IDM身份管理平台5A功能架构

内容一，转自知乎，做了编辑和修改，仅仅内容整理使用的架构参考。

在当今数字化时代，企业面临着越来越复杂的安全挑战。随着企业内部应用的增多和多样化，如何有效管理和控制用户的访问权限、确保数据安全性以及满足合规性要求成为了一项迫切的任务。在这一背景下，IDM统一身份管理平台成为了企业信息安全的重要组成部分。

通过IDM平台，企业可以实现对用户的认证、授权、账号管理、审计和安全策略的全面管控，即5A管控。接下来将详细介绍IDM统一身份管理平台如何实现5A管控，以及其中的关键步骤和注意事项。

一、整体介绍

IDM身份管理平台满足企业对信息系统的统一用户管理、统一身份认证、统一授权管理以及安全审计的要求，能够实现各业务系统的统一登录和集中访问，实现用户身份和权限的统一认证与授权管理，为企业不同的业务系统提供统一的用户管理和认证服务。

1.功能架构

IDM主要对组织、角色、人员进行管理，并对其所有的状态进行记录，如：初始化、审批中、已启用、已禁用等，账户统一管理可以实现从HR系统中获取组织用户数据，也可直接在IDM系统中录入数据，用户信息中的部分属性信息根据同步策略由HR系统或其它指定系统同步更新到用户目录，其它用户信息可在应用系统中各自进行维护，通过IDM统一用户信息后，发送到各个业务系统。

2.系统架构

IDM主要是实现统一认证、授权、审计管理，提高企业身份认证及访问安全，建立授权流程审批机制，使用户身份信息、授权信息、审批信息等操作更加规范化、标准化，提高整体IT架构的风险防范能力。

消除企业系统间的信息孤岛，为各系统提供统一身份认证、用户身份管理服务，逐步实现系统身份系统的整合，构建面向用户的认证和授权服务，使业务操作更流畅。为简化IT运维提供强大的技术手段和标准，实现账户数据自动化同步操作，同时制定合规的安全服务规范，构建统一的、支撑企业级的认证授权安全服务基础设施。

3.应用场景

在企业信息安全管理中，IDM统一身份管理平台的5A管控扮演着关键角色。这五个方面的功能：认证、授权、账号管理、审计和管理，共同构成对用户身份和访问权限的全面管理。通过IDM平台，企业能够确保用户身份的合法性、访问权限的精细控制、账号的安全管理、用户行为的监控和管理、以及身份管理系统本身的稳健运行。这种全面的管控手段为企业提供有效的安全保障，保护敏感信息不受未经授权的访问，提高企业的信息安全水平。因此，IDM统一身份管理平台的5A管控在当今企业信息安全管理中具有不可替代的重要性。

二、统一用户

IDM统一身份管理平台提供统一用户管理功能，使得企业可以在一个集中的平台上管理所有用户的身份信息、权限和访问控制策略。这种统一性简化了用户管理的复杂性，提高了安全性和管理效率。

1.场景说明

在企业内部，员工可能需要访问多个应用程序和资源，如邮箱、文件共享、内部网站等。使用统一用户的好处在于简化用户的登录流程，提高用户体验，同时也提升安全性和管理效率。企业使用统一用户后可以：

简化登录流程：用户只需使用一个统一的身份凭证即可登录企业的所有系统，通过IDM统一身份管理平台进行身份认证。

减少记忆负担：通过统一用户，用户无需记忆多个不同应用程序的登录凭证，只需要记住一个统一的凭证即可访问所有应用。

便于管理：管理员可以在IDM平台上集中管理用户的身份信息和访问权限，简化了用户管理和权限管理的流程，提高了管理效率。

2.实际步骤

企业一般用户是以人力部门为标准，一般是以HR为源头，通过IDM接收接口将组织、人员、岗位信息同步到IDM中，在IDM进行统一管理，然后通过分发接口分发到下游各个业务系统。IDM为用户提供统一集中的账号(组织、人员、岗位)管理及分发，实现员工入职、离职的一键式同步及分发。

3.注意事项

1.确保同步更新：确保用户在IDM平台上的信息与各个应用程序的用户信息保持同步，避免因信息不一致导致的权限管理混乱。

2.灵活配置权限：根据不同用户的工作职责和需要，灵活配置其访问权限，避免过度授权或权限不足的情况。

3.加强身份验证：对于特别敏感的应用或操作，考虑采用额外的身份验证方式，如多因素认证，提高安全性。

三、统一认证

统一认证以统一用户管理为基础，对所有应用系统提供统一的认证方式和认证策略。通过单点登录技术，用户经过统一身份认证系统认证后，无需再次登录即可访问其它具有访问权限的应用系统。统一认证提供账号同步模块及接口，可通过账户管理中预置的接口实现，也可以与ESB集成平台协作，完成接口同步功能。统一认证的系统管理功能能够对业务系统的信息进行管理配置，用户可以对已录入的用户信息进行查询以及删除，信息修改可以修改当前用户的密码。

1.场景说明

1.CAS认证：

CAS用于统一身份认证技术，Web应用系统提供一种可靠的单点登录解决方法，在实现统一身份认证过程中，一般CAS Server登录成功后只会给业务系统返回一个登录账号，但特殊情况需返回多个值，支持多种客户端，安全可靠。

2.Oauth认证：

Oauth认证不会使第三方触及到用户的账号信息，不会以代码侵占的认证方式，通过认证平台登录账户成功后，会从定向业务系统的页面，调用Oauth接口获取token和用户信息，从而业务系统可以通过用户信息及直接的认证方式进行登录认证，这样就实现Oauth模式单点登录模式。

3.接口认证：

接口认证的使用场景和CAS、Oauth有所区别，接口认证主要是满足于桌面端、APP端等有独立的登录页面，同时也无法集成CAS登录页的情况，这种情况由于只能使用业务系统自己的登录页，所以IDM平台提供的认证接口用于满足统一认证的需求。

2.实际步骤

1.CAS认证：CAS认证是实际项目中要调用CAS相关的jar包内容，所以业务系统需要引用相关jar包，然后通过配置文件配置拦截器方式进行拦截到IDM登录页面实现统一认证。

2.Oauth认证：Oauth认证是通过业务系统调用Oauth的三个认证API进行获取用户信息，然后通过用户信息来进行业务系统内部认证来实现统一认证。

3.接口认证：接口认证是一些客户端产品无法实现Oauth和CAS认证，接口认证先进行IDM认证，然后出参为用户信息，业务系统需要通过出参的获取用户信息进行登录认证。

3.注意事项

1.安全性考虑：确保IDM平台的身份认证机制安全可靠，防止身份信息泄露或被恶意利用。

2.性能优化：针对大量用户同时访问的情况，需要考虑优化单点登录的性能，保障系统的稳定运行。

3.合理配置凭证策略：对于不同类型的用户，可以根据其安全需求和工作特性，灵活配置凭证策略，如密码复杂度要求、单点登录超时时间等。

四、统一权限

IDM统一身份管理平台提供统一权限管理功能，允许企业管理员集中管理用户的访问权限，包括角色管理、权限分配和访问控制策略制定等，从而确保用户对企业资源的访问权限得到全面控制和管理。

1.场景说明

在企业内部，不同的用户可能需要访问不同的应用和资源，而且其访问权限也有所差异。通过IDM平台的统一权限管理功能，企业管理员可以根据用户的身份、角色和工作需求，统一管理其访问权限，保障了企业资源的安全和合规性。并且从源头系统发给IDM身份管理平台的用户后，IDM将用户的权限配置后还可以将用户的权限统一发给下游系统中，由此来实现统一权限。

2.实际步骤

统一授权是在IDM管理业务系统下的角色和对应的功能资源（菜单资源、API资源、数据资源），通过对功能资源的角色授权，及下发权限资源的操作，进行业务系统下权限资源的统一管理。使其他业务系统的功能资源被IDM集中管控，从而实现统一授权。

3.注意事项

1.权限粒度控制：确保权限的分配和访问控制策略的制定具有足够的粒度，以满足不同用户和应用的特定需求。

2.定期审查权限：随着企业业务的变化，应定期审查和更新用户的权限，及时调整权限分配，避免过度授权或权限不足的情况。

3.合规性考虑：确保权限管理和访问控制策略的制定符合相关的法律法规和行业标准，保障企业的合规性。

五、统一审计

IDM统一身份管理平台提供统一审计功能，允许企业管理员对用户的访问行为进行监控、记录和审计。通过审计功能，管理员可以跟踪用户的操作活动，及时发现异常行为并采取相应措施，从而确保企业信息系统的安全性和合规性。

1.场景说明

统一审计功能主要实现用户对应用系统访问情况进行统一监控、记录和为后续发生事故时提供可追查的机制。

2.实际步骤

认证日志：在用户登录IDM身份管理平台后即可在认证日志中查看登录用户信息，包括认证应用、用户编码、用户名称、访问地址、认证事件、认证状态以及访问类型。

操作日志：在用户进行增删改查以及对数据进行同步和分发时都会有对应的操作日志。

安全日志：在IDM身份管理平台进行分发密码以及在登录IDM所触发的认证策略和密码策略都会在安全日志中体现出来。

3.注意事项

1.合规性需求：确保审计功能的设置和操作符合相关法律法规和行业标准的要求，保障企业的合规性。

2.隐私保护：在审计过程中，需要注意保护用户的隐私信息，合法合规地进行审计监控。

3.定期审查和分析：定期审查审计日志，分析用户行为，及时发现安全漏洞和风险，优化安全策略。

六、应用管控

5A管控中的4A已经介绍完毕，但是想要实现IDM的4A管控最重要的就是这第5A，即应用管理（AppControl）需要业务系统进行相应的应用配置。业务系统进行注册后才能够获取到数据的分发权限，提供相应的访问URL才可以与IDM进行相应的认证对接。

1.场景说明

应用管控是针对应用系统的分发权限（用户、组织、岗位哪些系统有权限）、应用系统的认证配置、应用系统的访问权限进行统一管控，实现IDM身份管理平台和其他系统的集成管理、用户管理以及认证管理。以用户身份为中心，解决企业当前权限管理面临的开通难、查询难、回收难和管理难的问题，实现企业全景业务权限的集中化、自动化、标准化、安全化、可视化、智能化、合理化、高效化，通过权限画像能力，加速企业权限管理建设，提升安全、效率、体验和降低权限管理与维护成本。

2.实际步骤

首先在应用管控中可以对各个下游系统进行配置包括基础信息、认证配置以及分发接口的管理，IDM统一身份管理平台可以有效实现对企业内部应用的5A管控，即对用户的认证、授权、账号管理、审计和安全策略的全面管控，提高了企业信息安全水平，保障了企业业务的稳健运行。

3.注意事项

1.合理配置权限：管理员在设置用户权限时，应根据实际工作需要和安全策略，合理配置权限，避免过度授权或权限不足的情况。

2.定期审查策略：随着企业业务的变化，应用管控策略也需要不断调整和优化。因此，定期审查和更新管控策略至关重要。

3.保障隐私安全：在行为监控和审计过程中，需要确保用户隐私的保密性，合法合规地进行监控和审计，避免侵犯用户隐私。

七、总结说明

IDM统一身份管理平台通过统一认证、权限、审计等功能，实现了对企业内部应用的全面管控。统一认证简化了用户登录流程，提高了用户体验；统一权限管理确保了用户访问权限的精细控制；统一审计功能则实现了对用户行为的实时监控和审计。在应用管控过程中，合理配置权限、保障隐私安全以及定期审查和更新策略都至关重要。通过IDM平台的应用管控，企业可以提升信息安全水平，保障企业数据和资源的安全性和合规性。

1.过程总结

通过IDM统一身份管理平台实现5A管控的过程可以简洁概括为：统一认证、权限管理、审计监控。首先，通过统一认证功能，用户可以使用单一凭证访问多个应用，提高了用户体验和工作效率；其次，统一权限管理功能确保了对用户访问权限的精细控制，根据用户角色和需求进行权限分配；最后，审计监控功能实时记录和监控用户行为，及时发现异常并采取相应措施。这一过程有效保障了企业信息系统的安全性和合规性，提升了企业管理效率和数据安全水平。

2.重要事项

此篇文章主要针对IDM如何实现5A管控进行介绍。以下是重要事项：

1.合理配置权限：确保对用户的访问权限进行精细化管理，根据用户的角色、职责和需要，灵活配置其访问权限，避免过度授权或权限不足的情况。

2.审计日志记录：审计功能是监控和审查用户行为的重要手段。IDM平台应具备完善的审计日志记录功能，及时记录用户的登录、操作和权限变更等行为，以便审计和调查。

3.确保在进行用户和组织数据同步时，维持一致性。及时更新用户信息、组织结构以及相关属性，以防止数据不一致性的问题。

3.说在最后

企业面临着日益复杂的信息安全挑战，而IDM统一身份管理平台的出现为企业提供了一种全面管控的解决方案。通过统一认证、权限管理和审计监控等功能，IDM平台实现了对用户身份、访问权限和行为的全面管控，提高了企业信息系统的安全性和合规性。

在数字化转型的时代，企业需要重视信息安全管理，并选择适合自身需求的身份管理解决方案。IDM统一身份管理平台的应用管控功能为企业提供了一体化、全面性的解决方案，为企业保驾护航，助力其安全发展。通过合理配置权限、定期审查策略和保障隐私安全等措施，企业可以充分利用IDM平台的优势，提升信息安全水平，实现持续发展。

第二部分内容转载自CSDN

一、概念：SaaS + IAM = IDaaS
身份即服务（或 IDaaS）是由第三方服务商构建、运行在云上的身份验证。IDaaS 向订阅的企业、开发者提供基于云端的用户身份验证、访问管理服务。

IT 服务中的「X 即服务（XaaS）」模型很容易理解，这意味着某些功能是通过供应商以云服务交付或提供给客户的，而不是在现场服务或由内部人员开发、运维的功能，这种差别就好比 —— 云电子邮件服务（例如 Gmail）和 PC 本地的电子邮件服务（例如 Thunderbird）的差别。身份、安全和其他功能也可以以类似的云服务模式提供。

通俗一点来讲， IDaaS = SaaS + IAM 。为什么这么说呢 ？

SaaS（Software as a Service ）的意思是软件即服务，指由云服务厂商提供服务，软件不再需要复杂的安装部署过程，只需通过网络连接就可直接使用，软件及其数据托管在云服务厂商中，厂商将全程负责处理软件更新、漏洞修复等维护工作。用户通常通过 Web 浏览器或 API 连接就可以使用软件。

IAM 全称 Identity and Access Management，也是一种 Web 服务，可以帮助用户安全地控制对资源的访问。通俗来说，就是可以使用 IAM 来控制谁通过了身份验证（准许登录）并获得授权（拥有权限）来使用资源。举个例子，IAM 就像是大厦门口的保安，企业的应用程序接入 IAM 服务后，就可以“高枕无忧”，IAM 会帮你控制谁有访问应用的权限。

IDaaS （ Identity as a Service ）中的Identity 就是 IAM 中的身份概念，as a Service 就是 SaaS。IDaaS 实际上就是一个基于 SaaS 模式的 IAM 解决方案，也就是云上的身份和访问管理服务，完全由受信任的第三方云服务厂商托管和管理。它允许企业使用单点登录、身份验证和访问控制来提供对任意接入的已实现标准协议应用的安全访问。根据 IDaaS 厂商提供的功能，某种程度下，你甚至可以认为 IDaaS 就是 IAM。

国内目前了解到的 IDaaS 厂商有，腾讯云 IDaaS、阿里云应用身份服务IDaaS 、Authing 。在云计算、云原生领域，很多时候想要了解一个产品，其实可以去上述三家企业官网看看，多参考参考他们的现成方案。

用户身份管理的目标是确保用户是他们声称的身份，并在正确的时间为他们正确地提供对应的应用、文件或其他资源的访问权限。如果要实现这样的目标的基础架构是在公司本地内部构建的，则公司必须在每次身份、应用出现改变时，及时采取对应的改动、集成和维护措施，如许多 500 强公司在并购一家新公司时，需要整合不同技术的身份目录。相比不断地自己去不断地面对身份相关的新问题，选择基于云的身份服务平台就要简单得多，因为 IDaaS 公司里的身份专家已经为数百个公司重复地解决了此类问题。

二、功能：IDaaS 能为企业做什么？
对于面向员工的组织 IT 管理，使用诸如 Active Directory（AD）服务之类的软件在配置人员应用身份时，会很麻烦。使用类似 AD 的这种传统服务，您的团队必须时刻保持服务的可用性；购买、升级和安装软件；定期备份数据；支付托管费用；设置 VPN……以及更多。而使用 IDaaS，成本将降低到只剩订阅费用，以及日常的简单管理工作就可以了。例如，中国石油、东南大学都在使用 authing.cn 的 IDaaS 来实现内部成千上万的人员的统一身份认证。

而使用 IDaaS 的投资回报（ROI）包括优化的网络安全性、更快的登录体验和更少的密码重置，从而节省了运维、管理的时间，改进的安全性可使开发者和企业免受黑客的入侵或破坏。 IDaaS 的应用不止这些，还可以用于许多不同的应用场景，比如：

通用认证，这是一种安全的登录基础架构，对用户进行应用的身份验证功能。通过通用认证，您可以配置自定义域名、登陆界面 UI、认证功能管理（设置登录异常检测、MFA，管理社交登录、企业身份源）。

单点登录，用户仅需在服务的网络外围进行一次登录即可，并且只需进行一次操作，即可访问您授权他的软件和资源，国外的大量开发者已经用 IDaaS 的单点登录来提升 C 端用户体验，也有很多 500 强企业在用它来统一管理员工的应用权限。

多因素认证，开启这项功能后，用户必须验证某个因素才能进入网络服务，从而提高安全性；并可分析登录风险，以动态授予访问权限。

统一用户目录，允许您存储来自各种社交平台、应用程序和身份提供商（例如邮箱、微信、Active Directory、LDAP 或钉钉、泛微）的无限数量的用户和资料，支持任何类型的用户属性字段。

那么这些功能如何作用于企业呢？IDaaS 共有五个（5A）能力象限：

2.1、统一账号管理 Account
IDaaS 提供统一的用户目录，通过可信单一数据源（SSoT）可将企业不同系统的数据进行统一整合和管理，同时又可以基于「多租户」架构，实现相同应用、系统中不同租户间的数据隔离，让每个租户的管理员都可以管理租户下的资源。

IDaaS 的统一账号管理支持一处管理所有员工账号，卓越的 IDaaS 解决方案还同时提供「同步中心」，即通过 IDaaS 与所有业务系统间构建同步机制，管理员仅需在控制台一处管理（设置员工信息或权限策略等）用户信息和组织结构，即可直接同步至指定的业务系统中。极大的节省了管理人员的工作量，同时也避免了因为误操作导致的信息安全隐患。

2.2、统一身份认证 Authentication
IDaaS 支持不同域下应用和系统统一认证集成，并提供单点登录能力，用户通过一个统一的登录门户，仅需认证一次，即可访问所有被授予访问权限的业务系统。同时在不同业务系统中，用户会跟随权限设置自动切换对应角色和权限。通过打通不同应用间的身份信息以及授权管理系统提供的权限信息，可以有效消除应用间的数据壁垒，释放生产力。

管理员还可以通过设置自适应多因素认证（MFA），在保障企业数据安全前提的同时，也不损失用户体验。自适应多因素认证（MFA）能够根据安全策略以及当前的安全状况，选择应用不同的 MFA 认证方式。

2.3、统一授权管理 Authorization
IDaaS 可以提供多种权限模型供不同业务需求的企业选择，并对开发者提供策略模型的 API/SDK 来保证集中管控和满足未来业务需求的灵活扩展性。目前被市场广泛采用的是基于角色的访问控制（RBAC）以及基于属性的访问控制（ABAC）。

2.4、统一应用管理 Application
强大的 IDaaS 系统支持所有标准协议来满足不同应用的集成，同时会预集成足够多的应用软件来降低企业的集成应用的成本。IDaaS 会提供标准的集成规范，并针对不同协议系统提供详细的接口说明，满足企业现有业务需求的同时保障未来新业务系统能规范化的集成与管理。包括提供 ASA（表单代填）的方式来帮助企业集成打通老旧系统。

2.5、统一审计管理 Audit
完善的审计日志是企业保障合规性的前提，IDaaS 提供可视化的行为日志以便管理员快速获悉用户在平台中的行为数据，支持自定义监听用户事件，帮助管理员实时掌握访问报告、授权信息等。可靠的 IDaaS 服务提供商应该满足 ISO/IEC 20000-1 、等保三级、欧盟 GDPR 数据保护等认证。

三、标准：卓越的 IDaaS 解决方案？
卓越的 IDaaS 解决方案需要同时具备：

3.1、高安全
安全是一切需求的前提，IDaaS 解决方案应该具备应对各种风险状况的安全管理机制，包括：

事前：基于零信任架构的访问控制策略、密码策略、授权管理策略，包括但不仅限于多因素认证、权限管理策略等；
事中：动态提权、降权，进行实时且多维度的评估和告警；
事后：拥有完善的审计日志和自动化的用户行为审计和跟踪，帮助管理员进行全面的身份审计、溯源、分析，以及持续优化的风控引擎。
同时也需要具备全时段的安全应急响应措施，来保障客户在受到安全风险的同时能及时得到解决。

3.2、高性能
基于云原生架构的 IDaaS 解决方案具备高速弹性扩容来保障客户突发的业务需求，满足高并发情况下系统的稳定性。支持毫秒级别的查询和写入速度。以及支持多种云环境的部署方案，满足不同场景的业务需求。

3.3、高生产力
IDaaS 解决方案应具备前瞻性的产品设计理念，包括但不仅限于：“开箱即用”的能力能极大程度降低企业的使用成本；完备的开发者文档能极大程度降低开发者的学习成本；可视化的管理模版能极大程度降低运维人员的工作量；模块化和可复用的产品设计能让企业可以根据需求快速满足和补强当前身份管理能力；标准化的集成规范能让企业仅需通过标准化的配置快速集成所需应用，极大程度降低了集成成本。

四、未来：现代企业为什么需要 IDaaS ？
IDaaS 的主要优势是节省，从根本上讲，IDaaS 节省成本，提高效率，实现做事情的专业度。卓越的 IDaaS 解决方案将为企业节省大量研发成本、提升员工效率、降低运维人员负担、保障企业信息安全、提升用户体验等。

Gartner 报告预测，2022 年年底之前，预计全球 40% 的中大型企业都将应用 IDaaS 产品来代替传统的 IAM。企业开始意识到他们可以在无需对 IAM 进行托管的情况下，就可以拥有更完善的身份管理服务。这样企业就可以把节省的时间投入到向客户交付价值的核心能力上。

对一些 IDaaS 的客户案例感兴趣吗？联系 authing.cn，看看 Authing 与中国石油、高等教育出版社、埃森哲、亚马逊、德高集团的合作案例吧。
————————————————

                            版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。
                        
原文链接：https://blog.csdn.net/u011397981/article/details/131438076