在信息技术领域，编排是连接和协调不同工具以自动执行复杂的多步骤工作流程的过程。例如在安全编排领域，组织可能会将安全电子邮件网关、威胁情报平台和反恶意软件结合在一起，以创建自动网络钓鱼检测和响应工作流程。

身份编排连接并协调不同身份工具的功能，以创建统一、简化的身份工作流程。

身份工具是组织用来定义、管理和保护用户身份的工具，例如身份验证系统以及客户身份和访问管理平台。

身份工作流程是用户通过身份工具移动的过程。身份工作流程示例包括用户登录、加入和帐户配置。

身份工具并不总是易于集成，尤其是当组织正在处理托管在不同云上的 SaaS 工具，或试图弥合本地和基于云的系统之间的差距时。身份编排平台可以连接这些工具，即使它们不是为集成而构建的。

身份编排平台充当网络中所有身份系统的中央控制平面。每个身份工具都与编排平台集成，从而创建了一个名为身份结构的全面身份架构。

组织不必对任何这些集成进行硬编码。相反，编排平台使用预构建的连接器、应用程序编程接口 (API) 和 SAML 和 OAuth 等通用标准来管理工具之间的连接。

身份系统被编织到身份结构中后，组织就可以使用编排平台来协调他们的活动，并控制用户在身份工作流期间如何在工具之间移动。至关重要的是，编排平台将身份验证和授权与各个应用程序分离，这使得复杂的身份工作流程成为可能。

如前所述，在没有编排解决方案的情况下，不同的身份系统可能无法相互对话。例如，如果一个组织使用不同供应商提供的客户关系管理 (CRM) 工具和文档管理系统 (DMS)，那么每个应用程序都可能有自己的 IAM 系统。

用户必须在每个应用程序中维护单独的帐户。要访问任一应用程序，用户要直接登录该服务。身份验证和授权将在每个应用程序的不同 IAM 系统中进行，不会在应用程序之间传输。

有了编排解决方案，情况就不同了。当用户访问任一应用时，请求将首先通过编排解决方案。该解决方案将请求路由到正确的身份证明和访问控制服务，该服务可以是任一应用外部的中心目录。

一旦用户通过中央目录完成身份验证和授权，编排平台就会触发应用程序，让用户以正确的权限进入。

为了在实践中实现身份编排，组织使用身份编排平台来构建身份工作流程。身份工作流也称为“用户旅程”，是规定用户在特定情况下（例如登录应用程序时）如何在身份工具间切换以及这些工具如何交互的过程。

工作流程可以简单明了，也可以相对复杂，包括条件逻辑和分支路径。它们可能涉及许多不同的系统，包括一些严格意义上不属于身份工具的系统，如电子邮件服务和社交媒体网站。

身份编排解决方案使组织无需编写任何新代码即可构建用户旅程。这些解决方案具有可视化、无代码、拖放式界面，可以定义事件、连接身份工具并构建用户路径。

要了解什么是身份工作流程，看一个例子可能会有所帮助。这是一个假想的新员工入职和登录工作流程，组织可以通过编排平台构建该工作流程。

1. 首先，新员工在自助式 HR 门户中创建一个帐户。这将触发入职工作流程。
   
   
2. 身份编排平台会触发在组织的中央目录服务中为新员工创建一个唯一的用户身份。新员工也会自动获得一套基于角色的访问权限。
   
   
3. 然后，编排平台为新员工提供所有相关服务的账户，包括他们在工作中要使用的应用程序和工资软件等后台系统。这些帐户与中央目录中新员工的主要用户身份相关联。
   
   
4. 现在员工已进入系统，他们可以登录公司电子邮件应用程序。登录请求不是直接通过电子邮件应用程序发送，而是发送到编排平台。
   
   
5. 编排平台通过欺诈检测系统对请求进行路由，寻找可疑行为的迹象。由于新员工是第一次登录自己的电子邮件帐户，因此他们被标记为高风险人员。
   
   
6. 接下来，将登录请求发送到组织的 SSO 平台。由于新员工被标记为风险较高，因此自适应身份验证开始了。新员工必须使用多重身份验证 (MFA) 才能进入他们的帐户。
   
   
7. 新员工完成身份验证挑战，并由中央目录进行身份验证和授权。编排平台将此信息转发到 SSO 平台，后者允许新员工使用正确的权限访问其电子邮件帐户以及 SSO 背后的所有其他应用程序。

虽然这里有很多步骤，但值得注意的是，所有这些都是在后台自动进行的，用户不会察觉。编排平台自始至终监督整个过程。此外，今后的登录将更加简化。用户登录 SSO 后，SSO 就会识别他们，并允许他们访问所需的一切。