 |
  |
|
|
|
| 位置:门别网 › 卖家论坛 › 爆款技术 › 帖子 |
|
menbie.com 等级: / 门别币:979450 |
| 发表:2021/4/30 18:00:54 查看:4 回复:0 次 | |
业务系统账号密码太多?玉符科技提供单点登录方案 |
|
【亿邦动力讯】对我们每个人来说,无论是线上娱乐还是线上工作,都离不开密码。密码(以及验证码)的作用是身份认证,以确保“我”是“我”,以及“我”有权限访问特定的内容。
每个人都有可能忘记密码,对一个企业或者组织来说,应用系统越来越多,身份认证管理则更为复杂。
想象一个场景,公司新人小A入职,IT运维同事需要为其开通企业微信、绩效系统、CRM系统、公司内网云盘等等十数个账号,如果小A在每个应用上设置不同的高强度密码,可能每天都奔波在“找回密码”的路上,IT运维同事也要花费大量时间处理密码重置请求。
如果为了方便记忆,小A给每个应用设置了同样的密码,或者使用本地记录、浏览器记录的方式保存密码,则会给企业安全造成隐患,一旦密码泄露,企业资料可能被窃取。
为了解决这一问题,lDaaS(Identity as a Service)应运而生。IDaaS厂商提供标准化的身份认证管理产品,集成市面上主流的应用系统和企业本地/自研的应用,提供单点登录能力。员工可以免密安全连接,当账号状态发生变化时,系统可自动创建或删除账户的相应权限,实现“一键入职”、“一键离职”。
目前,国内的IDaaS厂商有玉符科技、竹云、泰拉、九州云腾等,玉符科技和九州云腾面向企业云端应用,泰拉和竹云则主要针对企业本地应用。
其中,玉符科技已经累计获得上亿元融资,投资方包括峰瑞资本、经纬中国和晨兴资本。2020年6月5日,玉符科技与腾讯云达成战略合作,共建“千帆计划”的IDaaS平台,双方联合研发身份治理服务“千帆玉符”,以便终端客户通过一个账号购买和集成多种SaaS服务。
日前,玉符科技CEO石扬接受采访,分享了他对国内企业对于lDaaS需求的看法,以及满足此需求的产品逻辑。
数十个企业应用“单点登录”
C端和B端的身份认证是完全不同的概念。石扬介绍,C端更强调个人凭证是否能够登陆某一个应用,而B端的身份更多考量你属于哪家公司,在哪个部门,处在什么职级。
比如,一家公司的销售部门在使用某一应用时,身份认证并没有个人的影子,只要有销售员这一角色才能使用某一应用。
中国企业应用正在从传统的本地部署(包括定制化开发的应用)向产品化、云端化的应用转型,现在很多企业既有本地部署的应用,也有云端的应用,还有自研的应用,那么,如何处理不同人员在不同组织架构之间的同步及人员之间的权限分配就是一个非常复杂的问题。
在权限管理上,很多企业有单点OA系统,这套OA系统有一个通讯管护系统,用一套用户密码就能登录所有的业务系统。
图源:知乎官网
过去,多数企业的服务都分布在本地,并不需要真正安全有效的单点登录,因为VPN(虚拟专用网络)就是最大的防护,只要登录VPN就进入了内网,隔离了99%的危险因素。但当越来越多的企业选择把一部分系统变成SaaS或者把很大一部分应用部署到像腾讯云这样的云端服务上时,VPN则不能完全覆盖住内部的安全问题。
因此,对于单点登录的需求就变成了必须有一个非常安全的单点登录的机制,而不是像传统方式中用一个用户名和密码就能解决,如果所有系统都用同一个用户名和密码,只要一个系统被攻破,那么,其他系统也就会被攻破。
真正安全的方式是选择一个中央认证,无论哪一个业务系统登录,都需要得到中心管理系统的授权。
以腾讯为例,腾讯有数百甚至上千个各式各样的应用(相对小一点的公司,也有10到50个左右),管理员人数有限,此时,建立一个正确的权限管理模式非常困难。因为对于用户来讲,管理员知道规则,却没办法记住所有人的权限。在这种情况下,需要一个中心化的身份帮助管理员应对和调整规则,而不是对应地管理每一个人。
“比如我们会直接为客户提供一套完备的身份,来和下游的第三方应用进行对接,让第三方的单点登录可以直接发生在我们的服务器上,帮助其做认证。”石扬介绍,客户可以选择如微软或腾讯作为他的认证源,也可以联合起来使用,一部分人用AD,一部分人用企业微信,都可以快速有效地帮助客户上架应用。
低代码开发应对企业管理结构调整
石扬提到,在企业组织架构同步问题上,中国市场与美国有一些差别,中国的企业应用里,无论是企业微信还是钉钉,打开就能看到谁向谁汇报,但美国不同,美国企业的组织架构靠的是决策,只关注员工本身的身份。比如知道一个三级销售在做什么事情,把这个信息同步到同一个业务系统就够了。
中国的管理模式相对垂直,所有系统都是围绕一个核心,因此,这个组织架构的同步是一件非常难的事情。
在这样的大背景下,玉符科技通过成立一个企业的主数据系统,把整个组织架构依托在它的目录中,这个目录就像电话通讯录一样,能够帮助企业存储通讯信息,同时允许企业自定义它的管理逻辑。
“我们没有办法提前替客户去决定如何去同步他的组织架构,多数情况下,都是客户自己决定。”石扬介绍,这其中面临的最大的问题是开发量,因为当企业的业务发生调整,所有的逻辑都要发生改变。
比如以前的管理逻辑是按大区划分,半年后,企业发现不合理,要改成按照部门划分。那么,这个变更意味着要重新开发,而如果采用以往纯写代码的方式开发,周期大概是几个月甚至半年、一年之久才能完全落地。
因此,玉符科技要做的就是提供一套可视化、低代码化的平台,帮助企业根据其需求快速调整。
在安全层面,玉符科技的方式是让安全前置,靠API(操作系统留给应用程序的一个调用接口)登录,让每次验证都发生在正确的时间和正确的地点。这样做的目的是让安全看得见摸得着,因为在过去,只要不出事就是安全的,出了事再找解决办法,这是滞后的。
同时,玉符科技也可以通过和企业微信、钉钉的联动来满足客户在不同场景下对于认证的需求。
比如,一个员工每天都是早上10点到11点之间到单位登录系统,突然有一天发现在早上9点到了单位登陆了系统。那么,系统会自动分析你的风险操作,再推送一个邮件到领导手里,告诉领导该员工做的这件事情可能有风险。
所有感知型预警及AI、大数据分析,通过用户行为分析可以帮助客户更早的感知潜在危险的发生,来满足中国客户在这些场景下和他们还没有意识到的场景下的需求。
云时代的IDaaS要兼顾安全和效率
IDC(市场研究公司)对IDaaS有两个定义,一个是身份和访问管理(IAM) 对企业整体的安全性至关重要,另一个是SaaS时代的效率和安全严重依赖于身份和访问管理(IAM),当这两个趋势相结合时,就衍生出了一个队“身份即服务”的需求,也就是IDaaS。
身份和访问管理,用一句话来概述就是:在正确的时间,以正确的理由,给予正确的人员访问正确的资源的权利。这个过程包含了三个重要的步骤:身份、认证、授权。云时代的IDaaS对安全和效率提出了同样重要的要求。
玉符科技IDaaS允许用户用一套用户密码,统一登录到企业所在的云端、手机端或本地部署的企业服务上面,所有授权都发生在企业内网,而安全相关的用户信息被锁在家里。同时,玉符科技的IDaaS能够帮助企业设定不同的安全策略,通过物理地址、用户分组、IP地址、设备、用户行为,用户的安全级别以及不同应用的安全级别来动态指定用户是否需要进行二次验证,让安全看得见摸得着。
但从宏观层面来看,玉符科技和国内其他企业一样,都要面临建设周期长、成本高的挑战。建设周期长是因为企业需要对所有IT资源进行梳理,包括设备、数据库、应用系统甚至服务器,并且需要根据企业的业务流程和安全防护要求构建新的访问控制策略。如果企业资产规模庞大,业务流程庞大,业务流程服务,整个零信任模型的周期就特别长。
成本高是因为目前国内市场上没有出现成熟的零信任解决方案,已经实施零信任的企业大部分是基于定制化开发实现的,在对原有网络环境进行升级改造的基础上,进一步对身份认证和权限管理进行细粒度的管控,这些都会增加企业的IT运维成本。
同时,石扬强调,相较于美国,中国的To B市场还处在很早的转型期,目前还没有统一的标准,也没有国外的Oracle或微软去引领这个标准。相较于美国的统一,中国的To B市场相对分散,这也意味着还有很多工作要做。
目前,国内的To B大多处于亏损状态,根本原因在于客单价本身的问题。大型企业有安全上的顾虑,甚至包括预算考虑,而小企业买SaaS更多愿意按人头算。因此,中国To B市场的发展要重塑行业对这个价值的认知,而这也还有很长一段路要走。
注:文/杨丽,微信号yangliyanglicute,关注产业互联网新技术和新模式,欢迎交流!
 |
| 内容违规投诉举报请联系在线客服QQ:278336453 |
| 今日最新卖家热点 |
|
更多内容>> |
| 下载APP客户端,随时随地上门别,方便卖家网店交易 |
| 话题回复 |
| 1 首 页 |
 微信扫一扫,纯粹电商人微信交流群,欢迎加入 |
