idaas 开源,iDaaS

IDaaS是云时代的身份和访问管理（IAM)，他们之间的关系：IDaaS=SaaS+IAM

IDaaS是一个云服务平台，客户使用提供IDaaS服务相关的产品，例如单点登录，智能多因素认证，来实现云时代所需的既安全又高效的身份和访问管理功能。

一、背景

随着企业业务的发展，组织规模的持续扩大，我们需要借助大量应用系统进行日常的管理运营，其中有本地部署的核心系统，也有公有云部署的SAAS服务，这就构成了相对复杂的IT系统环境，随之而来的问题主要包括：

当前主要面临着以下问题：

1)登录安全的问题

2)账号管理的问题

3)应用权限管理的问题

1.1.登录安全的问题

目前企业信息系统中各业务应用系统主要采用“用户名、口令”的方式来实现对用户的身份表达，各系统身份认证方式全部采用传统的用户名、口令的鉴别方式。用户名、口令的机制很容易由于用户安全意识不强的问题而导致人为泄漏或者被别人猜测成功。从实际情况来看，大量的用户在选取密码方面都非常脆弱，如密码为空、与用户名相同、简单英文单词或汉语拼音、简单数字、某些特定日期（如生日）或电话号码等，这种情况下对账号安全问题的传统解决办法是使用如口令长度控制、定期修改口令控制等等，仍难以对该问题进行有效管控。

把整个信息应用系统的安全性构筑在这样的基础上，显然会带来严重的安全风险问题。因此面对存在多账户、多密码的登录安全问题；并且用户名/口令的身份认证方式已经无法满足企业当前业务安全的需求和合规性要求，企业需要更安全的登录身份认证。

1.2.统一账号管理

目前企业的各信息系统的账号都在各个应用系统中分别进行管理，各部门、分支机构各自管理账号。对账号新建、修改、删除的操作全部由人工在各个系统中分别操作完成。

因为各应用系统中账号和权限管理是分散的，系统管理员需要在每个系统中创建、维护、注销用户的账号和权限信息，这种账号的管理方式对IT人员依赖很大，员工入职、调岗、离职所引发的账号信息变更和账号回收操作需要IT人员花费很多时间操作，无法完全避免账号错误的修改、账号回收遗漏等意外情况的发生，账号生命周期管理面临极大的失控混乱的风险。因此账号的管理需要自动化的、智能化的解决方案。

1.3.应用权限管理的问题

随着企业的发展，公司的应用系统也越来越多样化和庞大，而绝大多数应用系统都有自己独立的用户管理。其次，公司的机构也不断复杂化，分支机构和部门越来越多，对每个部门、员工开放的应用访问权限也不尽相同的。保证业务系统的安全性防步越权行为，如果不建立完整的应用权限管理，那么一个“非法用户”很可能轻易访问到所有业务系统。

员工入职、调岗、离职需要进行大量的账号授权、收回权限的操作，通常需要较长的时间才能够完成这样的一个流程，并且也没有对员工在公司内所开通的应用账号和权限建立完整的台账管理，未来随着信息化水平的不断提高，这样的管理方式是不能满足管理上的、安全上的需求。

二、产品概述

针对上述问题，赛赋基于统一账号、统一认证、统一授权、统一审计的4A方法，并结合了零信任的网络安全思想，以单点登录，多因素身份认证，账号同步，应用管理和授权管理及无线接入认证等为核心产品功能，形成了赛赋统一身份认证云平台（IDaas）。

杭州赛赋科技形成了以赛赋IDaaS产品为核心，满足当前企业信息化趋势的整体企业身份安全解决方案。主要解决企业面临的以下问题：

登录安全的问题

账号管理的问题

应用权限管理的问题

三、赛赋IDaas系统功能 3.1多因素身份认证

赛赋身份安全认证平台支持本地认证、数据库认证、短信网关认证、动态口令认证、邮箱认证、AD域认证、钉钉认证、微信认证、LDAP认证、RADIUS认证等。满足客户特定应用场景的强身份认证需求。

（1）30s动态口令

为了节省客户单独购买硬件令牌、令牌认证服务器的成本，赛赋身份安全认证平台提供了微信小程序的动态密码认证器“赛赋TOTP服务”。赛赋TOTP微信小程序中，采用“时间+密钥”每隔30秒产生一个不可重复的、30秒效的随机密码。

赛赋TOTP微信小程序基于微信小程序平台开发，实现了多平台、多终端支持，并且无须安装额外的APP软件。

（2）扫码登录

赛赋IDaaS统一身份认证平台提供了第三方app扫码登录接入服务，在平台中可进行配置选择第三方app扫码登录的身份认证方式，比密码登入的方式更快捷，也更安全。

已支持的登录方式包括钉钉扫码登录和企业微信扫码登录。

（3）短信或邮件随机码验证

赛赋IDaaS统一身份认证平台还提供了常规的短信和邮件随机码的身份验证方式，用户无需安装任何客户端。

3.2业务系统单点登录

在移动办公系统逐渐增多、各个系统间用户名/密码不同的情况下,为用户提供企业应用一键单点登录的功能，免除用户反复多次输入繁琐的用户名密码的麻烦，极大的改善了用户体验。同时，降低了因用户重复使用用户名密码导致的帐号泄露概率。

（1）代理登录：

为了兼容客户早期开发开发的旧有应用，应用系统不能停机或厂商不能配合，提供代理客户端填写用户名和密码，实施方便快捷，对现有系统影响小。

（2）账号Token机制单点登录（具有时效性）

对于能够支持改造开发的系统，使用基于OIDC协议，通过改造，单点登录进入应用系统使用具有时效性的访问Token机制，不需要传递密码。

（3）标准接口登录

支持CAS协议对接单点登录，对支持CAS协议的应用进行简单配置即可接口IDaaS的单点登录；

（4）应用预集成

预集成了如腾讯企业邮，webEx，office365等提供了单点登录接口并被广泛使用的Saas服务。

3.3快捷的账号同步

为了让企业能快速与赛赋身份安全平台实现功能对接，提供了从外部源快速导入组织结构和账号的功能，支持AD/LDAP、钉钉、企业微信的账号同步。

1）由账号数据源域向赛赋身份安全认证平台同步账号数据

在平台配置好账号源地址，Secret等相关信息以及账号属性字段的映射关系后，可以按配置一次性或定时的将账号数据源中的账号以及组织架构进行同步。

2）由赛赋身份安全认证平台向与之对接的应用系统进行同步账号

在平台配置好数据源地址，Secret等相关信息以及账号属性字段的映射关系后，实现自动地同步管理与系统中主账号相关联的应用系统从账号。

3.4多维度的授权机制

基于组织架构和安全组进行应用权限管理，建立以人和应用为两极、安全组为载体的权限管理体系。

组织结构是企业用户通常使用的授权方式，通过常规的按照部门的管理方式进行应用的权限管理，满足了大部分企业IT管理的场景；

通过在IDaaS中设置灵活性高的安全组，对用户进行划分。一个用户可以有多个安全组的属性，一个安全组也可以有很多个资源权限，而一个资源权限也可以重复配置于多个安全组。

通过权限管理，当用户部门、安全组发生变化时，能够快速的响应变化自动的调整该用户权限；并且可以根据业务要求对个别特殊用户进行单独的授权，灵活地给予用户所在部门权限以外的其它权限。

3.5无线接入认证

赛赋身份安全认证平台提供了可配置的的AC网关地址，配置好AC的相关信息后，会发出两种无线网络，一种是员工使用的无线网络和另一种是访客使用的无线网络。实现了在一台网关设备上稳定高效运行两种无线网络。

（1）支持可自定义的portal页

赛赋身份安全认证平台提供了一个可配置的portal模板，企业可以在这里自定义上传图片、logo、欢迎文案。

（2）员工认证方式

提供了用户名+密码、用户名+动态密码（app）、扫码登录三种接入方式。

（3）访客认证方式

提供了用户名+手机验证码、用户名+邮箱验证码、员工帮忙扫码的三种接入方式，这里值得一提的是，手机验证码和邮箱验证码不仅要输入访问者的信息，还要输入他要访问的这个人的信息，输入后系统会判断被访者信息是否存在，通过后才可接入无线。

（4）MAC认证功能

在赛赋身份安全认证平台上提供了可开启或关闭的MAC认证功能，开启后设备登录成功过一次，再次登录不需要重复portal认证。

3.6自定义的权限管理

在赛赋身份安全认证平台，是通过将应用系统的权限赋予给角色，再将角色赋予给某一部门，用户组，或者指定的用户账号。可对角色进行增删改查，并配置好对应的应用系统。角色所赋予的应用账号将获得该角色所提供的应用权限。

3.7可配置的安全策略

（1）密码策略：设置系统账号初始密码和用户自定义密码的复杂度要求，如达不到要求则不能进行注册。

（2）身份认证策略：可按部门，用户组分别定义用户登录系统门户时所使用的身份认证方式，以及是否要求额外的多因素身份认证。

包括，钉钉扫码、DingPush、企业信息扫码、手机随机码、赛赋动态密码。

（3）认证失败控制：对登录赛赋安全认证平台时连续登录失败的账号，将进行锁定，连续失败次数与锁定时间可根据企业需求自定义。

3.8 灵活可配置页面和登录流程

系统提供了多样的配置选项，可配置页面样式、插图、企业Logo。

此外，还可根据需求定义用户侧的登录、注册、找回密码等功能，具体包括：

可配置登录可用的认证方式及认证方式的展示；

在登录流程中是否收集用户手机、邮件信息的配置；

是否开启用户注册的功能；

是否开启用户自助找回密码的功能，以及找回密码使用的验证方式等。

3.9全方位的审计模块

提供了对用户、管理员和应用等多个维度的审计角度，及完整的系统审计数据，可以为审计员对系统发生的所有事件进行全方位的，立体的回溯呈现。

用户审计：对员工账号，临时账号，访客账号进行审计，可查看登录时间，登陆时ip地址，及是否在线，和在线的下线操作。

管理员审计：可查看到管理员对用户，对权限，对应用的操作记录，时间，及详情。

应用审计：可查看到每个应用7天/30天被使用的次数，以及各个员工对应用的使用次数，和管理员对应用的操作。

四、应用案例 4.1 统一身份管理项目案例

4.2 无线接入项目案例

五、应用价值

纯软件部署，能够适应云架构和私有化部署；

统一身份认证和权限的管理，化繁为简，统一管理，灵活授权；

单点登录，办公高效；

多因素身份认证，更为安全；

统一安全策略，基于零信任，有效防范内外部风险。