身份 OS 如何为开发者服务，少造轮子，早下班

身份管理在不断发展，数字领域的发展和变化非常迅速。个人智能手机和平板电脑随处可见，商业已经数字化。为了取得成功，公司需要在各种各样的设备和平台上保护和保护身份。在过去的几年里，身份管理的概念，如已经从简单的单点登录（ SSO ）、多因素认证（ MFA ）向无密码，设备身份、动态自适应 MFA 、云原生服务、API 的访问与授权发展演进，身份已经成为解决现代分布式系统 /组织管理的前沿。

那么什么规模的企业，何时考虑去实施 IDaaS ，以及选择什么样的合作伙伴来实施？

可以说，身份管理解决方案为所有类型的企业提供了好处，针对不同场景需要，提供独特和可定制化的特性来服务 B2B 、B2C 和 B2E 用例，基本上涵盖了企业内部的所有业务。

何时需要

• 初创期企业快速试错： 3 分钟接入 OneAuth 身份云托管，无需开发完备的用户账户体系，可节省几十万到上百万的研发投入，同时节约大量的开发时间。
• 企业业务快速成长期： 面对不断增长的应用与内部业务需求，将身份管理委托给 OneAuth 云后，可以让新旧业务保持架构弹性，增强用户体验的一致性。
• 等保与其他安全合规： 利用 OneAuth 身份引擎的安全策略，即开即用，不用担心凭证、Token 或密码被泄露,提升安全等级，多因素的引入降低 83%的数据泄漏风险。
• 外包与企业雇员身份联合： 支持多租户联合、设备安全认证、生物识别，满足不同规模合作机构不同安全等级的账户管控要求。
• 集团化 IT 建设： 集团业务发展过程中伴随业务规模扩大和 IT 基建升级缺失管控的应用账户、遗留的冗余身份等数据，可利用 OneAuth 身份迁移专利技术灵活应对 提升的效率持续带来每年上百万级的收益。

如何决策

当您的企业面临以下场景的问题时，通过实施 IDaaS/IAM 解决方案，将立竿见影地取得效果。

• 需要快速尝试一个 /多个新的项目推向线上市场，能够快速通过各种社交账号登录获客，提供无摩擦的登录体验。
• 需要一个基于标准的解决方案，例如 OpenID Connect 、SAML 、WS-Federation 和 /或 OAuth 。
• 您期望员工可以通过各种身份认证服务 IDP （ AD 、企业 IM 、短信、设备）进行身份验证，但缺少多个帐户源身份关联的方法。
• 您在不同的域上有不同应用程序（入口），并且用户在每个域上需要分别登录。尤其是采购了多个本地应用、以及 SaaS 的服务。
• 您的 IT 管理人员花费大量的精力来进行账户的开通、变更、关闭、恢复等一系列耗费时间的操作，缺乏一个得力的生命周期管理工具。
• 您的开发人员花费大量时间构建和维护身份管理和身份验证，影响了核心业务应用程序的开发和构建。
• 您的公司担心或经历过一些类型的数据泄露，或者您担心数据泄露，需要对应用、API 进行细粒度的安全访问控制。
• 您所在的行业被要求解决的行业认证和合规的问题，如身份存储合规、用户隐私合规等等。

不同场景解决的问题

为了更容易理解具体到不同的场景，我们可以进一步明确如下：

B2E 面向员工的场景

• 您需要为员工、外包、合作伙伴，提供统一的认证和登录体验，凸显公司的品牌和效率。

• 您需要为员工管理不同的授权和访问级别，以确保正确的人、正确的时间、地点，安全的访问对应的数据。

• 当员工加入、变更或离开公司时，您需要能够轻松地提供、变更和取消用户的权限。

  

B2C 面向客户的场景

• 您的用户数据没有进行分类的管理，您需要轻松的提取有关用户的第三方数据，以帮助您更好地了解您的客户，进行针对性的营销的方式来带来更多收入。

• 您期望提升凸显公司的品牌和提升用户转化，你期望为您所有的应用提供一个简单的一键（社交）注册选项，同时保持应用具有统一的设计语言、传递品牌形象。

• 或者是，随着用户群的增加，在身份认证和管理方面，您面可能临着性能瓶颈的问题。

• 或者是，您原有的身份构建已经不合时宜，与当前的架构不能够很好的兼容，需要进行数据的迁移的同时，但又不想破坏原有的用户体验。不需要用户额外因为迁移而修改密码，设置账户恢复因子等等。

  

B2B

• 您的合作伙伴期望使用其自己的企业凭据登录到您的产品。除了用户名 /密码选项之外，您还需要支持企业的联邦身份认证，并且支持第三方公司的 IDP （如 AD 、企业 IM 等）。

• 您需要将合作伙伴，或者外包人员的用户管理委派给专门客户的 IT Help Desk ，但现有方案不能够支撑。

  

自己 DIY or 购买

IAM 的要求变得越来越高，其标准化程度、安全性设计和可扩展性都决定了实施的成本、维护的成本和安全性的水平。

很多人已经浏览了核心 OAuth2.0 规范，并对自己进行了思考觉得我可以实现这一点，这可能是真的，但它比核心规范有更多的内容。OAuth 和 OIDC 是一个完整的规范家族，如果我们将它们全部打印出来，可以装满一个的书架。如果是只是用到其中的部分协议和实现某个服务，这样的想法完全没问题。

但是当把它作为企业的身份服务时，这会让我们需要考虑更多的内容，如果只是实现了 OAuth/OpenID 服务器，我完成了吗？不，只是在路上了。

正因为如此，我从不建议自己实现服务器部分，内服有很多这些细微差别将会将开发资源拖进无尽的深渊。建议这一切最好都应该由专家来实施。

尤其是在部署大规模平台时，专业的经验将帮助您何避免一些陷阱。

试用传送门： https://www.oneauth.cn/ 加入频道： https://discord.com/invite/G96ruJ5Rpy

关于 OneAuth

• 关于 OneAuth：

  OneAuth 是国内领先的 iDaaS (身份即服务) 云技术提供商。

  OneAuth™ Cloud 是我们的联邦身份认证平台，使任何组织能够随时随地通过任何设备安全地将人们与技术联系起来。我们的平台是独立和中立的，允许我们的客户与他们选择的任何流行的应用程序、服务、设备或云厂商集成。

  作为国家高新技术企业，依托公有云强大的硬件与网络能力，结合 OneAuth 自主知识产权的 OneAuth™ Cloud Engine 简称 OCE ，共同技术创新驱动产业发展，充分使用云原生、AI 等关键技术为各类客户赋能。

• 特性：多租户支持，利用国密商用算法对数据加密隔离，在保持计算弹性的同时维护不同租户的身份数据安全。

• 架构：支持专有云方案，满足金融、保险和银行等行业监管要求。严格遵守法律法规，满足数据销毁、迁移与备份要求。