开发者学堂课程【IDaaS 企业身份管理:[视频]企业身份管理的挑战】学习笔记,与课程紧密联系,让用户快速学习知识。
课程地址:https://developer.aliyun.com/learning/course/980/detail/14904
【视频】企业身份管理的挑战
权限不统一
最后是权限不统一,就是访问控制权限不集中,会导致各个应用管理员可以利用自己的权限,自行分配账户的访问权和使用权。同时,访问记录也不统一,就管理层没有一个集中访问记录的地方,只有在单个应用里才能看到使用的日志信息,所有的信息都较为分散。像谁在什么时间登录了,谁登陆失败了,或疑似出现了进攻信息等等,这些信息就分散在不同的应用中,很难进行全局的集中管理。从管理层的角度来看,相当于丧失了集中管理的一个权限。
以上是聚焦的三个问题,那么接下来有相对应的产品去解决。
4、阿里云 IDaaS 能力架构
云上身份枢纽,连接企业的人、设备与应用。
阿里云 IDaaS 本身就是希望能够把不同的体系之间的关联建立起来,能够将不同的人、乡镇信息、服务、常用设备等连接起来。阿里云 IDaaS 身份核心可以当做一个这个门,所有的业务在请求进来的时候,都得登记,管理员可以在门上去统一加一系列的安全保证措施,以及一系列统一的身份管控。当访问者想访问后边的某个业务系统时,在 IDaaS 进行分发,所以整个的登记信息就统一起来了,而 IDaaS 就成了每一个企业肯定会有的一个统一的、真实的、及时更新的、企业级的通讯录。
5、阿里云 IDaaS 能力架构
云上身份枢纽,连接应用和企业办公平台的纽带
IDaaS 的能力架构是依赖于四个的中心和两条臂膀。这四个中心分别是登录中心、账户中心、同步中心和日志中心,这是四个相对比较抽象的概念。在实际应用中就是 IDaaS 会提供一个自己的登录页,会有企业的应用门户页,用户可以通过登录页进入到自己的应用门户列表里,然后点击已经被授权访问的应用,从而实现单点登录。账户中心会用整个的组织架构数和一个账户的整个生命周期管理体系去进行管理;同步中心是我们和外界之间确定身份交换,身份交互等一系列的业务的一个抽象的汇总。
左右的两条臂膀指的是我们和其他的业务系统之间进行交互的两个抓手。左侧抓手指的是连接企业的应用,其连接的这种方式是通过单点登录或身份同步。在这个过程能实现的是, IDaaS 授权张三可以访问应用 A ,就能确保他可以访问应用 A 。右侧的身份提供方指的是连接企业现有的企业级的通讯录,即怎么找到、怎么连接 IDaaS 并导入现有的账号,以及在 IDaaS 进行了统一的身份变更之后,更改手机号或密码,或其他信息,比如说员工的级别或调岗,这些情况发生的时,企业通讯录应该也能发生对应的变化。这是我们左右两个不同的抓手,也是 IDaaS 对外提供联动性最大的两个环节。
灵活、经济、新颖的新定价体系
以价值定价格,创新性的定价体系,结构性支持各类客户通过IDaaS获得普惠收益。
那么会落到一个很现实的问题,解决对于不同企业,特别是不同规模和不同阶段的企业的价值是不一样,所以本质上最后算出的都是一个账,即使用 IDaaS 能够获取到的利益,节省出来的时间的成本是不是能够大过甚至远远大过 IDaaS 本身的成本。
简单介绍一下会用什么样的定价体系,因为现在阿里云 IDaaS 诞生到2022年3月份的时候,还没有正式的去更新商业化定价的模式,所以在这个阶段,所有功能都能免费使用。这个定价会是什么样的,大概会有两套不同的定价利息,适用于不同的客户场景。
第一套是非常灵活的,是一种独创的、按量计费的定价体系。不是按照用户数量,也不是按照应用数量,而是按照用户的活跃程度和各个应用使用数量。用户不使用特定应用,就不会进行计费。因为可以很清晰地认识到 IDaaS 的价值在于能够把多少个企业的用户连接到多少个企业的应用中去,在这个基础上,产品的价值和价格相当于齐平了。只要发生连接,才会进行计费;如果不发生连接的话,永远不会计费,而且 IDaaS 会内置一系列免费的应用,所以整个的免费场景和公开数据是非常丰富的,这是第一套定价。
另一套定价是预付费体系,即按照用户数量,去预估每一个月到每一年需要付多少钱。这个模式更适用于需要提前做预算,需要有一个明确的预算边界的企业,进行规划的时候,可以较明确的知道需要支付多少钱。这是会提供的两套并行的定量体系。还有一个线下部署的方案,线下部署的版本能力也会比公共云版本要丰富很多。
为什么要使用 IDaaS ?算算 ROI
彻底把这个 ROI 拆散去看,使用IDaaS能够帮企业节省多少钱。在学完 IDaaS 之后,能够帮企业去降本增效的一系列事情。
也是最大的一项,就是办公应用访问效率的抬升,这里的标价写的是125万/年,可能大家一开始听这个数字会觉得非常夸张,这也是我们一定要把这个数字摆出来的一个核心要点,其记账方式十分简单。假设有一家1000人的企业,人均开支是5万块钱每月,注意是人均开支,不是员工的平均工资。有管理经验的同学们应该都能理解这里边的差异,所以5万块钱也并不是一个很高的数目。每天使用单点登录,能够帮这些用户节约一分钟,这是我们的前提假设,假设现在可能有五个应用或者十个应用,他每天办公需要使用这些应用。通过单点登录每天帮他节约一分钟,就能帮他节约多少时间,帮企业节约多少钱。那么假设人均开支是5万块每月,除以22个工作日,除以八个小时,除以60分钟,最后得出来大概就是5块钱每分钟。这是平均下来每个员工每一分钟的价格,每分钟的成本到底是多少,那么这个数字在乘以1000个员工,乘以250天(每年的工作日),最后得出的是125万每年。这个数字你肯定会觉得有调整和出入,这只是一种非常粗浅的办法,但是不存在算错了层级的可能性,这是一个非常大的成本。
由此降低了 IT 支持成本,也就是说我们帮助 IT 部门减少了重置密码、登陆错误等等一系列的问题,最后算出来每年能节省5万块钱。假设是一个应用每年有100人的密码会出问题,一共假设有20个应用,每个问题处理五分钟,那么最后乘出来就是5万块钱每年。
接下来是标准化未来新系统接入集成。当企业意识到每年都会有新系统上线,而且每年都会有一些老系统被淘汰的时候,那么怎么去控制整个企业业务的灵活性,怎么保证在来回切换时的稳定性,就变成非常重要的一件事情。 IDaaS 对这种情况提供的价值,每年可以节省1.2万元,这是假设每年会有四个新应用上,每个应用我们能节省十个小时的对接时间,最后算下来是1.2万每年。
最后是身份安全与合规性带来的管理优势。这里是较为粗略的计算,假设每年需要两个月去找一个身份安全专家进行咨询,或进行系统的搭建等,那么这部分的成本就是10万块钱一年。
假设这家千人企业是一个平均规模的话,最后算下来他的总收益应该是141.2万美元。很多企业的实际计算时,并不会把账算得很细,因为根据我们的直观感觉,每个员工每天点击的次数并不会造成非常大的浪费和损失,但是实际情况完全不是这个样子的,我们把这个账实际算下来,会发现这个成本是非常高的。
那么什么是精益管理?精益管理本身就是需要把和业务无关的损耗尽可能的降低,从而提高员工对自己的工作的一个满意度以及对自己工作价值的认可。
在这种情况下, IDaaS 的实际成本是不到10万块钱一年,按每年计算的话,会有十到二十倍以上的收益。这也是为什么 IDaaS 会对很多的企业产生非常好降本增效影响的原因。
实战演示—开通 IDaaS 实例
IDaaS 的基本情况包括五个内容:产品官网、帮助文档、开通实例、菜单介绍以及帮助与支持。
首先,来到官网界面直接搜索 IDaaS ,来到 IDaaS 的官网首页。首页会介绍三款产品: EIAM (云身份服务)、 CIAM (用户身份服务)、安全认证。 EIAM 是这次训练营的重点,是我们基于企业内部身份管理提供的一个产品, CIAM 是基于企业外部,也就是顾客会员或外部民众等消费者或使用者会去进行一系列的身份管理。安全认证提供了一系列安全级别相对较高的认证方式,然后在 SDK 里统一提供服务的一个新的、轻量级的产品。在这里会进行一些最基本的介绍,它的下方会有一些工具。
然后,前往帮助文档。在帮助文档中,可以查看新版文档,在这里会看到一系列与 IDaaS 相关的默认安全设计和应用场景气氛模型,管理员或用户的操作相对应的文档说明。例如应用开通说明,如下图:这里会描述应用开通会有几种类型,每一个类型可以继续点击查,看该类型所代表的含义。
然后回到首页前往控制台,如下图:
在控制台的界面里,可以直接去创建一个免费实例。创建免费实例的过程是非常快速的,点击创建即可,无其他冗杂的过程,与其他 IDaaS 或者 EIAM 厂商不同的是该服务只需要拥有一个阿里云账号即可免费开通。这些过程不需要审批,节省了很多时间。
然后点击进入到阿里云 IDaaS 的后台管理控制台的页面,可以通过用户门户入口进入阿里云 IDaaS 用户侧的登录页面。在管理侧,菜单会分成多个。身份提供方式会和钉钉、 AD 、企业微信等等一系列外部的企业级现有的管理体系之间进行交互,这是大菜单。
账户里会对整个身份系统进行管理;应用里可以通过添加应用实现单点登录过节,或者实现账户同步;登录里会设置与登录相关的一系列配置和流程,以及密码复杂度和一些其他的登录策略,这里可以查看所有的管理行为和用户行为,以及与同步相关的一系列日志详情。最后,个性化入口可以查看企业的一些基本信息。比如发送短信时的内容,以及相对应的变更信息。
另一个方式是通过 IDaaS 的讨论区,在语雀上进行提问,客服会在24小时内进行解答并提供一个解决方案。这个答疑方式,优点在于日后出现类似问题,可以参考之前所提出的问题和解决方案,可以降低一些整个系统运行中不必要的损耗。
小结
本节课是针对企业身份管理面临的一系列挑战,以及给大家展示阿里云 IDaaS 产品的灵活和轻便,以及它的菜单和支持方式等优点。
