首页 > 其他分享 >OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?

时间:2022-12-29 17:03:57浏览次数:41  
标签:帐号 系统 认证 OneAccess 应用 权限 身份 庞大

OneAccess |面对庞大复杂的身份和权限管理,企业该怎么办?

随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战:

应用规模快速增长,存在信息孤岛。各个应用系统的访问入口和帐号孤立分散在各自系统中,缺乏统一的用户管理体系,造成在流程效率、信息安全、风控管理方面存在诸多风险问题。

用户数快速增长,用户维度扩大。用户、组织生命周期管理无统一的IT工具,人工管理低效易错。

用户身份和权限,缺乏统一管理平台。人员流动(离职、转岗等)后帐号和权限无法自动更新状态,造成帐号泄密;无审计日志,帐号操作无法追溯。

信息化发展,认证要求提高。传统的应用系统仅支持静态密码一种认证方式,无法兼顾易用和不同等级应用的安全性。

面对以上挑战,传统的身份和权限管理系统已无法应对,我们可以怎么做呢?这里先给大家介绍IAM和IDaaS,这两个与身份和权限管理系统息息相关的概念。

什么是IAM和IDaaS

IAM(Identity and Access Management的缩写),即“身份与访问管理”,它提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理IT系统的帐号和资源权限,传统的IAM服务虽然解决了部分身份问题,但是开发效率低,成本浪费严重

IDaaS(Identity As a Service的缩写),即“身份即服务”,IDaaS=IAM+SaaS,是云计算时代、SaaS服务兴起的产物,是一种云化的身份与访问管理服务,由第三方云服务厂商构建并维护。与传统IAM相比,IDaaS为身份认证带来了SaaS的成本优势,且适配性更强、安全性更高,可处理更大规模、更加复杂的数据。

华为云应用身份管理服务OneAccess

OneAccess是华为云提供的IDaaS服务,是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台,保证合法的用户、以适当的权限访问受信任的的应用系统,并对异常访问行为进行实时预警和有效防范,为企业构建“零信任”的安全架构提供身份基础设施,提供的核心能力如下:

多源身份管理

融合客户多个身份源,为上层应用提供一致的身份服务;为帐号提供从注册到注销的全生命周期管理;管理企业内部的组织架构、用户身份,真正实现人与帐号一一对应。

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理

多维度多粒度的权限管理

提供4种粒度权限管理模型(平台级、大门级、应用预置级和细粒度)。其中:平台级提供管理员的分权分域管理后台;大门级为普通用户提供访问应用系统的常用权限管理;应用预置级提供应用内置角色的控制能力;细粒度提供应用系统精确到菜单、按钮的控制能力。

融合认证能力

支持密码、动态密码OTP、短信验证码、二维码、图形码能力,支持对接指纹、人脸等生物认证系统、CA数字证书;除单一认证方式外,还支持双因素、多因素MFA认证。

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_02

标准化SSO单点登录

提供行业主流的OAuth、SAML、CAS、OIDC标准协议,同时支持插件代填的方式实现对无接口应用系统的集成。

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_03

国内领先的预集成能力

支持4种行业标准SSO协议(OAuth、SAML、OIDC、CAS),预集成1050+行业应用,17类社交认证源(含Welink、钉钉、微信、支付宝和QQ等),9个行业身份源(含AD、飞书、SAP等),极大缩短客户的上线时间。

提供跨越企业内网的专属通道云桥

云桥是一个应用级安全代理,其目的是在企业内网和OneAccess服务之间建立起一条安全通道,支持OneAccess对接企业内的身份和认证资源(例如:Windows AD),核心优势包括数据安全性、高有用和请求专有性。

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_单点登录_04

OneAccess应用场景

OneAccess支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业,下面以云办公场景为例。

云办公场景下企业往往会面临很多典型问题:

· 人事事件无法业务协同,安全性差:在每次员工入职、离职、调岗等人事事件发生时,各个应用管理员需分别在各个系统中开通帐号或维护帐号。

· 缺少统一的企业自认证,安全性差:员工使用云办公系统帐号登录后,缺少统一的企业二次认证能力,信息安全得不到保障。

· 应用多样,员工使用不便:日常工作中使用了多套应用系统,每人有多个应用系统帐号,既有公有云的SaaS应用,也有本地部署的应用,需要在云办公系统和应用之间来回切换登录。

OneAccess身份访问管理方案是如何解决上述问题的呢?

身份全生命周期管理,保障企业信息安全

人员入职、离职、转岗等人事变动,客户只需要维护身份源系统(例如:Windows AD、LDAP等)的人员变化,OneAccess定期同步身份源系统的用户信息,保证人员信息时刻准确,简化企业对人员的管理:

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_05

效果示例:

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_06

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_07

通过认证协议对接云办公系统,支持企业员工完成二次认证

企业员工变动频繁,如若不及时更新各个应用系统的帐号,离职人员访问企业内部系统,会造成信息泄露。企业员工登陆云办公系统后,可使用已有的身份源帐号进行企业二次认证,OneAccess支持通过OAuth 2.0等协议与云办公系统完成认证:

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_单点登录_08

以国内某大型电子科技企业案例为例, OneAccess与华为云办公会议系统Welink集成,解决客户基础业务能力,包括身份管理、应用集成、单点登录、云办公等服务,效果如下:

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_生命周期管理_09

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_10

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_单点登录_11

提供单点登录,串接所有应用系统,统一应用权限管理

企业应用系统通过标准SSO协议集成到OneAccess,利用OneAccess的单点登录能力,做到一个帐号,一次认证,登录所有应用系统;将云办公系统作为认证源集成到OneAccess后,员工就可以在云办公系统中免密登录所有企业应用系统;利用OneAccess的应用权限管理,自动控制员工对应用系统的访问权限,减少企业管理员的维护成本:

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_生命周期管理_12

以上述大型电子科技企业客户为例,效果如下:


OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_权限管理_13

OneAccess | 面对庞大复杂的身份和权限管理,企业该怎么办?_单点登录_14

OneAccess已助力多个客户完成了身份访问管理、云办公的建设,帮助客户实现了降本增效,同时保证了企业身份安全性以及办公效率,有助于客户品牌形象的进一步提升,推动企业数字化转型以及信息安全。



标签:帐号,系统,认证,OneAccess,应用,权限,身份,庞大
From: https://blog.51cto.com/u_15806240/5978516

相关文章

  • MySQL用户及权限控制
    MySQL的root用户权限最高,通常不会将root交给开发者使用。创建一个用户createuser用户名identifiedby'密码';修改用户名renameuser旧用户名to新用户名;修......
  • Vulnhub之MinU V2靶机详细测试过程(提root权限时有些问题)
    MinU:V2识别目标主机IP地址(kali㉿kali)-[~/Vulnhub/MinUv2]└─$sudonetdiscover-ieth1-r192.168.56.0/24Currentlyscanning:192.168.56.0/24|......
  • WebMvcConfigurer 配置swagger的权限
      importorg.springframework.context.annotation.Bean;importorg.springframework.context.annotation.Configuration;importorg.springframework.web.servlet.......
  • argocd权限控制
    查看argocd当前存在的配置[root@k8s-master01test]#kubectlgetcm-nargocdNAMEDATAAGEargocd-cm2......
  • #yyds干货盘点#nodejs 后端 token 权限问题
    话不多说,直接上代码登录接口exportdefaultclassAuthController{staticasynclogin(req,res){try{const{name,password}=req.body;if(!nam......
  • 从入门到上天,原来Java程序员一生要看这么多书?(注意:信息量庞大,可能会有卡顿)...
    本文档目前已收录277本Java相关领域经典技术书籍,从初级开发者到资深架构师,涵盖Java从业者的各个阶段,并持续更新。涵盖领域:Java入门书籍,Java基础及进阶书籍,框架与中间件,......
  • rbac权限管理
    一.概述传统权限管理:类似于这样,每新增一个人都要重新给她一些权限,是针对每个人单独设置的,这种方法已经不适用于高效管控权限的基于此,RBAC权限模型就诞生了,Role-BasedA......
  • Linux文件权限管理
    文件属性的第一列,由10个字符组成,第1个字符是文件类型,之后9个字符每3个为1组,每组里的字符代表权限。这3组称之为ugo权限,就是划分文件对应所属分组的权限。u:--user......
  • 基于微服务API级权限的技术架构
    一般而言,企业内部一套成熟的权限系统,都是基于角色(Role)的访问控制方法(RBAC–RoleBasedAccessControl),即权限(Permission)与角色相关联,用户(User)通过成为适当角色的成员而......
  • MySQL用户和权限管理
      总共28个权限:下面是具体的权限介绍:转载的,记录一下:一.权限表mysql数据库中的3个权限表:user 、db、 host权限表的存取过程是:1)先从user表中的host、 user、 password......