飞天云信IDaaS | 统一身份认证与访问控制的解决方案

随着《数据安全法》《个人信息保护法》等法律法规密集发布并实施,网络安全越来越成为各行业发展的重要组成部分,数字化时代下,企业或机构的“身份管理”、“ 多应用系统整合”和“认证安全”等方面面临重大挑战。

针对以上挑战,飞天云信数字身份统一认证与管控平台(以下简称“飞天云信IAM”)提供了一套跨应用、跨平台、跨机构、跨区域的用户身份认证和访问管理的解决方案,为企业提供统一的用户管理、身份认证、权限管理、应用间单点登录,以及信息安全审计等服务,可控制用户使用正确的方式从统一的入口访问资源,有效提高系统的安全性和易用性。

统一身份管理

挑战

随着公司业务应用、员工数量大幅增加,人员流动和员工角色的转变都给企业管理造成了一定的负担,人员的入职、离职,以及岗位变动等,管理者需为员工手动开启/关闭账号以及分配/收回权限,无法保证账号的及时开通与回收。传统的企业OA系统、HR系统、AD等可以实现账户管理,但是各系统身份信息独立,又面临着身份孤岛的新问题:信息同步困难,建设难度大,权限不集中等。如何打通多种身份来源,构建统一身份标识,实现员工全生命周期管理需求日益急切。

解决方案

 飞天云信IAM平台可提供身份数据快速同步的能力,数据传递模式为:上游-中游-下游。其中“上游”代表着各种核心身份数据源,例如:钉钉、企业微信、飞书、HR系统、AD、LDAP等;“中游”即飞天云信IAM平台;“下游”则代表各类应用系统。我们已提前和这些身份源进行集成,以便客户通过简单的配置,实现零开发、快速、完整的将用户信息从上游身份源同步到IAM平台,或者使用原系统调用IAM平台提供的SCIM接口,进行用户的维护。同时飞天云信IAM平台支持权限动态管控、用户自服务,以打造全生命周期的员工身份管理服务。

多应用单点登录

挑战

随着企业应用不断增多,用户需要在不同系统中使用不同的用户名和密码,并且多系统独立导致经常需要重复登录,操作繁琐,办公效率低下,同时也带来一系列管理与安全性问题。

解决方案:

飞天云信IAM平台提供多种预集成应用,包括阿里云、腾讯云、纷享销客等,和一些常用认证协议的自建应用,包括SAML2.0、OIDC、OAuth2、CAS等。开发人员5分钟快速集成,便可将企业内多个应用系统整合到统一的登录入口,以统一身份认证替代繁琐密码管理,帮助员工一键登录,提升应用访问安全性与便捷程度。同时,企业管理员还可以给应用设置不同的认证策略,例如给一些比较重要的应用,设置安全级别更高的认证方式,从而确保应用的认证安全。

自适应认证

挑战

在多因素认证和远程办公日渐走向常规的情况下,基于风险策略的智能自适应身份验证的重要性逐渐凸显,它的重点在于通过检查用户身份、访问行为、设备信息、访问IP、地理位置等一系列要素,动态地调整身份验证需求,杜绝一切身份冒用隐患。例如,当用户试图从一个陌生的地理位置进行身份验证时,可能会面临额外的身份验证要求。

解决方案:

飞天云信IAM平台提供多种认证方式,除了常用的静态密码、短信验证码、邮件验证码,微信、企业微信、飞书、钉钉等第三方平台登录外,还有公司自主研发的OTP、FIDO2、人脸、指纹、USBKEY等多种安全便捷的强认证手段,保障用户统一登录身份认证的安全性。企业管理员可根据客户端IP、位置、登录设备等条件,设置不同的登录方式。

例如以下截图:代表test、ceshi机构下的员工,使用Windows或者Mac OS设备时,允许登录系统,且需要进行两次认证,第一次使用“密码登录”、“企业微信登录”、“钉钉登录”中的一种,第二次可以使用“FIDO2认证”或者“OTP动态口令”。

此外,飞天云信IAM平台可结合平台风险引擎、安防策略,对用户访问行为及环境进行监控与分析,正常行为放行,异常行为告警并要求身份认证,攻击行为及时阻断并告警,做到事前可预警、事中可控制、事后可追溯的认证安全管理。

飞天云信IAM平台将继续致力于为客户建立安全、易用的用户身份和认证管理体系,致力于为客户提供更好的产品和服务!