Think 时事通讯
您的团队能否及时捕获下一个零日?
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
组织使用 CIAM 解决方案在其数字生态系统(从网站和移动应用程序到物联网 (IoT) 设备等)中创建一致的品牌化用户注册和登录体验。CIAM 工具还有助于自动化和简化生态系统中每个环节的客户数据收集,使组织能够为每位客户提供明确的用户身份。无论用户走到哪里,他们看到的都是同一个登录门户和用户帐户。
同时,CIAM 工具通过实施身份验证、多重身份验证和异常检测等安全控制,保护客户的帐户和个人数据免受欺诈和滥用。
早期的 CIAM 解决方案只专注于消费者身份。一些 CIAM 工具已发展到支持组织员工队伍以外的各类用户(包括合作伙伴、供应商、居民和企业对企业 (B2B) 客户)的身份生命周期管理。
Think 时事通讯
加入安全领导者的行列,订阅 Think 时事通讯,获取有关 AI、网络安全、数据和自动化的精选资讯。快速访问专家教程和阅读解释器,我们会将这些内容直接发送到您的收件箱。请参阅 IBM 隐私声明。
身份和访问管理 (IAM) 是一门关联广泛的学科,用于管理用户如何访问企业网络中的数字资源。CIAM 是 IAM 的子集,专注于管理组织外部的客户和其他人(而不是员工和内部用户)的访问权限。
组织将 CIAM 视为 IAM 的一个独特分支,因为外部客户和内部员工在管理身份和使用数字资源时具有不同的需求和优先事项。
特别是,IAM 和 CIAM 之间存在三个关键区别。
客户数据非常有价值,但要求太多可能会令人反感。CIAM 工具和流程可帮助组织创建优化的工作流,用于邀请和引诱用户分享其个人数据。
相比之下,传统的身份访问管理实践较少关注数据捕获。如果组织需要员工提供信息,只需询问即可。
客户希望获得无摩擦的数字体验。如果他们遇到障碍,他们可能会放弃,甚至在购买过程中放弃购物车。为了避免损害用户留存,CIAM 工具和流程必须在安全性、数据收集和体验之间取得平衡。
传统 IAM 解决方案重安全轻便利,主要基于以下考量。其一,攻击者通过窃取的员工账户造成的破坏远超客户账户。其二,员工对体验不佳的 容忍度更高。直白而言,他们无法因使用体验不佳而弃用企业系统。
由于 IAM 解决方案主要服务于内部用户,因此它们只需要容纳数万甚至最多数十万用户。CIAM 系统必须扩展才能为数百万甚至数亿客户提供服务。因此,CIAM 通常强调自助服务帐户管理和可扩展的云基础设施。
虽然组织确实需要稍微不同的方法来处理 IAM 和 CIAM,但它们不一定需要使用单独的身份解决方案。越来越多的 IAM 工具可以同时处理员工队伍和 CIAM 用例。
CIAM 是一项跨学科的工作,通常涉及 IT、安全、市场营销和企业其他部门的利益相关者。许多组织围绕四个关键支柱构建 CIAM 流程:数据采集、用户参与、自我管理和系统管理。
任何 CIAM 流程的核心都是 CIAM 解决方案。这些解决方案将组织的数字资产和服务统一为单一、一致的品牌用户体验。无论用户在哪里登录(桌面网站、移动应用程序,甚至是附属品牌的网站),他们都会被带到同一个用户帐户。
在后端,CIAM 将所有这些接触点的客户数据捕获到一个集中的安全存储库中,为组织整个数字生态系统中的每个用户创建单一身份。
大多数 CIAM 工具都以基于云的 软件即服务 (SaaS) 解决方案的形式交付。SaaS 解决方案可以随着更多客户注册而扩展,并且可以连接到组织的各种数字资产。供应商也开始以灵活的微服务形式提供 CIAM 解决方案,以更好地适应日益流行的身份结构架构。
用户自行管理其帐户,从帐户创建、加入系统一直到删除(如有必要)。用户可以设置帐户和通信偏好、更新他们的个人资料并重置密码,而无需组织帮助。
CIAMS 捕获并安全存储重要的客户数据,例如人口统计详情、付款信息和订单历史记录。
许多 CIAM 支持“渐进式资料创建”。CIAM 工具不要求用户在注册时填写他们的个人资料,而是分阶段且仅在必要时要求提供数据。例如,电子商务网站的新用户在注册时可能仅需要提供用户名和密码。他们在购买之前不需要分享他们的地址或信用卡详细信息。
许多 CIAM 可以连接内部系统(例如数据仓库和客户关系管理 (CRM) 工具),以便客户数据可用于分析和商业智能。
CIAM 解决方案通常支持多种用户身份验证方法。这些方法通常包括:
CIAM 系统还支持授权,即在系统中授予经过验证的用户适当的权限。访问控制对客户来说很简单:登录后,仅允许您访问自己的帐户,而无其他任何权限。组织可能会对供应商、承包商和其他合作伙伴使用更精细的系统,例如基于角色的访问控制 (RBAC)。
许多 CIAM 系统提供仪表板和报告,管理员可以使用它们来跟踪系统和用户活动,例如身份验证、应用程序使用情况、登录趋势和其他数据点。这些工具可以帮助组织更好地了解其 CIAM 流程和用户。
为了提供无缝的客户体验,CIAM 解决方案必须与各种资产和系统集成。大多数 CIAM 都具有预先构建的应用程序编程接口 (API)、软件开发工具包 (SDK) 和其他工具和连接器,可跨移动应用程序、网站、设备和其他数字体验工作。
为了促进身份编排工作流程,许多 CIAM 还支持无代码和低代码方法,以便跨不同系统构建统一的身份验证和授权流程。
许多 CIAM 解决方案支持自带身份 (BYOI) 和社交登录,即使用第三方(如社交媒体网站)和其他形式的联合身份作为身份提供方。用户无需从头开始创建帐户,而是可以从这些第三方导入自己的个人资料详情,包括凭据。
为了保护用户数据,CIAM 系统包括内置的安全控制措施,例如欺诈检测、身份验证、帐户接管保护、异常检测和自适应身份验证。
CIAM 通常还可以与外部安全工具集成,例如安全信息和事件管理 (SIEM) 解决方案,以更好地检测和防止可疑活动和网络攻击。
虽然 CIAM 和 CRM 解决方案都有助于管理客户数据,但它们的目的却不同。CIAM 工具面向客户。它们专注于允许用户管理其在组织生态系统中的帐户。CRM 工具是面向企业的。他们专注于潜在客户开发和销售渠道等业务职能。
这些工具的名称有助于强调区别:CIAM 工具管理用户的身份,而 CRM 工具则跟踪企业与其用户的关系。
这些工具通常协同工作,CIAM 将客户数据输入到 CRM 工具以便进一步分析,但它们归根结底是具有不同能力的两种不同工具。
CIAM 解决方案可用于各个领域,包括:
CIAM 系统可帮助组织大规模地为客户提供顺畅无阻的个性化体验。
通过 CIAM 解决方案,组织可以为每个客户创建独特、可追溯的身份标识。这些身份使他们能够更深入地了解客户,了解他们的偏好、购买历史和其他重要详细信息。反过来,这些数据可用于开发和提供更有针对性的营销、信息、优惠和推荐。
CIAM 还可以帮助公司在所有平台和门户上创建一致的品牌体验,从而帮助建立客户信任。如果一个品牌的移动应用程序看起来与桌面网站明显不同,用户可能不相信该应用程序的真实性。有了 CIAM,用户在应用程序和网站上就能获得相同的登录体验,从而消除对欺诈或不可靠的担忧。
CIAM 系统可以通过授权客户控制他们分享的数据以及分享方式和时间来帮助优化客户数据捕获。渐进式资料创建还有助于鼓励用户在逐步创建自己的个人资料时分享更多的数据。此外,自我管理同意工具使组织能够记录处理这些客户数据所需的权限。
因此,CIAM 可以建立丰富的客户数据集,组织可以将这些数据集提供给 CRM、商业智能套件甚至是 AI 和 ML 应用程序,以获取分析和洞见。
很多政府使用 CIAM 对公民进行身份验证。CIAM 确保只有真正的公民才能使用数字政府门户获取服务、报税和办理其他重要业务,从而帮助打击欺诈和滥用。
CIAM 可通过提供对合作伙伴门户、供应商平台和企业服务的安全、无缝访问,帮助简化跨组织协作。CIAM 有助于确保每个业务合作伙伴、承包商或供应商对共享系统和数据都拥有适当级别的访问权限,而不会出现不必要的摩擦。
数据泄露平均使组织损失 444 万美元。根据 IBM 的《数据泄露成本报告》,其中 10% 的数据泄露事件原因在于帐户凭据被盗或泄露。
黑客通常无法从被盗的客户帐户升级到敏感的企业系统,但他们仍然可以造成严重破坏,例如窃取个人数据和进行欺诈性购买。如果客户认为组织的系统不安全,他们可能会停止使用相关系统。
组织有充分的理由保护用户帐户,但如果安全要求过于繁琐,用户可能会拒绝。业务合作伙伴、承包商和供应商的容忍度可能略高,但他们的耐心并不是无限的。
CIAM 可以帮助平衡消费者体验和安全性。CIAM 可以帮助组织构建便捷的登录体验,同时通过自适应身份验证等方式促进安全的客户访问;自适应身份验证仅在风险级别较高时才会提示用户输入额外的凭据。
CIAM 可以简化和精简遵守数据隐私和安全法律(如 《通用数据保护条例》(GDPR))的流程。自助同意管理工具使用户能够设置他们的偏好,并允许组织保留同意和偏好的记录。同意管理可以帮助组织与客户建立信任,避免因违规而受到处罚。