摘要:現(xiàn)如今,在企業(yè)組織內(nèi)部身份和訪問管理已經(jīng)從單純的內(nèi)部IT管理流程擴展到同樣專注于外部業(yè)務(wù)的參與。根據(jù)Quocirca在2015年發(fā)布的研究表明,現(xiàn)如今的所有企業(yè)組織都與外部用戶擁有不同程度的網(wǎng)上互動。而為了管理這些關(guān)系,并提供對于應(yīng)用程序的控制訪問,企業(yè)組織需要知道到底是哪些個人用戶訪問了相應(yīng)的應(yīng)用程序資源。
根據(jù)Quocirca在2015年發(fā)布的研究表明,現(xiàn)如今的所有企業(yè)組織都與外部用戶擁有不同程度的網(wǎng)上互動。而為了管理這些關(guān)系,并提供對于應(yīng)用程序的控制訪問,企業(yè)組織需要知道到底是哪些個人用戶訪問了相應(yīng)的應(yīng)用程序資源。
身份訪問管理(IAM)系統(tǒng)不得不擴展到解決這個問題,而且,其應(yīng)用已經(jīng)擴展到業(yè)務(wù)領(lǐng)域。有了這些變化,存儲在IAM系統(tǒng)的信息現(xiàn)在擁有了真正的商業(yè)價值。
當(dāng)前企業(yè)組織有兩種不同的外部用戶:企業(yè)對企業(yè)(B2B)和企業(yè)對消費者(B2C)的。
這種 區(qū)別所反映的不緊緊只是涉及的用戶的不同的,同時也反映了其所部署的不同的系統(tǒng)的類型。 B2B往往最好需要通過擴展利用現(xiàn)有的IAM系統(tǒng)來提供服務(wù),而B2C則通常需要采用一種全新的方法。當(dāng)然,這兩個區(qū)域之間通常也會有一些重疊。
現(xiàn)如今,IAM系統(tǒng)的供應(yīng)商們正看到來自各個行業(yè)的企業(yè)客戶和潛在客戶對于外部用戶管理功能需求的日益增長。不僅是那些舊的供應(yīng)商們正不斷積極的調(diào)整他們的系統(tǒng),而且具備新興的思路的新的供應(yīng)商也在不斷涌現(xiàn)。
許多供應(yīng)商都集中在大型企業(yè)或中端市場。當(dāng)然也一些企業(yè)專門為小型企業(yè)提供服務(wù),這些產(chǎn)品所提供的主要是以云為基礎(chǔ)的服務(wù),從而將企業(yè)級技術(shù)對外開放。
基于云的IAM與企業(yè)內(nèi)部部署
現(xiàn)在,除了企業(yè)內(nèi)部部署的版本產(chǎn)品之外,大多數(shù)供應(yīng)商現(xiàn)在都提供身份和訪問管理即服務(wù) (IAMaaS)。而該市場的一些主要的供應(yīng)商就包括Okta公司、Centrify公司、Intermedia公司和OneLogin公司。或許行業(yè)內(nèi)在這方面的佼佼者是IBM公司,該公司聲稱,其IAM功能的基礎(chǔ)是基于其企業(yè)內(nèi)部部署產(chǎn)品為前提的,但當(dāng)前的主要的需求則是其IAMaaS產(chǎn)品(主要是基于該公司于2014年收購了Lighthouse Security公司)。其他主要的IAM平臺,包括諸如ForgeRock和Courion,主要由服務(wù)提供商用來打造他們自己的IAMaaS產(chǎn)品。
對于許多的企業(yè)用戶而言,IAMaaS都是相當(dāng)有意義的。因為,如果外部對于應(yīng)用程序的訪問被授予是基于云的,那么,為什么對于IAM系統(tǒng)的外部訪問是不被允許呢?此外,外部被允許訪問的用戶有也可能在互聯(lián)網(wǎng)上這樣做,所以,涉及到的IAM系統(tǒng)必須是開放給外面世界的。
為B2B關(guān)系擴展內(nèi)部的IAM
外部用戶經(jīng)常需要訪問相同的資源作為一個組織的雇員,雖然在范圍上通常較受到限制。它們包括合作伙伴,供應(yīng)商和企業(yè)客戶,以及對承包商和季節(jié)工的員工。鑒于這其中涉及到相當(dāng)大的供應(yīng)鏈和合作伙伴群體,其所涉及到的用戶的數(shù)量往往可能是企業(yè)內(nèi)部雇員數(shù)量的好幾倍,故而,這些涉及到的技術(shù)和定價必須相應(yīng)地擴大。
同時,企業(yè)組織也有必要為外部和內(nèi)部用戶創(chuàng)建混合分組,并配備相應(yīng)的公共管理政策。例如,哪些用戶可以創(chuàng)建一個企業(yè)資源規(guī)劃(ERP)系統(tǒng)或在客戶關(guān)系管理系統(tǒng)(CRM)更新客戶記錄?
同時,也需要進行相應(yīng)的訪問管理——確保企業(yè)組織能夠清楚的掌握誰曾經(jīng)訪問過哪些資源;并確保這些相關(guān)的訪問仍然符合合同管理要求。在許多情況下,這種管理更多的是關(guān)于企業(yè)內(nèi)部流程和用戶的監(jiān)控,而較少的涉及到關(guān)于外部監(jiān)管。大多數(shù)IAM供應(yīng)商同意這是業(yè)務(wù)的需要,而不是合規(guī)性管理,也是企業(yè)組織投資外部IAM的首要驅(qū)動因素;并認為,要實現(xiàn)這一點基本面需要到位。
一級和二級身份管理
企業(yè)組織創(chuàng)建關(guān)系以增加一組外部用戶到他們的IAM系統(tǒng)通常會有兩種選擇。他們要么可以在自己的系統(tǒng)中創(chuàng)建新的身份,也可以通過協(xié)議從另一家企業(yè)組織的IAM目錄加載它們。
來自多個系統(tǒng)的這種身份的聯(lián)合被更容易的廣泛接受使用于輕量級目錄訪問協(xié)議(LDAP)標準。最常用的LDAP目錄是Microsoft Active Directory,但供應(yīng)商必須能夠擴展延伸到其他的身份來源。
目錄必須保持同步。例如,如果一家企業(yè)組織解雇了一名員工,并從其IAM系統(tǒng)上刪除了改名用戶,那么同樣適用使用該標識的其他系統(tǒng)必須也反映出來。在某些情況下,例如與承包商,可能沒有有用的外部身份標識源,因此,必須創(chuàng)建一個新的首要身份記錄。
然而,即使是這種情況,也在隨著攜帶自己的身份(BYOID)的趨勢被廣泛接受而逐漸改變,借助BYOID,用戶就像他們用自己的護照旅行一樣,只需要提供他們自己的數(shù)字身份。在這種情況下,社交媒體可以發(fā)揮身份提供商的作用——而這是B2C與B2B的世界相重疊的一個領(lǐng)域(見下文“企業(yè)與消費者的關(guān)系”)。
IAM 供應(yīng)商通常分為兩大廣泛的和重疊的群體:那些起源于主要的創(chuàng)造和管理的身份;以及那些利用其他來源用語二次使用的身份。
第一組包括來自一些大牌供應(yīng)商的產(chǎn)品,包括CA公司的身份套件、IBM的安全訪問管理器、微軟的身份管理器(其內(nèi)部部署產(chǎn)品)以及甲骨文的IAM套件產(chǎn)品。其他的則包括SailPoint,其以管理“所有的IAM流程”的方法為特征、開源的ForgeRock身份平臺、Courion的訪問保證套件和日立的ID系統(tǒng)。另外兩款產(chǎn)品似乎在2016年注定走到一起:戴爾的身份管理器(該公司從對Quest的收購交易中獲得),和EMC / RSA的身份管理(以前被稱為Aveksa)。
身份的主要的一大二次使用是用于單點登錄(SSO),其中,外部身份是來自于一系列應(yīng)用源和基于策略的訪問的聯(lián)合。一些專業(yè)供應(yīng)公司通過這條路線來到IAM市場,其中包括Okta(他們也支持主要配置)、Ping Identity公司、Intermedia公司、Centrify公司和OneLogin公司。
許多主要供應(yīng)商還開發(fā)了單點登錄功能(SSO功能),這其中包括CA SSO(以前被稱為SiteMinder,而且CA還收購了Identropy的IAMaaS資產(chǎn))以及戴爾的云訪問管理器(這將在戴爾與EMC合并之后變得復(fù)雜,因為后者曾收購了Symplified公司的資產(chǎn),而其正是另一家被擠出SSO供應(yīng)商市場的供應(yīng)商)。賽門鐵克訪問管理器(SAM)是該公司于2013年從收購PasswordBank交易中所獲得的一款新開發(fā)的SSO產(chǎn)品(賽門鐵克此前曾有過一個錯誤的開始,與已經(jīng)倒閉的Symplified公司合作)。
身份管理授權(quán)
企業(yè)組織需要給予外部用戶獲得訪問組織內(nèi)部相關(guān)資源的權(quán)限,是因為業(yè)務(wù)需要的原因,而相關(guān)的業(yè)務(wù)經(jīng)理必須了解誰應(yīng)該獲得什么資源的訪問權(quán)限。而借助一些IAM系統(tǒng),在最好的情況下,企業(yè)的業(yè)務(wù)經(jīng)理們能夠通過提供對于IT工具的權(quán)限來做到這一點;而在最壞的情況下,他們必須要求IT部門做出某些改變。然而,對于某些供應(yīng)商來說,身份委托授權(quán)是一種主要的價值主張。
總部位于英國的ProofID公司的ARMS專門允許與委托授權(quán)的工作流程相關(guān)聯(lián)的企業(yè)組織外部用戶進行訪問,并能夠與更廣泛的IAM工具集成。身份自動化的快速識別產(chǎn)品具有開箱即用的功能,幫助企業(yè)組織來管理外部用戶,包括授權(quán),其被稱為“贊助商身份管理”(其才剛剛進入歐洲市場)。 SailPoint、戴爾、IBM、CA、Courion、ForgeRock、日立身份證系統(tǒng)和OneLogin均表示,他們支持委托授權(quán)給業(yè)務(wù)經(jīng)理,盡管在某些情況下,他們與合作伙伴合作,以擴大工作流程。
使企業(yè)管理者執(zhí)行此類任務(wù)的最佳方式是定期為他們提供應(yīng)用程序集成。一些供應(yīng)商,如ProofID,提供應(yīng)用程序編程接口(API)以進行支持,例如,可以直接從供應(yīng)鏈和客戶關(guān)系管理(CRM)系統(tǒng)允許訪問權(quán)限。
所涉及的工作流程進一步由跨域身份管理系統(tǒng)(SCIM)標準啟用。很多供應(yīng)商均支持這一標準,這使得其易于傳播身份信息,例如在軟件即服務(wù)(SaaS)和企業(yè)內(nèi)部部署的應(yīng)用程序很容易的創(chuàng)建和刪除賬戶。Courion公司稱這種鏈接為“連接器”,而其他一些供應(yīng)商則有現(xiàn)成的或可定制的產(chǎn)品。
由于涉及加載卷,另一也可以減少IT部門的負擔(dān)的授權(quán)領(lǐng)域是用戶自助服務(wù),例如密碼重置,并要求獲得新的資源。許多供應(yīng)商均提供具有這方面現(xiàn)成功能的產(chǎn)品,包括日立ID系統(tǒng)、Intermedia、ForgeRock、IBM、Courion和ProofID。
企業(yè)用戶需要付多少錢?
最常見的定價模式是根據(jù)所管理的每名用戶或身份進行定價。針對外部用戶收取較低的費用,而不是企業(yè)內(nèi)部員工,因為往往涉及到很多人,要求不太復(fù)雜。入門級通常是每年幾美元和折扣遞減模式——最小數(shù)目的用戶可以適用。外部用戶訪問可能是間歇性的,而一些供應(yīng)商,如Okta、Intermedia和微軟,只收主動認證的用戶的費用。 ProofID為ARMS提供站點許可證,對于用戶數(shù)量沒有限制。微軟的IAMaaS、Azure活動目錄,針對一些更廣泛的Azure的合同是免費的。Courion公司的定價則是基于部署的用戶和/或模塊和連接器。
企業(yè)組織外部用戶的有效參與是現(xiàn)如今的大多數(shù)企業(yè)保持競爭力的需要,高效的低成本的外部身份管理,將業(yè)務(wù)鏈接到必要的工作流程。許多人會發(fā)現(xiàn)現(xiàn)有的IAM系統(tǒng)可以適應(yīng)或作為其B2B要求的補充。對于B2C而言,一個全新的規(guī)模是必需的。
企業(yè)與消費者的關(guān)系
在了解了外部身份和訪問管理之后,IAM的另一部分是管理企業(yè)對消費者(B2C)的關(guān)系。 有些人稱這為客戶IAM( customer-IAM ,CIAM),而鑒于“C”可以很容易地代表“消費者”,這將避免任何來自企業(yè)用戶的混亂。
而由于現(xiàn)有的IAM系統(tǒng)通常擴展為包括B2B關(guān)系,B2C的部署是更可能是獨立的,原因如下:
· 涉及到的用戶數(shù)量是巨大的;
· 消費者的身份來自不同的來源,而商業(yè)用戶和社交媒體正在發(fā)揮越來越重要的作用;
· 涉及的應(yīng)用程序經(jīng)常從主流商務(wù)應(yīng)用程序中脫穎而出,雖然有需求會有某些重疊的區(qū)域;
· 對于B2C有不同的管理壓力;
· B2C IAM系統(tǒng)是支持更廣闊的消費市場需求分析的主要信息來源。
社交媒體的作用
盡管涉及到B2B關(guān)系的用戶可能數(shù)以千計來衡量,而B2C的用戶數(shù)量則可以達到數(shù)以百萬計——特別是對于一家面向消費者的企業(yè)業(yè)務(wù)而言,這是一個很好的問題。故而,這兩個平臺和定價的可擴展性是必需的。消費者需要在一開始就被吸引,然后雙方理解為個人和集體管理。社交媒體將成為發(fā)現(xiàn)、理解和驗證消費者的有效途徑。
社交媒體對于B2C關(guān)系的雙方都是相當(dāng)良好的。消費者得到了跨所有他們的各種訪問設(shè)備的更多的便利性和安全性。利用從社交媒體網(wǎng)站如Facebook、PayPal或谷歌的身份登錄到多個其他服務(wù)意味著只需要記住更少的用戶名和密碼。強大的身份驗證選項也使其更安全,用戶在使用一臺新的設(shè)備訪問之前,一次性口令被允許經(jīng)由社交媒體網(wǎng)站通過短信發(fā)送給用戶。所有這一切都給眾多的消費者帶來了單點登錄的體驗。
對于通過其既定的社會身份處理與消費者關(guān)系的企業(yè)組織而言,這提供了一個更高層次的信心,即他們正在處理一個真實的人的相關(guān)事務(wù)。使得企業(yè)組織可以不用創(chuàng)建完全新的帳戶,并具有必要的權(quán)限,社會媒體網(wǎng)站可以提供相應(yīng)的信息,否則他們將從零開始收集的用戶的個人信息。社交媒體網(wǎng)站本身需要建立一種平衡,使其用戶的在線生活更簡單,并尊重他們的隱私。
企業(yè)組織提供在線服務(wù)的業(yè)務(wù)的一種方法是利用所選的社交媒體網(wǎng)站使用社交登錄功能來處理直接。例如,借助谷歌的用戶登錄,使消費者能夠利用谷歌帳戶來訪問非谷歌的資源。然而,問題是,其也限制了某些選擇,沒有谷歌帳戶的消費者可能會被迫創(chuàng)建一個賬戶以便訪問特定的服務(wù)。
在過去的十年,為了響應(yīng)B2C的廣泛參與及配備各種其他配套能力選擇的需要,導(dǎo)致了社交登錄經(jīng)紀人的增加。當(dāng)前市場上有三大品牌的社交登錄經(jīng)紀人:LoginRadius、Gigya和Janrain。所有這些平臺的基本目標都是按需服務(wù),使消費者能夠注冊,驗證和維護使用選定的使用社交賬戶身份,而對于不想使用他們的帳戶,則支持建立一個重新使用的主要身份在經(jīng)紀人的平臺上的網(wǎng)絡(luò)服務(wù)的配置文件。經(jīng)紀人的平臺對消費者來說是透明的,他們只是通過自己的社會身份來處理各種網(wǎng)絡(luò)資源的便利性。他們不知道在這個過程中,他們的數(shù)據(jù)可以由不同的經(jīng)紀人處理不同的在線服務(wù)。
使用代理的平臺的成本費用是通過在線支付給服務(wù)提供商的——通常為每用戶幾便士,但也有相當(dāng)高的入門級。例如,LoginRadius計劃啟動為10萬基本費用的用戶提供不同的計劃;Gigya公司的收費標準為10,000用戶塊(user blocks)。
英國的供應(yīng)商ProofID公司擁有一款稱為Identify的產(chǎn)品,能夠通過用戶的社交身份進行識別,并將用戶的各種身份整合,為消費者建立一個統(tǒng)一的身份。這可以通過連接機構(gòu)的身份,從一個教育機構(gòu),或者來自Facebook和LinkedIn賬戶的相關(guān)細節(jié)。這種想法作為社會身份進行驗證,也可能在B2B的領(lǐng)域獲得一定的關(guān)注。
消費者管理
任何在網(wǎng)上與消費者進行交易的企業(yè)組織都必須警惕適用于個人數(shù)據(jù)的相關(guān)法律法規(guī),如英國數(shù)據(jù)保護法和即將頒布的歐盟通用數(shù)據(jù)保護條例隱私法規(guī)。
然而,社交登錄的經(jīng)紀人可以至少將一些這樣的責(zé)任工作實施外包。相關(guān)的年齡,郵政編碼,性別,婚姻狀況等信息可以用于以營銷目的的細分市場的營銷,而不是收集和存儲這些數(shù)據(jù)。但是,應(yīng)該明確指出某家既定的企業(yè)組織對于其所收集并存儲的任何個人資料負有最終法律責(zé)任。
讓消費者能夠更新他們的個人資料和營銷/通信偏好也是有必要的。社會身份經(jīng)紀人可以為你實施這方面的管理,包括關(guān)系的清理終結(jié),當(dāng)消費者選擇終結(jié)一段社交賬號的關(guān)系時,這是由社會媒體網(wǎng)站自己所需要的。例如, Facebook 指出,當(dāng)用戶從該網(wǎng)站注銷時,用戶的非公開個人資料信息必須被刪除,而這是用戶使用其服務(wù)時,首要要認可的第一條件。
市場分析
大數(shù)據(jù)被需要用于處理用于營銷目的的消費者身份數(shù)據(jù),通常與其他常常是非結(jié)構(gòu)化的數(shù)據(jù)源相結(jié)合。這可能是回顧性細分消費者市場營銷活動,而且還實時提供更加個性化的在線體驗。社會認同的經(jīng)紀人已經(jīng)預(yù)先同意許可收集和處理這些數(shù)據(jù)。Gigya公司斷言,對于處理這種消費數(shù)據(jù)需求一個專用庫是必要的,而B2B為重點的IAM產(chǎn)品都無法達到這一工作。
為此,經(jīng)紀人已經(jīng)開發(fā)另一套與一系列消費市場的服務(wù)供應(yīng)商的關(guān)系。Gigya,Janrain和LoginRadius等公司在其網(wǎng)站上與許多合作伙伴整合,提供不同的在線廣告服務(wù),游戲化,推薦引擎,CRM系統(tǒng)和商業(yè)智能領(lǐng)域的服務(wù),一切旨在幫助客戶為消費者提供整合營銷。
規(guī)模化B2B IAM
盡管面臨來自CIAM的挑戰(zhàn),社會身份的經(jīng)紀人們聲稱只有他們才可以應(yīng)付,而許多傳統(tǒng)的IAM供應(yīng)商相信他們的系統(tǒng)是可以奏效的,他們建立的客戶關(guān)系能夠相應(yīng)地適應(yīng)調(diào)整其現(xiàn)有IAM投資。許多已經(jīng)擴大了他們的能力,從社會媒體聯(lián)合身份(使用如OAuth和OpenID的連接標準)并規(guī)模化調(diào)整他們的平臺來應(yīng)付處理量。有些企業(yè)已經(jīng)做到這一點,其他企業(yè)也已經(jīng)與專家身份的中間件供應(yīng)商合作,如Radiant Logic公司。
Radiant Logic公司將其RadiantOne產(chǎn)品描述為“高度可擴展和安全的”身份聯(lián)合平臺,基于其HDAP大數(shù)據(jù)引擎。這個術(shù)語是在LDAP發(fā)揮作用的,被廣泛使用的標準存儲身份,以取代“H”代表“高可用性”。
Radiant Logic公司發(fā)現(xiàn),在保險業(yè),銀行業(yè)和醫(yī)療保健市場,這些企業(yè)組織經(jīng)常有到位的傳統(tǒng)的身份基礎(chǔ)設(shè)施,一系列的身份來源是集成的,業(yè)務(wù)用戶和消費者需要共同訪問數(shù)據(jù)和應(yīng)用程序。Radiant Logic公司在他們的網(wǎng)站上列出了一系列的IAM供應(yīng)商技術(shù)合作伙伴,包括Ping Identity、EMC/RSA、CA、微軟、IBM、Courion、SailPoint和Gigya公司。
回歸到業(yè)務(wù)
隨著在B2B方面使用社會身份的興趣越來越大,BYOID這一術(shù)語業(yè)應(yīng)運而生。Janrain表示說,客戶推動其使用LinkedIn的身份驗證,而LoginRadius公司則表示說他們看到利用谷歌,LinkedIn和推特進行登陸的需求的增加。
Quocirca公司在2015年發(fā)布了題為《了解您》(由Ping Identity公司贊助)的報告,以研究各種社會身份的信托業(yè)務(wù)。研究的發(fā)現(xiàn)結(jié)果也許并不奇怪,即那些愿意讓消費者以Facebook賬號進行交易的企業(yè)組織,要比那些不愿意的企業(yè)組織更受歡迎。而LinkedIn也是另一種備受歡迎的登陸方式,而谷歌被發(fā)現(xiàn)能夠獲得雙方同等的信任。微軟在整體上最值得信賴,可能是由于用戶長期對于其熟悉的關(guān)系,事實上,其通過Active Directory已經(jīng)在企業(yè)界稱為最廣泛的身份的來源。PayPal和亞馬遜也被發(fā)現(xiàn)擁有高度的信任,這與他們長期形成的安全地處理金融交易能力不無關(guān)系。
所有這一切的關(guān)鍵并不在于企業(yè)組織想要什么,其應(yīng)該是關(guān)于服務(wù)于消費者,為他們提供一個選擇,相信自己的身份和個人資料被更安全地存儲,并且能夠比過去的處理情況可能更安全。同時,企業(yè)組織提供的應(yīng)該是比較容易的服務(wù),方便用戶能夠訪問和體驗提供更加個性化的服務(wù)。同時,務(wù)必要確保讓用戶記住更少的密碼!
京公網(wǎng)安備 11010502049343號