本文分享自華為雲社區《面對龐大複雜的身份和權限管理，企業該怎麼辦？-雲社區-華為雲》，作者： 華為雲PaaS服務小智。

随着各領域加快向數字化、移動化、互聯網化的發展，企業信息環境變得龐大複雜，身份和權限管理面臨巨大的挑戰：

• 應用規模快速增長，存在信息孤島。各個應用系統的訪問入口和帳号孤立分散在各自系統中，缺乏統一的用戶管理體系，造成在流程效率、信息安全、風控管理方面存在諸多風險問題。
• 用戶數快速增長，用戶維度擴大。用戶、組織生命周期管理無統一的IT工具，人工管理低效易錯。
• 用戶身份和權限，缺乏統一管理平台。人員流動（離職、轉崗等）後帳号和權限無法自動更新狀态，造成帳号洩密；無審計日志，帳号操作無法追溯。
• 信息化發展，認證要求提高。傳統的應用系統僅支持靜态密碼一種認證方式，無法兼顧易用和不同等級應用的安全性。

面對以上挑戰，傳統的身份和權限管理系統已無法應對，我們可以怎麼做呢？這裡先給大家介紹IAM和IDaaS，這兩個與身份和權限管理系統息息相關的概念。

IAM（Identity and Access Management的縮寫），即“身份與訪問管理”，它提供單點登錄、認證管理、集中的授權和審計，幫助企業安全、高效地管理IT系統的帳号和資源權限，傳統的IAM服務雖然解決了部分身份問題，但是開發效率低，成本浪費嚴重。

IDaaS（Identity As a Service的縮寫），即“身份即服務”，IDaaS=IAM SaaS，是雲計算時代、SaaS服務興起的産物，是一種雲化的身份與訪問管理服務，由第三方雲服務廠商構建并維護。與傳統IAM相比，IDaaS為身份認證帶來了SaaS的成本優勢，且适配性更強、安全性更高，可處理更大規模、更加複雜的數據。

OneAccess是華為雲提供的IDaaS服務，是貫穿企業業務流程的身份訪問管理系統。提供集中式的身份管理、認證、授權、監控和審計平台，保證合法的用戶、以适當的權限訪問受信任的的應用系統，并對異常訪問行為進行實時預警和有效防範，為企業構建“零信任”的安全架構提供身份基礎設施，提供的核心能力如下：

融合客戶多個身份源，為上層應用提供一緻的身份服務；為帳号提供從注冊到注銷的全生命周期管理；管理企業内部的組織架構、用戶身份，真正實現人與帳号一一對應。

提供4種粒度權限管理模型（平台級、大門級、應用預置級和細粒度）。其中：平台級提供管理員的分權分域管理後台；大門級為普通用戶提供訪問應用系統的常用權限管理；應用預置級提供應用内置角色的控制能力；細粒度提供應用系統精确到菜單、按鈕的控制能力。

支持密碼、動态密碼OTP、短信驗證碼、二維碼、圖形碼能力，支持對接指紋、人臉等生物認證系統、CA數字證書；除單一認證方式外，還支持雙因素、多因素MFA認證。

提供行業主流的OAuth、SAML、CAS、OIDC标準協議，同時支持插件代填的方式實現對無接口應用系統的集成。

支持4種行業标準SSO協議（OAuth、SAML、OIDC、CAS），預集成1050 行業應用，17類社交認證源（含Welink、釘釘、微信、支付寶和QQ等），9個行業身份源（含AD、飛書、SAP等），極大縮短客戶的上線時間。

雲橋是一個應用級安全代理，其目的是在企業内網和OneAccess服務之間建立起一條安全通道，支持OneAccess對接企業内的身份和認證資源（例如：Windows AD），核心優勢包括數據安全性、高有用和請求專有性。

OneAccess應用場景

OneAccess支持雲辦公、智慧園區、智慧城市、智慧交通、金融和教育等多個解決方案和典型行業，下面以雲辦公場景為例。

雲辦公場景下企業往往會面臨很多典型問題：

• 人事事件無法業務協同，安全性差：在每次員工入職、離職、調崗等人事事件發生時，各個應用管理員需分别在各個系統中開通帳号或維護帳号。
• 缺少統一的企業自認證，安全性差：員工使用雲辦公系統帳号登錄後，缺少統一的企業二次認證能力，信息安全得不到保障。
• 應用多樣，員工使用不便：日常工作中使用了多套應用系統，每人有多個應用系統帳号，既有公有雲的SaaS應用，也有本地部署的應用，需要在雲辦公系統和應用之間來回切換登錄。

OneAccess身份訪問管理方案是如何解決上述問題的呢？

人員入職、離職、轉崗等人事變動，客戶隻需要維護身份源系統（例如：Windows AD、LDAP等）的人員變化，OneAccess定期同步身份源系統的用戶信息，保證人員信息時刻準确，簡化企業對人員的管理：

效果示例：

企業員工變動頻繁，如若不及時更新各個應用系統的帳号，離職人員訪問企業内部系統，會造成信息洩露。企業員工登陸雲辦公系統後，可使用已有的身份源帳号進行企業二次認證，OneAccess支持通過OAuth 2.0等協議與雲辦公系統完成認證：

以國内某大型電子科技企業案例為例, OneAccess與華為雲辦公會議系統Welink集成，解決客戶基礎業務能力，包括身份管理、應用集成、單點登錄、雲辦公等服務，效果如下：

企業應用系統通過标準SSO協議集成到OneAccess，利用OneAccess的單點登錄能力，做到一個帳号，一次認證，登錄所有應用系統；将雲辦公系統作為認證源集成到OneAccess後，員工就可以在雲辦公系統中免密登錄所有企業應用系統；利用OneAccess的應用權限管理，自動控制員工對應用系統的訪問權限，減少企業管理員的維護成本：

以上述大型電子科技企業客戶為例，效果如下：

OneAccess已助力多個客戶完成了身份訪問管理、雲辦公的建設，幫助客戶實現了降本增效，同時保證了企業身份安全性以及辦公效率，有助于客戶品牌形象的進一步提升，推動企業數字化轉型以及信息安全。

目前OneAccess已上架華為雲國内站，想了解更多信息，點擊應用身份管理服務OneAccess_華為雲IDaaS_華為雲，立即體驗！

點擊下方，第一時間了解華為雲新鮮技術~

華為雲博客_大數據博客_AI博客_雲計算博客_開發者中心-華為雲