身份认证即服务(IDaaS :Identity as a Service),也被称为身份和访问管理作为一种服务,使用的是一种云计算的基础设施来安全地管理用户身份和访问实施。在其最基本的层面上,IDaaS可以为云端或内部部署的系统实现单点登录(SSO)。但是它远远不止这些,还包括:访问资源的分配和移除、管理和分析等。
根据 Gartner 2016年的报道显示,IDaaS领域的主流厂商包括有:Okta、微软和Centrify,同时OneLogin、Ping Identity、SailPoint、科纬迅软件服务(Covisint)、Salesforce、灯塔安全(Lighthouse Security,隶属于IBM)和易安信(EMC)/RSA也迅速“登场”了。虽然各公司都能提供IDaaS,但是由于其特征集和功能上的差异,使得某种解决方案较之其他的方案更优于适合某个特定的组织。
来自DocuSign的首席信息官 Eric Johnson 认为,**IDaaS的解决方案将成为你用来访问所有重要的业务应用的一种集中化的机制。正确地选择此类解决方案是非常必要的,这是因为任何停机/掉线都将会导致组织的重大业务中断。**因此当你在判定哪一种IDaaS是最适合你的时候,考虑诸如解决方案的集成能力、单点登录(SSO)方面的体验与安全等方面的因素都是很重要的。
如下这十个问题是由IDaaS的客户—DocuSign(美国一家数字签名认证与文件自动化管理公司)和Box(网络硬盘服务网站)在遍历了其选择和获取过程之后,并在对各个提供商进行评估时,所提出的一些基础性问题。
1. IDaaS的产品安全在何处?
Box的高级经理Mark Schooley说:在评估IDaaS的时侯,Box所完成并指出的任何关键点中,安全一直位于每一种SaaS评估的中心。“安全是非常重要的,因为(在一些情况下)我们将把最为重要和敏感的应用程序的‘前门钥匙’委托给了IDaaS解决方案。”
DocuSign的Johnson同意安全有着高优先级别这一说法,并且补充说:“被评估的解决方案应该提供自动化的欺诈检测工具,以阻止可疑的用户访问。该解决方案应该能够与公司现有的安全工具和基础设施,例如安全信息和事件管理(SIEM)相集成,从而实现进一步的安全管理与分析。”
2. 它是否提供与广泛的应用和基础设施的“开箱即用”式的集成?
“公司要能够实现每一种已录用到被评估解决方案里的应用程序的附加值,”Johnson说,“这样可以降低公司整体风险,消除手工流程所带来的痛苦,而这才是一种更好的员工体验。”
Johnson补充说:该解决方案应该提供跨平台的支持,包括它在移动设备上控制应用程序的能力。IDaaS解决方案在前瞻性方面应该具有灵活性,以应用到任何类型的IT基础设施,包括防火墙、虚拟专用网络、无线接入和其它需要进行用户接入管理的关键性基础设施之上。
3. 它使用的是何种集成/开发模式?
Schooley说,在评估一个IDaaS解决方案时,集成/开发模式是一个非常重要的评估方面。和许多其他组织一样,Box需要有与应用程序以及其他提供商的解决方案的大型生态系统相集成的能力。Schooley建议寻找那些具有极其丰富的应用程序编程接口(API)的解决方案,以用于自动执行复杂的任务并建立先进的集成模式。
4. 它是否支持与现有用户目录存储的集成吗?
Johnson说,无论是在内部部署还是在云端,被评估的解决方案都需要以最小中断的目标去支持员工的信息记录系统,例如人力资源系统或是活动目录。这样才能够确保该解决方案的快速部署和在时间方面的优势价值。
5. 它能提供SSO的体验和关键用户接入的管理能力吗?
“被评估的解决方案应该对广泛的SSO技术提供灵活的支持,例如安全声明标记语言(SAML)、OpenID连接、活动目录联合服务(ADFS)及其它技术。这将保证能与各类企业级应用的集成。”Johnson如是说。
他还表示,该解决方案应该提供第三方的应用程序,以实现员工在企业的整个任职周期中,具有对用户的使用资源进行分配、更新与移除的能力。
6. 它能支持多个SSO的策略吗?
“被评估的解决方案应该提供一种灵活性,以创建基于各种应用的风险状况并适于检测到可疑的访问情况的不同SSO策略,” Johnson说,“该解决方案应该支持多种不同的认证因素,包括软和硬件令牌、终端证书、并期待能支持新的,诸如生物识别技术之类的创新因素。”
7. 它是否具有顶级的表现能力吗?
Johnson建议去寻找一种有着无可挑剔的“正常运行时间”保持记录的提供商及其解决方案,而且它能提供其高可用基础设施的证明,还具有迅速解决任何问题的服务水平协议(SLA)的相关承诺。
8. 它能提供一种统一且集中化的体验吗?
Schooley认为:一种统一且集中化的体验对于最终用户和IT管理员来说是非常重要的。他说:“对于我们来说,用一种单一的,而且是易于管理的平台来对各项服务予以巩固是很重要的。”
9. 使用它的成本是多少?
消除前期预支的硬件成本,降低持续维护的成本和基于订购的定价机制,都是组织为什么一窝蜂似的转向基于云类型的服务的首要原因。然而,即使每个用户逐月的费用相对较低,但其成本也很可能会迅速攀升。因此评估者需要提前确定好,诸如是否需要定制化、故障排除等成本,以加入到整体方案之中。
Schooley说,一个被评估的IDaaS解决方案的成本,需要被通过一种灵活且简单的授权模式来予以合理的定价。“我们希望所看到的是那些能够节约成本的,而不是带来现有的本地研发或管理成本攀升的解决方案。”
10. 其他客户对该提供商的体验和记录的口碑如何?
任何想要转移到IDaaS的组织都希望提供商能够确保其提供一种可以提高组织的现有能力,而且能够在未来三至五年间持续这种能力的服务。
一个首选的IDaaS解决方案,“需要具有一个能够成功实现后期规模化部署的良好记录,”斯库利建议道。在评估提供商时,Box想从那些已使用了某个特定解决方案的其他组织那里所获知的是:它是一种必须具备的技术,因为它“改变了我们日常的工作方式。”这类评价。
-
原标题:10 questions to ask IDaaS vendors before you buy,作者: Kim Lindros
-
【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】
什么是 Authing?
Authing 提供专业的身份认证和授权服务。 我们为开发者和企业提供用以保证应用程序安全所需的认证模块,这让开发人员无需成为安全专家。 你可以将任意平台的应用接入到 Authing(无论是新开发的应用还是老应用都可以),同时你还可以自定义应用程序的登录方式(如:邮箱/密码、短信/验证码、扫码登录等)。 你可以根据你使用的技术,来选择我们的 SDK 或调用相关 API 来接入你的应用。当用户发起授权请求时,Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。
<div align=center>Authing 在应用交互中的位置</div> * 官网:http://authing.cn * 小登录:https://wxapp.authing.cn/#/ * 仓库:** 欢迎 Star,欢迎 PR ** * https://gitee.com/Authi_ng * https://github.com/authing * Demo: * https://sample.authing.cn * https://github.com/Authing/qrcode-sample * 文档:https://docs.authing.cn/authing/ ### 欢迎关注 Authing 技术专栏 ![Authing 社区](https://oscimg.oschina.net/oscnet/833d936bbcf1eac3c1d751c0223070846a0.jpg)