昨天一條朋友圈的文章被刷屏了，國內身份認證服務產品洋蔥即將全部停止服務，在洋蔥服務的官網上發布了來自CEO奶罩的公告，公告中最后奶罩的總結是：

I never said it would be easy, I only said it would be worth it.

企業身份認證服務的大方向是沒錯的，可能是時間和產品形態目前這個階段不對。

筆者作為洋蔥服務CEO奶罩的前同事，對洋蔥的關閉深表遺憾，奶罩作為國內最為成功DNS服務商DNSPOD的創始人，把DNS服務做到了極致，最后通過資本運作體現了其產品的價值，在奶罩選擇二次創業的時候選擇了身份認證服務這塊安全領域，筆者認為奶罩的眼光還是很獨到的，看準了未來企業身份認證中安全和便捷的痛點，只可惜時機和場景沒有選對，不過筆者對洋蔥的嘗試和堅持還是深表敬佩。

那么筆者帶大家看下：

洋蔥服務是解決什么樣的問題？

洋蔥作為一款解決身份認證問題的產品，主要解決兩個問題：便捷和安全。

便捷：不管是個人用戶還是企業用戶，在面臨各種系統和服務時候，需要創建和維護不同的賬號和密碼，這個很麻煩，比如對于企業用戶來說，可能HR系統一套賬號密碼，財務系統又一套賬號密碼，企業出于安全考慮還經常要求員工定期維護密碼的復雜度，導致員工要記住復雜的賬號密碼，甚至出現有的員工為了記住不同系統賬號密碼把賬號密碼記錄在云盤或者各種筆記軟件上，最后導致重要賬號密碼泄露，所以洋蔥要解決的其中的一個問題就是統一所有系統的賬號密碼，讓員工用一個ID去登錄和維護所有系統。

安全：解決了便捷的問題后，就需要企業去管理和維護各種賬號的系統權限，訪問權限，甚至知道每個賬號訪問的文件路徑等信息，隨著企業越來越多使用公有云SaaS服務，如何避免員工把內部資料泄露出去和避免員工越級獲取到非法文件，包括有員工離職后，合理的回收賬號權限，合作伙伴賬號如何合法接入企業內部的系統，分配什么樣的權限，這些都是要解決的權限，數據防泄露安全問題。

這種身份認證管理的產品，我們有一個名字叫IDaaS（身份即服務）。

IDaaS服務商以【身份】作為紐帶，鏈接企業和服務商，當企業和第三方服務商都接入IDaaS，那么ID服務商就成了一個認證中心，企業用戶訪問內部和外部應用時候，只用一個賬號登錄所有內部和外部的應用，不需要一大堆賬號密碼了。

　　國外IDaaS服務的情況是怎么樣的？

現在國外有三家廠商分別是Okta,OneLogin,PingID專門做這塊領域的服務，以Okta為例：

估值大概14億美金，企業客戶在3000左右，主要靠集成AWS，Office365 這樣的支持標準oauth,saml協議的應用平臺，提供給企業客戶使用。

VMware的Identify Manager和微軟的Identify Manager也是做類似的產品，但是IDaaS只是他們提供解決方案里很小的一部分，還有CASB的廠商，比如Netskop這樣的廠商是從安全角度來切入，IDaaS作為他們產品中的一部分功能,后面筆者會講到什么CASB服務。

具體的服務和技術細節可以參考我之前的一篇公眾號文章《IAM和AWS的合作伙伴》。

洋蔥為什么沒有被成功接盤？

國外IDaaS服務能夠成功的根本原因是：歐美國家經歷了合理的經濟發展的階段，所以企業是按照規則和標準來管理和運營的，一切都有標準化的管理和規范，賬號接入這件事也是同樣適用，每個企業應用的賬號系統都是按照標準的auth協議或者Saml，OpenIDconnect協議去完成的，所以當這種服務接入第三方系統時候是很順滑的接入。

而中國目前還是領導說了算的農業經濟發展時代，所有的系統和服務都要自己搞，沒有標準化的流程和管理，雖然我們今天直接跳到云計算的時代了，基礎設施上去了但是軟件服務的理念沒上去，思想需要同步上去是需要時間的。

IAM市場是企業級安全市場最大的市場，但是一定不是最賺錢的市場，占流量入口這件事目前來看，在國內還是靠利益綁定的方式去做，而不是靠標準化的技術和產品去做，所以IDaaS廠商們要么抱BAT的大腿，要么被收購，短期來看，創業公司靠這個業務做大的可能性不大，因為云和企業級市場還在跑馬圈地。

IDaaS服務春天什么時候能夠到來？

IDaaS是云計算時代，移動互聯網辦公，SaaS服務興起后的產物，當越來越多的企業需要用到各種SaaS服務的時候，比如ERP，CRM，IT運維系統，每套系統都有分別獨立的賬號體系，作為企業的IT管理員需要維護每個員工在不同系統之間的賬號信息和權限控制，而且還要做日志操作審計和授權管理，包括當企業內部的AD域賬號訪問外部系統賬號，以及外部賬號體系需要VPN登錄到內部AD的時候，還需要二次認證的過程，用戶體驗極其差，企業員工需要維護復雜的賬號密碼體系，企業IT管理員也不愿意做這些復雜麻煩的操作，這個時候，IDaaS的需求就體現出來了，一個賬號打通所有的系統，做到賬號授權，權限控制，賬號認證，操作審計，甚至包括流量監測，上網行為管控，安全威脅監測等等內容。

筆者認為IDaaS服務能夠成功的前提條件是企業SaaS服務充分被企業客戶認知并接受，并且被廣泛的應用，就筆者來看至少還需要3-5年的時間，但是可能會以另外的產品形態呈現。

今天還有哪些公司和產品在堅持？

國內目前只有洋蔥和九州云騰，云賬號這幾家公司在做IDaaS服務，當然也有一些初期做CASB的廠商也在嘗試，目前這些廠商最大的問題是有技術和產品，但是缺乏成熟的土壤。

一方面云計算在國內剛剛興起，移動化辦公逐漸被企業接受，而像釘釘這樣的系統辦公軟件還在跑馬圈地的過程中，市場占有率是首要的任務，還無暇去推送SaaS標準化接入的標準。

而云計算廠商也更多的關注IaaS的市場份額，SaaS廠商目前面臨首要的安全問題是來自于外部入侵威脅導致的客戶不信任數據安全的問題，還沒有進入到身份管理和賬號信息安全這個部分。

當然也不是沒有機會，筆者在阿里云的時候曾經幫助九州云騰這家公司引入到阿里云安全市場里，幫助阿里云API網關服務解決了一個企業ISV調用API網關身份合法性認證的問題，將IDaaS服務集成到有實際業務的場景里，讓IDaaS服務為真正的客戶需求和業務所用，一切的技術的產品一定要服務于實際的業務場景。

對于在身份認證服務商堅持的廠商，筆者還是希望能繼續堅持，等風來。

IDaaS后會不會是CASB？

Gartner在企業安全領域里給出了SSO，CASB的預測，認為Cloud Access Security Brokers 和Mobile Single Sign-On 在未來2-5年會是最火的安全服務。

CASB服務說白了就是集成了IDaaS，云端DLP，流量監測，上網行為管控，安全威脅監測等等功能一種云安全網關服務。

筆者也是很看好這個領域，但是不管是CASB還是IDaaS，都需要但是就像IDaaS服務需要良好的土壤一樣，需要云計算在國內的健康的發展，企業對信息化管理的接受度這些條件后，才會孕育出好的服務和廠商。