2024 年 4 月 4 日
身份编排是一种软件解决方案,用于将来自多个身份提供商的不同身份和访问管理 (IAM) 系统协调为顺畅的工作流。
在数字化转型时代,企业正在采用更多的软件即服务 (SaaS) 解决方案,转向混合多云环境,并接受远程办公。当今的企业 IT 生态系统包含多供应商提供的基于云和本地的应用程序和资产,为从员工和承包商到合作伙伴和客户的各种用户提供服务。
根据一份报告,平均每个业务部门使用 87 种不同的 SaaS 应用程序。1 这些应用程序通常都有自己的身份识别系统,可能无法随时相互集成。因此,许多组织都面临着身份分散和用户体验不佳的问题。
例如,员工可能在公司的票务管理系统和客户关系管理 (CRM) 门户拥有单独的帐户。这可能会使解决客户服务单等简单任务变得困难。用户必须切换不同的数字身份,才能跨不同的系统存取票证详细信息和相关客户记录。
与此同时,IT 和网络安全团队难以跟踪用户活动并在整个网络中实施一致的访问控制策略。在前面的示例中,员工最终获得的权限可能超过他们在项目管理系统中所需的权限,而他们的 CRM 权限太低,无法访问他们所服务的客户的记录。
身份编排软件通过将不同的身份和身份验证服务组织成内聚的自动化工作流程,帮助简化身份和访问管理。
公司的所有身份识别工具都与编排软件集成,后者负责创建和管理它们之间的连接。这种功能使企业能够建立定制的 IAM 架构,如与供应商无关的单点登录 (SSO) 系统,而无需更换或重新调整现有系统。
回到前面的示例,该组织可以使用身份编排平台将工单管理和 CRM 系统中的员工帐户连接到 SSO 平台,并将其全部绑定到中央用户目录。这样,用户只需登录一次 SSO 即可访问这两个应用程序,中央目录会自动验证他们的身份,并为每项服务强制执行正确的访问权限。
增强安全情报
每周在 Think 时事通讯中获取有关安全、AI 等的新闻和洞察分析,从而预防威胁。
在信息技术领域,编排是连接和协调不同工具以自动执行复杂的多步骤工作流的过程。例如在安全编排领域,组织可能会将安全电子邮件网关、威胁情报平台和反恶意软件结合在一起,以创建自动网络钓鱼检测和响应工作流。
身份编排连接并协调不同身份工具的功能,以创建统一、简化的身份工作流。
身份工具是组织用来定义、管理和保护用户身份的工具,例如身份验证系统以及客户身份和访问管理平台。
身份工作流程是用户通过身份工具移动的过程。身份工作流程示例包括用户登录、加入和帐户配置。
身份工具并不总是易于集成,尤其是当组织正在处理托管在不同云上的 SaaS 工具,或试图弥合本地和基于云的系统之间的差距时。身份编排平台可以连接这些工具,即使它们不是为集成而构建的。
身份编排平台充当网络中所有身份系统的中央控制平面。每个身份工具都与编排平台集成,从而创建了一个名为身份结构的全面身份架构。
企业不必对任何这些集成进行硬编码。相反,编排平台使用预构建的连接器、应用程序编程接口 (API) 和 SAML 和 OAuth 等通用标准来管理工具之间的连接。
身份系统被编织到身份结构中后,组织就可以使用编排平台来协调他们的活动,并控制用户在身份工作流期间如何在工具之间移动。至关重要的是,编排平台将身份验证和授权与各个应用程序分离,这使得复杂的身份工作流程成为可能。
如前所述,在没有编排解决方案的情况下,不同的身份系统可能无法相互对话。例如,如果一个组织使用不同供应商提供的客户关系管理 (CRM) 工具和文档管理系统 (DMS),那么每个应用程序都可能有自己的 IAM 系统。
用户必须在每个应用程序中维护单独的帐户。要访问任一应用程序,用户要直接登录该服务。身份验证和授权将在每个应用程序的不同 IAM 系统中进行,不会在应用程序之间传输。
有了编排解决方案,情况就不同了。当用户访问任一应用时,请求将首先通过编排解决方案。该解决方案将请求路由到正确的身份证明和访问控制服务,该服务可以是任一应用外部的中心目录。
一旦用户通过中央目录完成身份验证和授权,编排平台就会触发应用程序,让用户以正确的权限进入。
为了在实践中实现身份编排,组织使用身份编排平台来构建身份工作流。身份工作流也称为“用户旅程”,是规定用户在特定情况下(例如登录应用程序时)如何在身份工具间切换以及这些工具如何交互的过程。
工作流程可以简单明了,也可以相对复杂,包括条件逻辑和分支路径。它们可能涉及许多不同的系统,包括一些严格意义上不属于身份工具的系统,如电子邮件服务和社交媒体网站。
身份编排解决方案使组织无需编写任何新代码即可构建用户旅程。这些解决方案具有可视化、无代码、拖放式界面,可以定义事件、连接身份工具并构建用户路径。
要了解什么是身份工作流程,看一个例子可能会有所帮助。这是一个假想的新员工入职和登录工作流程,组织可以通过编排平台构建该工作流程。
- 首先,新员工在自助式 HR 门户中创建一个帐户。这将触发入职工作流程。
- 身份编排平台会触发在组织的中央目录服务中为新员工创建一个唯一的用户身份。新员工也会自动获得一套基于角色的访问权限。
- 然后,编排平台为新员工提供所有相关服务的账户,包括他们在工作中要使用的应用程序和工资软件等后台系统。这些帐户与中央目录中新员工的主要用户身份相关联。
- 现在员工已进入系统,他们可以登录公司电子邮件应用程序。登录请求不是直接通过电子邮件应用程序发送,而是发送到编排平台。
- 编排平台通过欺诈检测系统对请求进行路由,寻找可疑行为的迹象。由于新员工是第一次登录自己的电子邮件帐户,因此他们被标记为高风险人员。
- 接下来,将登录请求发送到组织的 SSO 平台。由于新员工被标记为高风险人员,因此会启动自适应身份验证。新员工必须使用多重身份验证 (MFA) 才能进入他们的帐户。
- 新员工完成身份验证挑战,并由中央目录进行身份验证和授权。编排平台将此信息转发到 SSO 平台,后者允许新员工使用正确的权限访问其电子邮件帐户以及 SSO 背后的所有其他应用程序。
虽然这里有很多步骤,但值得注意的是,所有这些都是在后台自动进行的,用户不会察觉。编排平台自始至终监督整个过程。此外,今后的登录将更加简化。用户登录 SSO 后,SSO 就会识别他们,并允许他们访问所需的一切。
身份编排平台不能取代现有的身份系统。它们在这些系统之间建立连接,允许各种应用程序和工具协同工作,即使它们不是这样设计的。此功能可以帮助组织解决一些常见问题。
许多组织使用多个云提供商和来自不同供应商的内部部署工具。当这些系统没有集成时,组织将失去对整个网络中用户行为的可见性。例如,IT 和安全团队无法在 Microsoft Azure 和 Amazon Web Services 之间跟踪单个用户,因为他们为每个云使用单独的帐户。
这种分散的格局也可能使对公司的所有应用程序和资产实施一致的访问策略和安全控制变得困难。
这些可见性和安全性方面的差距为黑客和恶意内部人员创造了在不被发现的情况下造成严重破坏的机会。当涉及到身份系统时,风险尤其高,而身份系统是网络罪犯的主要目标。根据 X-Force® Threat Intelligence 指数,2022 年至 2023 年间,使用被盗或泄露凭据的网络攻击增加了 71%。
从理论上讲,组织可以通过仅使用来自一个供应商的工具或仅使用旨在集成的工具来避免身份孤岛。然而,这意味着组织不能总是自由地选择适合工作的工具。
身份编排可以勾连身份孤岛并恢复可见性,而无需对现有系统进行大规模更改。企业可以创建集中式目录以支持每个用户的单一数字身份,从而使公司能够实时跟踪应用程序和资产中的行为并 发现威胁 。公司还可以使用编排在整个网络中应用统一的访问控制。
此外,身份编排平台可以集中管理员工、客户等各类用户的身份生命周期。企业可以为面向消费者的资产带来稳健的网络安全控制,同时不会破坏客户体验。
SSO 允许用户使用一组凭据登录多个系统,但每个 SSO 平台可能不兼容企业的所有应用程序和资产。这是因为不同的 SSO 可以使用不同的标准(例如 SAML 或 OIDC)在系统之间交换身份验证信息。如果应用程序或资产不能使用与特定 SSO 相同的标准,则它无法与该 SSO 通信。
身份编排平台可以将 SSO 与未原生集成的应用程序连接起来。应用程序和 SSO 与身份编排平台集成,而不是直接相互集成。然后,身份编排平台处理系统之间的通信,允许组织将其所有应用程序和资产纳入同一个 SSO,而不管兼容性如何。
企业通常希望将 MFA 或无密码身份验证等新的安全措施扩展到旧版应用程序。然而这种现代化改造工作可能既昂贵又耗时,通常需要定制代码或更换整个系统。
身份编排可以简化流程。企业可以使用编排平台的可视化界面来设计身份工作流程,为旧版应用程序带来最新的安全工具。这允许企业将基于云的资产和本地资产整合到单个零信任架构中。
企业需要了解用户行为,以遵守《通用数据保护条例》 (GDPR) 或《健康保险流通和责任法案》(HIPAA) 等法规。
这些法规要求企业对敏感数据(如信用卡号和医疗保健信息)应用严格的访问控制策略,并跟踪用户如何处理这些数据。若用户拥有多个数字身份,则很难确保仅有授权人员能基于正当理由访问特定数据。
身份编排可以更轻松地跟踪用户行为和强制执行一致的访问权限,从而帮助组织满足合规性要求。一些编排平台还保留身份工作流程日志,这在进行审计时可能会有所帮助。