[视频]企业身份管理的挑战|学习笔记(二)

简介: 快速学习[视频]企业身份管理的挑战

开发者学堂课程【IDaaS 企业身份管理[视频]企业身份管理的挑战】学习笔记,与课程紧密联系,让用户快速学习知识。  

课程地址:https://developer.aliyun.com/learning/course/980/detail/14904


【视频】企业身份管理的挑战

权限不统一

最后是权限不统一,就是访问控制权限不集中会导致各个应用管理员可以利用自己的权限,自行分配账户的访问权和使用权。同时,访问记录也不统一就管理层没有一个集中访问记录的地方,只有在单个应用里才能看到使用的日志信息,所有的信息都较为分散。像谁在什么时间登录了,谁登陆失败了疑似出现了进攻信息等等这些信息就分散在不同的应用中,很难进行全局的集中管理。从管理层的角度来看,相当于丧失了集中管理的一个权限。

以上是聚焦的三个问题那么接下来相对应的产品去解决

4、阿里云 IDaaS 能力架构

云上身份枢纽,连接企业的人、设备与应用。

图片2.png

阿里 IDaaS 本身就是希望能够把不同的体系间的关联建立起来,能够将不同的人、乡镇信息、服务、常用设备等连接起来。阿里 IDaaS  身份核心可以当做一个这个门所有的业务请求进来的时候得登记,管理员可以在门上去统一加一系列的安全保措施以及系列统一的身份管控。当访问者想访问后边的某个业务系统时, IDaaS 进行分发,所以整个的登记信息就统一起来了,而 IDaaS 就成了每一个企业肯定会有的一个统一的真实的及时更新的企业级的通讯录

5、阿里云 IDaaS 能力架构

云上身份枢纽,连接应用和企业办公平台的纽带

图片3.png

IDaaS 的能力架构是依赖于四个的中心两条臂膀这四个中心分别是登录中心账户中心同步中心和日志中心这是四个相对比较抽象的概念。在实际应用中就是 IDaaS 会提供一个自己的登录页会有企业的应用门户页,用户可以通过登录页进入到自己的应用门户列表里然后点击已经被授权访问的应用,从而实现单点登录账户中心用整个的组织架构数和一个账户的整个生命周期管理体系进行管理同步中心是我们和外界之间确定身份交换身份交互等一系列的业务的一个抽象的汇总

左右的两条臂膀指的是我们和其他的业务系统之间进行交互的两个抓手。左侧抓手指的是连接企业的应用其连接的这种方式是通过单点登录或身份同步在这个过程能实现的是 IDaaS 授权张三可以访问应用 A ,就能确保他可以访问应用 A 右侧的身份提供方指的是连接企业现有的企业级的通讯录,即怎么找到、怎么连接 IDaaS 并导入现有的账号,以及 IDaaS 进行了统一的身份变更之后,更改手机号或密码,或其他信息,比如说员工的级别或调岗这些情况发生的时企业通讯录应该能发生对应的变化是我们左右两个不同的抓手,也 IDaaS 对外提供联动性最大的两个环节

灵活、经济、新颖的新定价体系

以价值定价格,创新性的定价体系,结构性支持各类客户通过IDaaS获得普惠收益。

图片4.png

那么会落到一个很现实的问题解决对于不同企业特别是不同规模和不同阶段的企业价值是不一样所以本质上最后算的都是一个账,即使用 IDaaS 能够获取到的利益节省出来的时间的成本是不是能够大甚至远远大过 IDaaS 本身的成本

简单介绍一下会用什么样的定价体系因为现在阿里云 IDaaS 诞生2022年3月份的时候还没有正式的去更新商业化定价的模式所以在这个阶段所有功能都能免费使用。这个定价会是什么样的,大概会有两套不同的定价利息适用于不同的客户场景

第一套是非常灵活的,是一种独创的按量计费的定价体系不是按照用户数量也不是按照应用数量而是按照用户的活跃程度和各个应用使用数量。用户不使用特定应用,就不会进行计费。因为可以很清晰地认识到 IDaaS 的价值在于能够把多少个企业的用户连接到多少个企业的应用中去在这个基础上,产品的价值和价格相当于齐平了。只要发生连接,才会进行计费;如果不发生连接的话永远不会计费,而且 IDaaS 会内置系列免费应用所以整个的免费场景公开数据是非常丰富的这是一套定价

另一套定价是预付费体系,即按照用户数量,去预估每一个月到每一年需要付多少钱这个模式更适用于需要提前做预算需要有一个明确的预算边界的企业,进行规划的时候可以较明确的知道需要支付多少钱。这是会提供的两套并行的定量体系。还有一个线下部署的方案线下部署的版本能力也会比公共云版本要丰富很多

为什么要使用 IDaaS ?算算 ROI

彻底把这个 ROI 拆散去看使用IDaaS能够帮企业节省多少钱学完 IDaaS 之后能够帮企业去降本增效的系列事情

图片5.png

也是最大的一项,就是办公应用访问效率的抬升,这里的标价写的是125万/年可能大家一开始听这个数字会觉得非常夸张这也是我们一定要把这个数字摆出来的一个核要点,其记账方式十分简单假设有一家1000人的企业人均开支5万块钱每月注意是人均开支不是员工的平均工资有管理经验的同学们应该都能理解这里边的差异所以5万块钱也并不是一个很高的数目。每天使用单点登录能够帮这些用户节约一分钟这是我们的前提假设假设现在可能有五个应用或者十个应用他每天办公需要使用这些应用通过单点登录每天帮他节约一分钟,就能帮他节约多少时间,帮企业节约多少钱那么假设人均开支是5块每月除以22个工作日除以八个小时,除以60分钟最后得出来大概就是5块钱每分钟这是平均下来每个员工每一分钟的价格每分钟的成本到底是多少那么这个数字在乘以1000个员工,乘以250天每年的工作日),最后得出的是125万每年这个数字你肯定会觉得有调整和出入,这只一种非常粗浅的办法但是不存在算错了层级的可能性这是一个非常大的成本

由此降低了 IT 支持成本也就是说我们帮助 IT 部门减少重置密码、登陆错误等等系列的问题最后算出来每年能节省5万块钱。假设是一个应用每年有100人的密码会出问题一共假设有20个应用每个问题处理五分钟那么最后出来就是5万块钱每年

接下来是标准化未来新系统接入集成。当企业意识到每年都会有系统上线,而且每年都会有一些老系统淘汰的时候,那么怎么去控制整个企业业务的灵活性,怎么保证在来回切换时的稳定性,就变成非常重要的一件事情 IDaaS 对这种情况提供的价值每年可以节省1.2这是假设每年会有四个新应用上每个应用我们能节省十个小时的对接时间,最后算下来1.2万每年

最后是身份安全与合规性带来的管理优势这里粗略的计算,假设每年需要两个月去找一个身份安全专家进行咨询或进行系统的搭建等,那么这部分的成本就是10万块钱一年

假设这家千人企业是一个平均规模的话,最后算下来他的总收益应该是141.2美元很多企业的实际算时并不会把账算得因为根据我们的直观感觉每个员工每天点击的次数并不会造成非常大的浪费和损失但是实际情况完全不是这个样子的我们把这个账实际算下来,会发现这个成本是非常高的

那么什么是精益管理精益管理本身就是需要把和业务无关的损耗尽可能的降低从而提高员工对自己的工作的一个满意度以及对自己工作价值的认可

在这种情况下, IDaaS 实际成本是不到10万块钱一年,按每年计算的话,会有十到二十倍以上的收益。这也是为什么 IDaaS对很多的企业产生非常好降本增效影响的原因

实战演示—开通 IDaaS 实例

IDaaS 的基本情况包括五个内容产品官网帮助文档开通实例、菜单介绍以及帮助与支持

首先,来到官网界面直接搜索 IDaaS来到 IDaaS 的官网首页。首页会介绍三款产品 EIAM (云身份服务)、 CIAM (用户身份服务)、安全认证。 EIAM 是这次训练营的重点,是我们基于企业内部身份管理提供一个产品 CIAM 基于企业外部,也就是顾客会员或外部民众消费者或使用会去进行系列的身份管理安全认证提供系列安全级别相对较高的认证方式然后在 SDK 统一提供服务的一个新的轻量级的产品在这里会进行一些最基本的介绍,它的下方会有一些工具。

然后,前往帮助文档在帮助文档中可以查看新版文档在这里会看到系列 IDaaS 相关的默认安全设计和应用场景气氛模型管理员或用户的操作对应的文档说明。例如应用开通说明如下图:这里会描述应用开通会有几种类型每一个类型可以继续点类型代表的含义

图片6.png

然后回到首页前往控制台如下图:

图片7.png

在控制台的界面里,可以直接去创建一个免费实例创建免费实的过程非常快速的,点击创建即可,无其他冗杂的过程,与其他 IDaaS 或者 EIAM 厂商不同服务只需要拥有一个阿里云账号即可免费开通。过程不需要审批,节省了很多时间。

然后点击进入到阿里云 IDaaS 的后台管理控制台的页面可以通过用户门户入口进入里云 IDaaS 用户的登录页面在管理侧,菜单会分成多个。身份提供方式和钉钉 AD 企业微信等等系列外部的企业现有的管理体系之间进行交互大菜单

账户里会对整个身份系统进行管理应用里可以通过添加应用实现单点登录过节或者实现账户同步登录会设置登录相关的系列配置和流程以及密码复杂度一些其他的登录策略这里可以查看所有的管理行为用户行为以及同步相关的系列日志详情最后个性化入口可以查看企业的一些基本信息。比如发送短信时的内容,以及相对应的变更信息

另一个方式是通过 IDaaS 的讨论区,在语雀上进行提问,客服会在24小时内进行解答并提供一个解决方案。这个答疑方式,优点在于日后出现类似问题可以参考之前所提出的问题和解决方案,可以降低一些整个系统运行中必要的损耗

小结

本节课是针对企业身份管理面临的一系列挑战以及给大家展示阿里云 IDaaS 产品灵活轻便以及的菜单支持方式等优点。

相关文章
|
7月前
|
运维 安全 数据安全/隐私保护
课1-数据可信流通,从运维信任到技术信任
构建数据可信流通体系,关键在于建立技术信任。该体系基于信任四要素:身份确认、利益依赖、能力预期及行为后果。数据内循环时,持有方负责数据安全;外循环则面临责任主体不清等问题。为实现可信流通,需由运维信任转向技术信任,依托密码学和可信计算技术,并遵循数据二十条政策。技术手段包括可信应用身份、使用权跨域管控、安全分级标准和全链路审计,确保内外循环的数据管控。基础设施——密态天空计算,支持以隐私计算为核心的密态数联网,实现责任界定的全链路数据安全。
|
7月前
|
存储 运维 安全
2024-3-18隐语学习笔记:数据可信流通,从运维信任到技术信任
数据要素可信流通,重构技术信任体系。信任四要素:身份可确认,利益可依赖,能力有预期,行为有后果。外循环中四要素遭到破坏,导致信任降级甚至崩塌:责任主体不清,能力参差不齐,利益诉求不一致,责任链路难追溯。数据可信流通 需要从运维信任走向技术信任。
|
7月前
|
运维 安全 数据安全/隐私保护
|
安全 云计算
身份和访问管理(IAM)软件市场现状及未来发展趋势
本文研究全球及中国市场身份和访问管理(IAM)软件现状及未来发展趋势,侧重分析全球及中国市场的主要企业,同时对比北美、欧洲、中国、日本、东南亚和印度等地区的现状及未来发展趋势
身份和访问管理(IAM)软件市场现状及未来发展趋势
|
6月前
|
存储 运维 安全
导论|数据可信流通 从运维信任到技术信任
《数据二十条》提出建立数据可信流通体系,强调全流程合规与监管,确保数据来源合法、隐私保护和交易规范。数据已成为数字经济的关键要素,但面临身份确认、利益依赖、能力预期和行为后果的信任挑战。安全事件暴露了所有权保障和越权使用风险,外循环模式下责任主体不清、利益不一致等问题突显。为解决信任问题,需从运维信任转向技术信任,利用密码学和可信计算实现身份确认、利益对齐、能力预期和行为审计。关键技术包括可信数字身份验证、使用权跨域管控、安全分级测评和全链路审计。数据密态时代借助密码学保障数据全生命周期的安全可控,降低流通风险,实现广域数据的可信流通。基础设施如密态天空计算将支持这一转型。
106 0
|
7月前
|
机器学习/深度学习 运维 安全
# 隐私计算实训营note#1 数据可信流通,从运维信任到技术信任
### 笔者前言&摘要 这一讲的主要内容是从宏观的层面介绍隐私/可信计算的基本概念,技术愿景和实用价值。这部分内容是理解隐私查询(PIR)、隐私机器学习(PPML)和其他的多方安全计算(MPC)技术的远大技术愿景和实际应用价值的基础。视频链接:[第1讲:数据可信流通,从运维信任到技术信任](https://www.bilibili.com/video/BV1sJ4m187vR/)。
|
7月前
|
存储 运维 安全
[隐私计算实训营笔记]第一课——数据可信流通,从运维信任到技术信任
本课以数据要素可信流通,重构技术信任体系为主题,介绍了信任四要素,以及其对应破环的原因,因此需要从运维信任走向技术信任的路线,并最终完成安全可信基础设施的融合布局。 感谢授课人韦韬老师~
|
7月前
|
运维 安全 区块链
隐私计算训练营第一讲 :数据可信流通,从运维信任到技术信任
构建数据可信流通体系旨在解决数据流转中的安全和信任问题,确保来源可确认、使用范围界定、过程可追溯及风险可控。体系基于身份验证、利益对齐、预期能力和行为审计的技术要求,采用可信计算、区块链、隐私计算等技术,打造从原始到衍生数据的全程可信环境。密态计算技术成为关键,推动数据密态时代的到来,其中密态天空计算是重要的基础设施。
83 0
|
7月前
|
运维 安全 数据安全/隐私保护
下一篇
DataWorks