一、IDaaS 定位与能力
IDaaS 的价值在于连接人、连接设备、连接身份、连接服务,它的理念是希望允许任何可信人通过任何可信设备使用一套身份,即可顺利访问各类业务系统。
在企业的信息化架构中,IDaaS 处于身份体系的中枢位置,上联内部使用的所有办公应用,下联硬件设备和基础服务。在业务架构中,IDaaS 是身份的桥梁和基座,身份在体系中川流不息,IDaaS 是中继中转,也是企业的身份管理核心。
IDaaS 有四大中心、两条臂膀。四大中心负责统一集中的身份管理,左右两条臂膀负责与外部体系的互相连接。
在四大中心中,登录中心负责多种多样的登录方式,提供登录安全保障;账户中心管理员工的全生命周期,提供树形组织架构管理和扩展属性存储;同步中心提供身份来往,使身份流通实现动态统一;日志中心提供丰富充分的操作记录,为行为回顾、审计和检查提供便利性。
左右两条臂膀代表着 IDaaS 与外部提供连接价值的核心。一条臂膀连接企业应用,实现访问认证、身份统一管理;另一条臂膀连接企业通讯录,实现体系的身份流动。
此处提出了一种极具创新性的功能设计理念:会诊设计。它围绕着与 IDaaS交互的实体组织,提供了一系列功能。
阿里云 IDaaS 云服务产品具有以下三大优势:
其一,本次发布的 IDaaS 新版 100% 采用阿里云原生架构,充分利用了阿里云基础服务的稳定性、弹性和安全性,并以新的设计理念对所有功能进行封装和简化。在此基础上,采用了突破性的灵活的计价方案,大量功能均可免费使用,上手成本非常低,计费灵活。
其二,阿里云 IDaaS 早在 19 年 4 月份就提供了纯云化身份服务,是公共云 IDaaS 市场的先驱,并且不断地在为服务普世化作努力、提供价值。公共云服务即开即用,降低了售前周期,减少了采购时间,用户即刻能够体验它的价值。
其三,作为公共云服务,IDaaS 会不断地在服务中有设计、有逻辑地添加客户需要的各类功能,覆盖更多更新的使用场景,提高价值。而在合规性要求不断收紧的大背景下,阿里云 IDaaS 与时俱进,能够随时提供最新、最好、最安全的身份服务,且会保持价格稳定,这公共云 IDaaS 服务的核心价值所在。
二、IDaaS 核心理念
阿里云 IDaaS 产品希望以使用者为本,结合过往的经验和对未来市场方向的预期,打造体验上佳的云身份服务。我们提取了基础、安全、简约、灵活四个产品关键词,并围绕使用者、开发者的真实需求打造了此款新产品。很多传统的企业软件是为销售流程设计,而我们希望真正为用户设计,提供好玩、好用的体验。
与此同时,IDaaS 划定了三套设计纲领,分别是针对需求的用户参与式设计、针对功能的会诊设计和针对安全的默认安全设计。
我们认为闭门造车是不可取的,而是应该采用用户参与式设计,尽可能邀请客户参与到需求收集和设计的过程中。
会诊设计的概念是相对于分诊来定义的。分诊设计相当于病人前往医院看病,需要在挂号、拍片、缴费、门诊多点折返跑,劳心劳力;而在会诊设计理念中,病人来到医院后,所有相关医务人员会围绕病人集中提供解决方案,需求方也无需在产品中折返跑。
阿里云 IDaaS 是阿里云安全团队打造的云身份服务。市面上很多产品为了使用方便,不惜以降低安全性为代价,而阿里云 IDaaS 的设计理念反其道而行之,提供了安全优先、默认安全的价值理念。当安全性和便捷性无法调和时,会确保在安全的情况下尽可能地追求易用性。我们认为安全是生命线,企业身份体系是信息安全的紧要核心,也是外部攻击的主要进攻点。因此,IDaaS 会尽可能地按照高标准提供可信、安全、可靠的身份服务。
为了达成以上设计目标,我们做足了功课。结合长达 8 年的行业经验,数千万的真实使用数据以及3套面向不同画像的需求调研问卷。而后又经过了 6 个月的设计阶段,完成了3套不同的产品设计,定义了客户使用产品的8个阶段,精准描述了3个核心用户画像,明确了 10 个最常用功能点,绘画出了 6 个核心的用户故事。
在此基础上,我们为每类客户的每一步使用都设计了对应的便捷工具,真正实现服务客户、尊重客户、帮助客户的目标,为客户提供最优质的体验。设计功能近乎傻瓜式,能够实现 80% 的客户需求。而后又经过了 5 个月的集中研发,将“客户第一”的阿里价值观贯彻成为产品理念,实现并发布了新版IDaaS 。
IDaaS 连接的重要目标之一就是应用以单点登录对接的能力,实现业务应用在 IDaaS 中的统一访问控制,降低管理成本,提高用户体验。Salesforce 是全球最知名、最大的 CRM SaaS 品牌之一,也是阿里云的合作伙伴。
以配置 Salesforce 单点登录为例,上图左侧可以拆解了市面常用的配置对接的流程。 Salesforce 本身支持通过 SAML 2.0 协议对接单点登录,协议本身比较复杂,参数众多,使用广泛,但非常陈旧,配置起来本就困难。
配置 Salesforce 单点登录往往需要在身份系统和 Salesforce 系统之间不断来回,从创建证书、导出证书、导入证书到创建应用、配置双向 SSO ,过程繁琐,且会不断出现中断。上图中的红色问号代表需要查看文档才能完成配置的部分。
在传统方案中,一共需要进行 27 次点击,有11个必填字段,需要进行 6 次身份系统和 Salesforce 之间页面的切换,查看文档 20 次,配置完成需要耗费 30 分钟。
而在新的设计中,通过 Salesforce 预集成应用,能够处理好所有三方 SAML2.0 协议的复杂性,管理员只需进行傻瓜式的配置。在 IDaaS 侧只需要输入 Salesforce 的服务地址,在 Salesforce 侧将 IDaaS 提供的信息填充进去即可。
在传统意义上,SAML 协议字段非常多,每个应用的实现名称以及每个字段都不同。而 IDaaS 能够确保两边的字段名一致,无需查阅文档对应关系,一目了然。在此基础上,我们为每个预集成的应用提供了对接手册,帮助用户解惑。
在 IDaaS 新版中,只需 7 次点击,在 IDaaS 中填写 1 个字段,2 次页面切换,查看文档不超过 5 次,在 5 分钟内即可完成所有配置,充分体现了会诊设计在用户体验上的优越性。
预集成是提供产品便捷性的重要工具,我们会持续与更多阿里云和外部三方产品打通,提供原生的使用体验。
下面为实际操作演示。
首先打开阿里云官网详情页。
进入实例列表页之后,创建新的实例,大约需要花费是1-2秒钟。
进入新的实例,前往账户,创建新的测试账户。阿里云 IDaaS 默认安全的基础上,会开启二次认证,因此此处需要输入手机号。
回到应用,添加新的阿里云用户 SSO 应用,只需要配置一个字段即可完成在阿里云上的配置。
点击保存以后,将下载配置文件。将配置文件直接在阿里云 RAM 中作为应用侧上传,即可完成阿里云侧的配置。
来到阿里云用户 SSO 的配置页面,上传刚才的配置文件。
前往阿里云用户侧创建测试账户,测试账户的用户名需要尽可能的与 IDaaS 侧的用户名保持统一,单点登录时才能匹配上。
完成配置后,来到 IDaaS 登录页,输入测试账号的用户名和密码,登录到 IDaaS 门户。此时会出现二次认证流程,选择短信验证方式即可。输入验证码进行确认后,即登录到了用户门户中。
降低使用门槛不仅在于功能使用的简化,同样也在于价格的灵活性。
IDaaS 坚持以价值定价格,不让客户花冤枉钱。
在过去,阿里云 IDaaS 的客户使用场景繁多,价值各异,单一的以用户坐席数收费无法兼顾所有场景。在此基础上,我们在收集了诸多客户的真实反馈后,将推出新版的定价。
首先,作为阿里云的身份基座,IDaaS 希望成为企业的云上身份核心。为此我们提供了免费版,几乎所有功能的使用全部永久免费使用。使用免费版,用户可以获得来自帮助中心客户、社区、产品讨论区的官方和非官方的支持,尽可能自助完成价值实现。在此基础上,部分应用的使用会逐步计费,根据不同应用的价值、成本和复杂度,每个应用的单价也会不同。
IDaaS 采用非常灵活的计费方式,只为活跃使用该应用的账户进行计费,真正实现价值和价格成正比。在此模式下,用户可以随意将更多账户导入进来,为将来扩展应用场景做好准备,而不需要额外增加成本。此外,未来我们还会提供公共云按照用户总数预付费的模式,以满足较为传统的场景需求。阿里云 IDaaS 还会提供线下部署的方案以服务更多客户群体。
阿里云 IDaaS产品的简约,降低了使用门槛,真正实现了身份管理效率、身份安全性的普惠。
三、开放
阿里云 IDaaS 秉持开放理念,支持各类不同类型的扩展和对接比如钉钉、 AD 等常见企业通讯录,以及对接企业应用,是开放性的第一重体现。
以对接应用为例,IDaaS 将应用进行分类分层,每类应用的对接都有其最佳实现方法。在接下来几个月内,IDaaS 会快速实现上百个常见应用预集成,即开即用,各类客户的应用和对接诉求都可以得到实现,为用户提供了最大程度的便利。
阿里云 IDaaS 支持 OIDC、 SAML、OAuth 等标准的 SSO 协议,支持 Steam 标准同步协议以及 RBAC 标准授权模型。基于以上规范和模式,IDaaS 可以实现上千款国内外应用的标准化配置和对接,实现统一访问、统一身份、统一权限、层层递进的应用接入。在此基础上,IDaaS 基于 OIDC 协议采用授权码模式,提供自研应用的 SSO 对接。用户无需关注缩写和名词,只需要知道IDaaS 通过设计尽可能达成了安全和易用的平衡,使自研应用的对接自然而便捷。
接下来以钉钉为例,体验 IDaaS 与钉钉联动的迅捷。
在钉钉的测试企业里有三个账号组织,如上图。
来到 IDaaS ,创建新的身份提供方。
点击下一步后,只需用企业管理员的钉钉扫描此处二维码,即可完成绑定的流程。全程只需点击操作以及两次扫码,不需要填写任何信息,实现了真正的极简化操作。
绑定完成后,IDaaS IDP 钉钉的身份提供方已经创建成功。点击“一键触发”发起同步请求,可以看到页面提示“正在导入中”。点击查看详情可以看到当前的导入进度。运行完成后页面会自动刷新。
回到账户,可以看到账号已经导入进来。直接用钉钉扫码即可登录账户,访问到 IDaaS 的门户页。
以上就是 IDaaS 与钉钉非常简单快速的交互体验。在云钉一体的方向下,阿里云 IDaaS 和钉钉会更加深入地进行合作,为客户提供更原生、更便捷的实用价值。
除了以开放的胸怀面对应用和企业通讯录,IDaaS 还提供了一系列开放的能力,实现各类业务的扩展。通过日志的导出,可以实现客户自主行为分析;利用 OIDC 协议的通用性,可以支持各类自研应用的接入;与网关的联动,可以实现零信任身份管理体系。此外,我们还会提供开源代码,让开发者可以更好地理解、更方便地接入;企业可以自定义登录页实现个性化的展示;通过事件回调的设计,可以扩展 IDaaS 的业务流程。
IDaaS 作为应用身份底座,实现云应用的身份托管。而与企业通讯录相接,IDaaS 能够承载通讯录的完全托管。通过开放的 OpenAPI,IDaaS 可以支持统一的资源编排。且能够支持自定义身份源,通过 IDaaS 与其他企业身份进行联动。此外,IDaaS 还能提供插件市场,将实现各类功能的可控扩展,同时也会提供登录的 SDK ,支持客户将登录框嵌入在任何需要的地方。
本文为大家分享的是 IDaaS EIAM 企业内部身份管理产品的新版本。此外,IDaaS 旗下还包括了一系列围绕企业身份的产品。阿里云 IDaaS 应用身份服务,支持从公到私全环境、从内到外全身份、从厚到薄全场景。无论是私有化部署的诉求、希望提高登陆安全性,亦或是希望管理外部会员的身份,还是希望升级信息安全体系为新一代零新人体系,阿里云 IDaaS 都可以提供对应的咨询和服务。
