开发者学堂课程【IDaaS 企业身份管理:[视频]企业身份管理的挑战】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/980/detail/14904
【视频】企业身份管理的挑战
内容介绍
一、前言
二、三大背景
三、聚焦到三个身份问题
四、灵活、经济、新颖的新定价体系
五、为什么要使用 IDaaS ?算算 ROI
六、实战演示——开通 IDaaS 实例
七、小结
一、前言
随着整个中国的政府机构以及不同企业在追求信息化发展的路途上不断地进展,每一家企业的管理能力都在逐步的提升,那么随之水涨船高的就是对整个企业身份管理的不同要求,这个要求来自于内部,来自怎么提高管理的效率、管理的流程化程度,也在于外部,外部的一系列合规性的要求也在不断地缩紧。对于身份这一个领域,它的安全性、合规性怎么样才能得到保障,我们在不断地提高方面的要求。
以上内容为背景,我们阿里云 IDaaS 推出了这一系列训练营的视频,一共分为五期,今天跟大家分享的是第一期——企业身份管理面临的挑战。
二、三大背景
背景一:中国中大型企业的信息化进程
这里的中大型企业可能更多的是围绕于第二产业和第三产业,中国是一个制造大国,所以在第二产业占比可能会显得更高一些。
(1)阶段一:原始信息化
(2)企业基本生产活动的信息化:基本工业软件、ERP、BPM等。
(3)从1990到2010左右,是第二产业以及第三产业的企业组建初始信息化的过程, IT 部门可能刚刚组建,整个的信息化是围绕企业的基本生产活动和销售活动去进行铺垫,就相当于在最初的从0到1的过程中,会把最基本的工业生产的步骤,资源规划的步骤,使用软件的方式能够进行流程化和替代。
(4)例子(能源):一家非常大的实化企业,他们可能在该阶段会是进行什么样的信息化?比如说他的生产系统需要设定可以加入哪些原料,什么样的原料,然后控制他的温度、湿度,控制操作人员,控制原料发生反应的时间,或者控制反应的步骤,使之成为一个成品。这个阶段是与实际的生产过程是非常紧密结合的。
(5)当然,这个过程搬到第三产业——服务行业也是非常切合的。最核心部分是最开始就进行信息化,以及他所连带的一系列部分。比如说生产材料从哪里来,生产销路从哪里走,然后进行一个扩大链路的积累。在原始信息化阶段,是每一家企业完成的最初步骤,即把旧有流程搬到新的信息系统中的过程。
(6)阶段二:多元数字化
(7)管理经营体系的信息化:CRM、HRM、研发管理、呼叫中心、项目管理、财税法务、差旅报销等。
(8)从2010到2020年,这个阶段是我们自己划分的,所以每一家的划分方式可能不一样。
(9)该阶段是多元数字化,在这个阶段整个的企业管理能力得到了一定的重视和提升。信息化的侧重点可以在有了一个非常好的生产技术之后,转移到整个企业的组织和一些日常运营的工作,包括怎么去管理销售,怎么去组织并培养员工及精神,以及研发管理、呼叫中心,项目管理、财税法务、差旅报销等等。
(10)随着整个企业本身信息化程度的不断进展,那么在企业的每一个实际的业务流程中,特别是对内的流程,可以有一些新的软件或新的应用系统,去替代手动或者需要更麻烦的流程去处理的事情。在这个阶段,企业是真正能够通过管理流程信息化将工作效率提升到一个非常长久的状态。
(11)阶段三:统一智能化
平台型、中台型OS:统一身份、统一权限、统一数据、统一门户、统一审批、统一模型、统一分析搜索等。
该阶段是我国很多的中大型企业或者政府机构所处的一个阶段,称为统一智能化。
这两年来,该现象是非常明显的。如果说前面是希望把东西越搭越多,这一过程可能会缺乏一些较为宏观的规划或架构,而阶段三则是把前面所有的东西用一套完整的体系给他框回来。
在第二个阶段时,一般的企业就会发现,目前可能就已经使用了四五十甚至一两百个应用,甚至更多,而这些应用体系之间会产生一系列的问题,每一个应用可能是交给外部第三方厂商完成管理,这个庞大的应用管理体系就显得十分复杂。与此同时,整个社会变化得非常的快,所以会导致业务流程的变更也会比较快,从而就进一步导致对外部厂商的依赖性增强。比如说,五年前我们从某一家购买的软件,在五年后出现了一个更好的选项,而在我们想更换软件的时候,就会比较复杂。整个系统的侵入性较强,而且中间没有一个明确的边界,因此在这个阶段就要把这些问题去统一解决。
对于云厂商或者大厂而言,这个策略称为中台化。在很多产业的公司里面,称之为一个平台或一个中台,或者称为 OS 操作系统。这一层结构本身的目的是为企业提供一个稳固的、统一的、可插拔式的信息化中台,这个中台可能对实际的业务并不会提供太多的处理,但是它会把所有的业务流程与其他的业务系统集中在一起,并提供一个统一的管理和入口,这是我们在这个阶段要处理的核心。这个阶段会牵扯到统一身份,统一权限,统一数据,统一门户,统一审批,统一模型,统一分析搜索等信息。
例子(能源):在这个阶段,可能会希望信息化大屏,把所有不同的业务系统的数据放到一起并统一展示。他可能会通过阿里云一系列的云产品去解决数据仓库的建立,数据的分析,怎么样才会有一个比较好的管理口径或营销口径等问题。在这个阶段会使用阿里云 IDaaS 产品去帮助企业完成不同的业务系统之间的统一身份、统一权限,甚至统一门户的管理。
小结
这些的信息化进程,将会带给我们清晰的预判。未来会有很多处于阶段二的大企业在进入阶段三的时候,会产生对阿里云 IDaaS 或者对 IDaaS 本身的身份统一管理功能的明确诉求。如果说属于阶段一的企业没有产生这个需求,并不是一个当前就不采用更完整的架构的理由或者原因,更多的原因其实是成本过高,目前接受不了。但是这个阿里云 IDaaS 的本身的成本是非常可控的,企业就很有可能会在更早的阶段将 IDaaS 引进,那么在阶段二的时候,就可能已经做到了统一身份和统一权限的管理,在阶段三时企业就可以爆发出更强的战斗力。
在IT架构上面所获取的稳定性、兼容性和流和性就可以变得更强,这是我们面临的第一个背景。
2.背景二:企业的应用数量爆炸,产生更多精益管理的需求
在这个背景中,我们会有一个预期,企业的应用数量会产生爆炸,而且正在产生爆炸,这一步会产生一系列精益管理的需求。
大概统计。简单来说,我们这边会有企业大量的透明数据,可以对这个数据进行统计分析。从能够获取到的信息来看,50人以下团队一般会使用6个应用左右,而千人以上的团队一般会使用20个应用左右。
下面的数字是美国在两年前,即2020年时所达到的数字,可以明显的看到一个清晰的预期,即每一个员工在企业内所需要使用的应用以及所能够使用的应用。无论是说选项的范围,即厂商提供的方案变得越来越多,或者是企业本身的业务在变得越来越复杂,需要更多的应用支持,还是员工们更愿意去使用云产品或应用去解决他们所面临的问题。这些因素叠加起来后,我们会看到无论是何大小规模或何行业的企业,他们在未来的阶段中肯定会使用越来越多的应用,而且这个增长速度会非常快。
我们看到,在美国2020年时,50人以下的团队,使用16个应用,千人以上团队平均使用177应用,这时候的应用用户连接数是一个非常关键的数字。在应用和账户之间做一个交叉,到底有多少人用了多少个应用,最后取一个汇总,这是描述整个企业信息化程度的一个非常关键的指标。美国现在是五千,国内目前并没有一个非常明确的统计,根据分析观察来看,这个数应该是五千的1/10以下。
我们会看到中国整个企业在未来十年左右,会有一个非常大的应用数量的爆炸,进而产生了一系列的诉求。每一个员工的应用将会变得多且分散,而这些应用体系可能是互相割裂且是不兼容的。在这个情况出现的时候,整个身份管理体系会产生灾难一样的影响。
例子:现在一家企业可能100个人,不确定是不是有 IDaaS 的诉求,但是可能两年之后,对于整个应用的爆炸现象来讲,企业应用数量不断的往上增加,他更愿意去付费使用更多的云服务。这些都会导致应用本身的数量在企业内的增加,在这个时候就一定会需要一套统一的身份管理体系。遇到很多的客户是有非常好的前瞻性,他们对未来整个企业的成长是有一个明确的规划。在这个基础上,他们会在很早的阶段就开始采用 IDaaS 去管理企业内部,或团队内部的整体身份,用于支持未来稳定的扩张。
这是第二个背景,企业应用数量的增加会导致经营管理的难度增高,所以需要一款更专业、更成熟的产品来解决这个问题。
背景三:安全与合规挑战
这是与身份隐私安全相关的三部法律,与个人信息有一定的关联关系。这三部法律分别是《中华人民共和国网络安全法》、《中华人民共和国数据安全法》和《中华人民共和国个人信息保护法》,这三个法律在过去五年的不同时间出台,但基本上完整的把个人身份应该怎么去保护,以及身份背后的权益应该是怎么去保护,进行了一个非常完整的、多维度的描述和简介。
《网络安全法》明确提到多因素认证,还需要不易被冒用身份鉴别信息或者登录方式,身份的唯一性需要得到保障,账户的行为需要安全审计。
《数据安全法》里提到一些实际违背数据安全法的条款后,会受什么样的惩罚或损失。
《个信保护法》是在去年刚刚施行,里面用设定了一系列的个人信息保护的方法。比如说提供一个客服或投诉通道,需要有明确的安全审计与自动化审计,个人最小的管理权控制。
这些法律圈定了一个非常明确的框架,在这些法律落实的过程中,理论上会有一系列的补充条例,让我们能够可以更清晰的知道,不同的情况下我们应该做什么。
可以发现的是,从2016年以来,我国把整个国家的网络安全当做是一个非常重要的安全保障。身份安全无论怎么去看,都是整个网络安全中最核心的,也是最容易被进攻和出问题的环节。所以这是我们在整个合规体系中面临的挑战。一系列合规的东西正在不断地收紧,如果想要自研一套这样的体系,或者借用国外这样的体系,在合规的这个层面上是很难达到标准的。
安全层面上,在过去的几年里,每一年基本上都会有非常大的账号和权限等相关问题,从而导致企业的名誉严重受损。比如说,近几年有一家这个快递公司出现了一件事,其员工通过使用自己的账号越权将送快递人的信息批量导出,然后卖到东南亚。类似于这样的情况,本质上是该员工的身份所对应的权限过高,以及不能对他的身份进行严格的校验,即可能没有办法审计出他是谁,以及同时无法感知并判断他的行为是否正确。所以这一系列的本质问题是身份和权限问题,这是第三个背景。
聚焦到三个身份问题
通过以上三个背景,我们可以聚焦到三个身份问题上来:登录不统一、身份不统一、权限不统一,这也是使用 IDaaS 产品能够实现的三个不同阶段的价值。
登录不统一
登录不统一指的是登录账号、登录流程、登陆安全的不统一。假设现在要登录常用的业务系统,如果不使用类似 IDaaS 的产品,即将面临的问题是员工需要到不同的业务系统中登录不同系统所分配的账户和密码。
这样就会导致很多问题,首先,账号密码可以分享给他人。因为业务系统所采用的安全级别是不可控制的。其次,登录流程和体验没有企业的维度作为统一。登录时,很难看出是否登陆的是自家企业,会出现登录其他企业的可能。因为每一个的页面效果和展示方式都不一样。第三,在分配账号信息时,假设管理员设定每个人所有应用的账号和密码都是一致的,那么管理员的行为本身是不合规的。管理员把所有的初试密码都设置成一样,然后将账户和密码进行分配,这个行为在理论上是存在安全风险的。假设管理员将员工所有应用都设置成不同密码,那么对不同密码的管理和传递将成为一个灾难性的事件。
分配不同应用的账户和较复杂的密码的这个流程是非常不现实的。
身份不统一
身份不统一,即身份在进行多点维护的时,经常会出现遗漏。假设一个新员工入职需要在三个不同的系统中进行变更,换手机号码了,需要多点变更,这些情况是非常容易出现问题的。
例子:一个同事可能会两年前变更一次手机号,在公司的其他系统中将信息变更好了,但是财务系统没有。最后税务局进行登记时,财务同志和税务同志就会发现两个记录不符合,随后就会发现这个同事的信息出现问题,然后进行较长时间的审查核对,最后找出问题所在。
另一个问题是各类信息的变更流程变得冗长,比如说添加账号,员工要离职,转岗等情况,单点操作会很便利,如果是多点操作,则需要去寻找不同的人进行操作每一个点的内容,因为每一个点都有一个管理员去负责。可能会出现一个更恶劣的情况,就是每一个点所拥有的权限的层级是不一样的。比如说在这个 HR 里边去添加一个新账号, HR 系统的管理员和添加钉钉通讯录账号的管理员可能不是同一个人,有可能钉钉通讯录的管理权限是在老板手里。这个情况下就会出现添加一个最基本的账号,需要去不同的人手里获得权限,最后还需要到老板那去申请。这是身份不统一带来的问题。
