【视频】打通身份孤岛｜学习笔记（一）

开发者学堂课程【IDaaS企业身份管理：【视频】打通身份孤岛】学习笔记，与课程紧密联系，让用户快速学习知识。  

课程地址：https://developer.aliyun.com/learning/course/980/detail/14910

【视频】打通身份孤岛

内容介绍：

一、身份孤岛从哪来

二、身份孤岛导致的问题

三、统一身份认证平台打通身份和业务

四、实战演示-从钉钉拉取通讯录

五、实战演示-应用同步配置

一、身份孤岛从哪来

第一阶段：统一身份体系管理所有应用

第二阶段：开始以组织、应用为维度产生身份孤岛

1. 第三阶段：统一管理，但零散孤岛会不断出现

2. 第一阶段：

3. 第一个阶段就是需要把这个体系内的所有的应用和所有的用户能够关联起来即可，这其实是去统一身份管理的这个所有应用的一个进程。举个例子，很多中小企业是直接把身份体系以及应用体系全部都直接插到这个钉钉的工作台，以钉钉的通讯录作为自己的这个统一的通讯录，然后从统一通过钉钉的这个身份从钉钉工作台去访问他们对应的应用系统，那么这个阶段在整个的体系范围内是没有其他的应用系统散落在外，也没有其他的身份信息散落在外。

4. 第二阶段

5. 随着时间的不断推移和发展，很多边界出现，但公司规模变大，部门变多，内部会出现一些轻量级的应用，会没有必要走钉钉的流程，有自己的一套流程即可，按照不同的部门，会产生不同的身份过道，部门与部门之间可以互通。当然大部分应用还是依赖于钉钉的应用去管理。可能除了企业的边界，还有一些应用的边界，特定依赖于某个特定的身份管理的中心，比如说开源的应用，就非常依赖于ad的一套管理体系，如果依赖于ad的话，是无法和钉钉的管理体系互通的。所以会导致多个孤岛全在一个企业内，形成孤岛。

6. 第三阶段

7. 当企业意识到身份孤岛的问题时，去进行解决。企业去搭建自己的这个信息化平台，那么搭建那一套中台体系或者产业的这个操作系统，或者可以让所有的其他的业务应用，在上面快速插完了快速演化的一个管理的基座，基座中台身份作为其中非常重要的一部分，是需要去提供并且打通的。所以在这个阶段可能和其他的一系列比如门户，大屏等等一系列的这个包括数据中台等等，会作为企业的这个基座去提供一个打通服务，那么就有些边界可能全部都打通，融会贯通，成为一个新的更大的范围。但是特别容易出现另一个问题，虽然身份现在是统一的，但是总会有一些零零角角的一些边缘性的场景，在不知道什么地方会发生，因为这套体系一旦统一就特别容易僵化。比如说需要加一个应用，入职一个员工或者新录入一些内容的话，要走一个相当长的审批流程，这个流程会特别麻烦。这种特别长的流程，会让人产生一种可以有一个比较简单的方式，自己去解决和处理。这和第二阶段产生的情况会比较类似。

8. 身份孤岛问题的复杂性

身份孤岛并不是一个一劳永逸可以解决的问题，包括我们可以为企业提供一套独立的统一的一套身份体系，所有的应用都可以通过统一的规范去对接，获得当前这家企业所应该获得的完整的身份安全和权限管理系统的相关的这一部分能力。

但是永远可能会有一系列小的应用场景，在很难管控的情况下，会采用尽量避开过多的审批流程过长的这个操作或者使用的这种这种场景，所以本身IDaas这个产品的使用的复杂度，不仅是产品功能。包括产品相关一系列生态流程就变得非常的重要，那么这也是我们本身想要通过产品及产品相关的一些培训去解决的问题，就是怎么去在一个相当大规模的情况下，把身份体系变得足够灵活，足够轻便，这是身份孤岛问题的一系列的这个发展和来源。

二、身份孤岛导致的问题

为用户带来损失：

·头疼的一大堆账户和密码

·企业安全开支巨大，身份是核心

·个人信息在多套系统中分散

·身份被盗用的风险增强

·身份泄露的风险不可控

·不愿注册、不愿分享 ·合规问题

为企业带来损失：

·企业安全开支巨大身份是核心

·不得不成为身份体系专家

·巨大的、潜在的、商誉风险

·在安全上收紧、在可用性上掉落

1. ·合规问题

2. 为用户带来损失

3. 对于用户而言，需要管理一大堆的这个账户密码,每一个不同的身份孤岛登录的方式可能不一样，个人信息会在多套身份系统中特别分散，无法去集中管理，更新也会很困难，身份到被盗用的风险明显增强，因为他的身份信息算在不同系统中，而不同系统的安全级别很难得到一个统一的管控，可能有一个系统他的成绩会低一些，那么那个系统可能就会作为一个突破点让这个恶意的进攻者能够盗用到。最终导致了一个问题，比如说c端的用户非常的不愿意注册，不愿意分享，不愿意同意任何的条款，这是一个趋势，这个趋势越来越明显，就是当用户不知道自己的身份会发生什么样的变化，注册了这个信息，能不能得到一个身份相关的权保障的时候，不会去注册。用户会担心为企业提供的信息，会不会这家企业盗用，主动被动的拿走。

4. 为企业带来损失

企业安全本身开支就很大，身份问题本身是安全问题里面最重要，也是最容易忽略的问题，据统计，很多出现严重安全问题的时候，70%、80%以上都是因为身份出现了问题各种账号出现了盗用，出现了越权的行为。企业在这样的管理的问题中，需要不断去培养自己的身份体系，和体系专家。需要知道本身的hr体系，在钉钉里面又是怎样的。这个难度是非常高的。一旦发生任何问题，除了合规和罚款的挑战，还存在商誉的挑战。一旦会出现非常大的信息泄露，对于商誉的美誉度来讲也是一种打击，如果是上市公司，股价一定会跌，对于这家品牌的打击和对这套业务的印象会下降。在安全性上收紧的话，在实用性上会降低。进行it管理的时候，会出现大量的问题。

三、统一身份认证平台打通身份和业务

作为身份中心，与上下游进行数据同步，对接应用，实现单点登录。

作为同步方，大概分为这么三类：一类是企微系统，第二类是以钉钉为代表的企业通讯录，是常见的一类，第三类就是ad和idap往往都是这三类。HR系统，它的不同系统的这些接口会不一样。钉钉和ad对这些接口都是比较高度统一的，Idaas也可以提供一套整合性的能力，把这个身份体系从原本站在3~4个不同地方独立的地方的这种情况，全部打通形成一个这个完美的闭环，形成了闭环之后，打通了之后，如果想跟钉钉进行更改，让HR在钉钉里面去进行录入。如果出现变更的话，也都在钉钉里面去操作，那么钉钉同步到IDaas，

并且同步到一系列下游的这个应用中去。

作为身份中心，与上下游进行数据同步，对接应用，实现单点登录

整个身份管理体系，会有俩个平行流程，一个是数据流，一个是认证流。上面那个数据流指的就是统一身份的这个部分，下面的认证流是统一认证或者统一登录，但是这两个本身相辅相成，两个需要在同时同一情况下发生，才可以把一个企业内的所有的这些应用的身份的这个整体的管控，能够把在单点上把控起来。

拿钉钉举例子，假设现在同钉钉同步，到这个IDaas是中转同步到一些其他的业务比如说ad，或者说它的自有应用币，只有业务应用a，在整个的这个操作过程中就相当于IDaas作为一个中转桥梁，去配置身份和钉钉匹配。去拉取相对应的信息和数据的情况，并且在钉钉相对应的客户里面去注册一个。注册之后，钉钉这边的变更就会及时的告诉IDaas，把这些信息全部都交给下游的业务系统。就出现了在这个身份体系中进行修改，唯一的身份认证把真理的这个来源，那么这个审理是进行修改之后，在企业内部可以即刻生效。

认证通过后，再用这个单点登录，去访问到任何工作台中的任何应用。就相当于应用把各自的登录认证体系全部都托管到IDaas，然后结合着统一的身份和统一的这个认证，就可以做到统一的企业级生产管理。