需定期申请授权以便扩容;同时各个应用系统对账户管理的重复建设,又带来新的研发和维护成本。
3、统一身份认证
提供统一的多因素认证中心
可集中配置多种密码以外的认证因子,包括动态令牌、证书、人脸、指纹等生物特征。可集成多种常见第三方认证源。同时提供开发者API,支持其他应用使用IDaaS的身份认证能力。
能够解决
密码脆弱性带来的安全问题
使用单一的密码认证已经被证实是非常危险的做法,由于密码泄漏导致用户信息甚至资产被盗的例子数不胜数。同时用户为了便于记忆,常常在密码中加入一些固定规律,这使得攻击者通过撞库破解的成功率大大提升。
4、集中访问授权
提供可视化的集中授权能力
可根据用户名或者用户所在部门授权其可访问的范围,做到一次配置,全局生效。
能够解决
分散的授权管理问题
在多个应用系统中管理访问授权,需要根据组织架构和人员变动,及时调整各个相关系统的授权,实际操作中容易产生遗漏和失误;同时在多个系统中管理授权会产生额外的成本,但并不会带来业务收入。
5、统一行为审计
帮助管理者随时了解用户行为以及资产使用情况
详细记录了用户所有行为及管理员操作,并形成可视化报表,让管理者随时掌握企业数字资产的使用情况。
能够解决
分散的审计日志问题
整合不同应用的登录日志是一件困难的任务,这让管理者对整个企业的数字资产使用情况如同雾里看花,甚至需要额外的研发投入才能做到;同时员工、供应商以及客户在多个系统上行为也难以统合观察,影响管理者进行快速的判断和决策。