Authing 入选长城战略咨询《 2024 中国潜在独角兽企业》
2024 年 10 月,长城战略咨询(GEI)发布《2023 中国潜在独角兽企业研究》报告。在“ 2024 东北亚(沈阳)人才交流大会暨中国潜在独角兽企业发展大会”上,长城战略咨询重磅发布《 GEI 中国潜在独角兽企业研究报告 2024 》,揭示了中国潜在独角兽企业群体的最新发展态势。Authing 作为国内身份云(IDaaS)厂商入选中国潜在独角兽企业榜单。目前,Authing 已经连续三年被评选为中国潜在独角兽企业。
《报告》认为,潜在独角兽企业是新赛道的引领者,以新技术、新模式重塑价值链,以场景创新开拓新市场、创造新业态。潜在独角兽企业是中国新动能的重要组成部分,也代表了中国经济的未来。2023 年中国潜在独角兽企业中,前沿科技领域的企业数量占比超过 85% 。有近两成潜在独角兽企业为专精特新“小巨人”企业,有近六成潜在独角兽企业为国家高新技术企业。Authing 身份云作为国内首个事件驱动的云原生身份治理平台,基于图模型的 PaaS 化编排引擎,实现身份全生命周期的自动化管理和灵活连接,使企业能够自定义并自动化身份管理流程,实现灵活、敏捷的身份控制,为企业构建了先进的身份安全管理能力,极大提升了企业在身份治理上的效率。并且 Authing 身份云利用行为数据分析和 AI 引擎,通过深度分析用户行为数据实时监测风险,为企业提供全场景、高安全、高性能的身份治理解决方案。
·
2024.10.21
·1106 人阅读
应用系统如何接入微信生态,一文教你轻松搞定
微信作为目前全国使用率最高的个人通讯软件之一,几乎绑定了每个人的登录账号,无论是网站还是游戏、媒体平台等第三方平台,几乎都会在登录界面中添加“微信登录”的按钮。而微信登录为用户带来了极大的便利。用户不再需要记住多个账号和密码,操作更简单。同时微信作为可信的中间平台,用户也可以更放心地使用,避免个人信息被其他应用盗取。企业网站支持微信等第三方登录方式显得尤为重要。
01.基于微信生态,你会面临怎样的问题?
当你基于微信生态开发一个创新应用时,如何充分利用微信的多场景开放能力,以及如何处理复杂的 OpenID 和 UnionID 机制,都是必须解决的重要问题。微信的生态系统庞大且登录场景多样化,包括 PC 端网站扫码登录、公众号网页授权、小程序内授权等,不同场景需要调用不同的接口。这种复杂性无疑增加了开发者的理解难度和开发成本。作为一名微信生态的开发者,在为你的应用实现微信登录能力时,你可能会面临重重困惑:
不同类型应用在微信的创建和配置流程是什么?
作为不同类型应用的开发者,在实现微信登录能力时,有哪些方式可供选择?
各种类型的微信登录方式,要怎么完成配置,怎么实现登录?
微信用户在登录你新开发的应用后,你要如何管理微信生态中的用户身份?
02.Authing 微信生态功能全景
如果你有上述困惑不知如何下手,Authing 微信生态全场景能力可以助力你实现各个场景的微信登录流程。下表是 Authing 支持的全场景的微信生态操作流程以及对应场景下可供选择的微信登录能力类型。你可以直接点击链接前往了解所需功能。(https://docs.authing.cn/v2/guides/wechat-ecosystem/)
03.Authing 微信生态账号体系
微信用户账号体系的基本概念微信提供 OpenID 和 UnionID 作为用户标识。两者区别如下:
OpenID· OpenID 是微信用户在不同类型产品的身份 ID。· 微信用户访问公众号、小程序、移动应用、网站应用、小商店等都会有唯一的 OpenID 。· 同一个微信用户访问不同的产品生成的 OpenID 也是不一样的。例如,对于不同公众号,同一用户的 OpenID 不同;同理,对于不同的小程序,同一用户的 OpenID 也是不同的。
UnionID· UnionID 是微信用户在同一个开放平台下的产品的身份 ID。· 如果开发者拥有多个移动应用、网站应用和公众帐号(即公众号和小程序),可通过 UnionID 来区分用户的唯一性。因为只要是同一个微信开放平台帐号下的移动应用、网站应用和公众帐号,用户的 UnionID 是唯一的,即同一用户对于同一个微信开放平台下的不同应用,UnionID 是相同的。形象来说,一个独立的微信用户,在微信的不同登录场景下的唯一标识可以用下图展示:
Authing 基于微信生态的账号解决方案根据「用户在 Authing 用户池是否存在」以及「你的微信应用是否已经接入微信开放平台」,针对你的账号处理,有四种场景:
当微信生态的用户通过微信登录方式进入到 Authing 用户池,有四种可能的场景,通过两个维度进行考量:
该用户在微信开放平台是否拥有 UnionID?
该用户在 Authing 用户池是否是新用户?由此分为四种场景:
用户在微信开放平台有 UnionID,是 Authing 用户池中的新用户(第一象限)。在这种情况下,用户首次通过微信登录已经集成在 Authing 的应用时,将会在你的 Authing 用户池中创建新账号,该用户账号信息中会包含从微信开放平台上获取到的该用户的 OpneID 和 UnionID。
用户在微信开放平台无 UnionID,是 Authing 用户池中的新用户(第二象限)。在这种情况下,用户首次通过微信登录已经集成在 Authing 的应用时,将会在你的 Authing 用户池中创建新账号,该用户账号信息会同时包含从微信接口获得的 OpneID,但由于该微信应用并未加入微信开放平台,因此这个账号信息并不包含 UnionID。
用户在微信开放平台无 UnionID,是 Authing 用户池中的老用户(第三象限)。在这种情况下,用户通过微信登录已经集成在 Authing 的应用时,由于该账号已存在,因此登录时会通过 OpneID 和 UnionID 进行匹配。当同一个微信账号由于其 OpneID 和 UnionID 的具备情况不一、而能够在你的用户池中对应多个账号时,将会支持账号选择,选择完成后会完成登录。
在什么场景下,Authing 微信生态能够帮到你?ing 用户池中的老用户(第四象限)。在这种情况下,用户通过微信登录已经集成在 Authing 的应用时,由于该账号已经存在,并且并不会出现不存在 UnionID 的情况,因此会通过 UnionID 直接匹配成功并完成登录。
04.在什么场景下,Authing 微信生态能够帮到你?
Authing 针对微信生态的复杂场景,在前端为开发者提供了简洁、统一的 SDK,在后端基于 OpenID、UnionID、手机号三个维度自动处理同一身份识别、账号合并等逻辑。开发者只需要调用前端 SDK,而无需操心各种复杂的身份识别逻辑。
PC 网站使用微信扫码登录微信 PC 扫码登录可以让用户使用微信身份安全登录第三方应用或网站,在 Authing 中开启微信扫码登录之后,通过微信扫码登录,开发者可以借助 Authing 的平台优势,轻松对接微信生态的多场景登录能力,同时简化了开发和集成的流程。Authing 内置的高效 API 帮助开发者快速获取微信用户的 OpenID、UnionID 等身份标识,解决了不同应用场景中复杂的用户身份管理问题,实现统一的身份认证和用户数据管理。
PC 网站使用小程序扫码登录这是 Authing 的一个开创性的设计,在 Authing 中开启扫描小登录二维码登录后可以获得微信官方的实名用户信息, 用户一键授权即可以真实号码完成注册或者登录,为开发者建立以手机号码为基础的账号体系。相比传统的账号密码登录方式,小程序扫码登录极大地提升了用户体验。用户不需要记忆繁杂的账号或密码,直接通过微信扫码并授权即可登录。基于微信的实名制认证,小程序扫码登录能够让开发者获取经过微信认证的用户信息,包括手机号码等关键数据。开发者可以在不牺牲用户体验的前提下,确保用户身份的真实性,并且为后续的身份管理、营销活动等打下坚实基础。
移动端拉起小程序登录移动端拉起小程序登录是建立以手机号为核心的用户体系的关键方式,尤其在如今移动互联网高度普及的背景下,越来越多的应用和服务希望借助手机号作为用户身份的基础进行统一管理。通过手机号登录,能够确保用户的真实性,同时也为后续的账号管理、营销推广等奠定了基础。Authing 帮助开发者简化这一过程,使得开发者能够轻松实现移动端与微信小程序之间的无缝衔接,快速获取用户的授权手机号,建立以手机号为基础的账号体系。Authing 通过 SDK 为开发者大大降低了开发的复杂度,一行代码即可通过移动端获取用户在小程序中授权的手机号,建立以手机号码为基础的账号体系。
移动端拉起微信登录移动端拉起微信登录是应用开发中实现便捷、安全用户身份验证的重要方式之一,特别是在以微信为主要社交平台的中国市场,微信登录已经成为各类应用接入的重要功能。为满足这一需求,Authing 为开发者提供了极为简便的解决方案,支持在 iOS 或 Android 应用中快速跳转到微信登录页面,并轻松获取用户的微信信息。通过集成 Authing 移动端 SDK,开发者可以大幅简化微信账号接入的流程和技术难度。Authing 的移动端微信登录功能不仅操作简便,开发者只需调用几行代码,便可轻松完成微信登录的集成,快速引导用户从移动应用跳转至微信授权页面。
微信内网页使用微信授权登录用户在微信客户端中访问第三方网页、公众号可以通过微信网页授权机制,来获取用户基本信息,进而实现业务逻辑。Authing 针对这一场景,为开发者提供了便捷高效的解决方案。通过 Authing 提供的 SDK,开发者可以轻松集成微信网页授权登录功能,快速获取用户信息并完成登录操作。当用户在微信客户端中访问第三方网页、公众号等应用场景时,Authing 的微信网页授权登录机制能够自动引导用户授权。用户只需点击授权按钮,系统便会获取用户的微信账号信息。
微信小程序内登录微信小程序内登录是企业和开发者在微信生态中获取用户身份信息、快速完成用户注册和登录的一种重要方式。为应对这一需求,Authing 提供了一套完整的 SDK,专门帮助开发者简化微信小程序登录的集成流程,并高效获取用户的身份信息。通过 Authing 的 SDK,开发者可以轻松实现用户身份验证,快速建立以手机号码为基础的账号体系,进一步增强用户的体验和数据管理能力。整个授权登录流程经过优化,使得用户体验更加流畅,用户只需简单的授权操作,便可以使用其微信账号快速登录小程序,无需额外输入复杂的账号或密码。
05.众多合规认证,保障身份安全
毋庸置疑,客户数据安全性和合规性是大多数公司的首要考虑因素。Authing 在产品中内置了先进的安全性,因此您无需为您的用户和业务安全忧虑。
行业标准协议:通过采用支持 OAuth 和 OpenID Connect 等行业认证标准的身份平台,提高业务运营和执行的一致性和连续性。
合规性和认证:Authing 拥有多项国内国际合规认证,包括国家三级等保、SOC 2、GDPR、ISO 9001、CCPA、PCI、HIPAA 和 FERPA 等,誓要保障每一位用户、每一个业务的安全。
公共和私有云:在 Authing 的公共云、我们的私有云或您的 AWS 环境中托管您的应用。我们高度可用的多租户云服务每天可以处理大量交易。
·
2024.10.17
·1045 人阅读
第九届信息安全研讨会成功召开,Authing 全程协办共话安全未来
10 月 19 日,由迈望信息技术有限公司主办的第九届信息安全研讨会在浙江圆满落幕,吸引了众多行业专家和企业代表参与,深入探讨了企业在数字化转型中面临的安全挑战和解决方案。迈望信息特别邀请了 Authing 共同协办本次研讨会,并分享了前沿的身份管理与安全解决方案。迈望信息长期专注于为金融机构提供全面的安全解决方案,致力于解决客户安全在应用安全、数据、身份治理等方面的需求。通过与顶尖企业的紧密合作,迈望以客户为中心,深刻理解金融机构的业务场景和安全挑战,定制最适合的产品方案,并结合其丰富的行业经验与专业服务,提供一站式的安全保障体系。此次研讨会不仅为参与者带来了前沿的安全技术分享,展示了身份认证管理领域的创新解决方案,进一步深化了迈望与客户之间的合作关系,也为未来的深度合作与行业发展打下了坚实的基础。在大会上,郑凌作为 Authing 产品负责人,聚焦于产品功能以及应用场景,详细讲解了 Authing 的核心功能和其在不同应用场景中的优势。他全方位向大家展示了 Authing 在技术创新和产品功能上的卓越成就,更传达了 Authing 在未来发展的坚定信心和持续追求。大会上,他主要向大家介绍了以下两点。Authing 持续引领中国身份赛道向 PaaS 化、身份图灵机时代迭代发展Authing 作为中国领先的身份管理服务商,持续引领着身份赛道的创新发展。在信息安全需求日益增长的背景下,Authing 正通过 PaaS 化和智能化的产品演进,助力企业构建更灵活、更高效的身份管理体系。从传统 IAM 的定制化开发与低效的身份打通,到 SaaS 化阶段的标准化产品与多租户架构,Authing 已为企业用户提供了成熟的身份上云解决方案。而在 PaaS 化阶段,Authing 以开发者为中心,推出了可嵌入、强解耦的身份组件,并通过 API 积木式搭建身份平台,实现了自动化的身份治理,适应从 B2E(企业内部)单场景到全场景身份需求。同时,Authing 将进一步推动身份智能化,借助 Hyper Component 模型,打通数据和流程的无缝连接,为企业提供更强大的实时数据同步与身份控制台,持续引领中国身份管理技术的发展潮流。
基于云原生 IDaaS 构建完善的统一权限治理平台Authing 通过其先进的身份治理与权限管理平台,帮助企业实现了全面的权限精细化管理和业务系统高效打通。平台整合了上游数据源,包括 HR 组织架构、账号、岗位等核心数据,搭建了统一的账号主数据平台与权限治理平台,支持用户自助申请和自动化权限分配,确保权限管理的高效与精确。通过权限策略管理、标准化角色体系、权限审核与流程管理,Authing 实现了业务系统的无缝集成,涵盖生产、供应链、营销、财务和办公等关键环节,为企业带来了高效开通权限、降低安全风险、提升业务合规性等显著价值。
本次信息安全研讨会在热烈的讨论和深入的交流中圆满结束。通过行业专家的分享与技术创新的展示,与会者对当前信息安全领域的挑战和解决方案有了更深刻的理解。在未来,迈望信息技术有限公司作为 Authing 钻石级代理商将继续与 Authing 携手,为金融机构及其他行业客户提供更为完善的安全解决方案,助力企业在数字化转型过程中,实现更高水平的安全保障与业务合规性。我们期待在未来的安全发展道路上,与各界合作伙伴共同迈向更安全、更智能的未来。如果想要了解 Authing 生态伙伴更多内容,欢迎添加 Authing 合作伙伴负责人李阳。
·
2024.10.14
·1109 人阅读
Authing 签约利安隆,助力全球领先高分子材料供应商构建统一员工管理平台
Authing 签约利安隆,助力全球领先高分子材料供应商构建员工统一身份管理平台,简化员工身份治理工作,提升企业管理效能。
利安隆是全球优秀的高分子材料抗老化助剂产品和技术供应商,国家高新技术企业。主要产品有抗氧化剂、光稳定剂和整体解决方案产品 U-pack 。公司坚守为客户创造价值的使命,专注于高分子材料抗老化技术领域,加强技术创新和全球网络布局,为全球高分子材料技术进步提供推动力。公司目标是发展成为全球高分子材料客户青睐的抗老化助剂产品和技术供应商。公司将进一步加强技术研发,加快在国内外抗老化助剂产品的产能布局,并通过并购、合作等多种金融业态不断地为我们的客户及行业提供更多的创新产品及应用技术解决方案。Authing 助力利安隆,实现员工身份管理的统一与简化,提供了高效的员工身份认证与单点登录解决方案。企业员工只需登录一次,即可高效安全访问所有应用系统,管理员只需一处即可管理所有员工身份体系,减少企业在底层身份架构上的开发成本,覆盖了广泛的行业与应用场景,极大节省企业 IT 人员的工作量,使得企业可以更专注于为客户提供价值的核心业务上,减少开发的人力与时间成本。并且管理员可以对员工的身份权限进行精细化控制,根据不同的岗位、职责、项目需求灵活调整权限,降低了数据泄露和权限滥用的风险。
·
2024.10.11
·1104 人阅读
AI 配音恶搞,如何应对 AI 滥用危机?
在刚刚过去的长假期间,短视频平台上涌现出大量小米公司创始人雷军声音的视频。视频以雷军犀利的“发言”为特色,内容包括吐槽堵车、对调休安排表达不满,甚至在游戏失败后直接爆发“怒骂”,风格与雷军平日形象大相径庭。这些视频短时间内迅速走红,获得了海量点击和转发。但是,需要特别指出的是,这些“雷军发声”并非他本人,而是通过 AI 配音技术生成的。虽然大多数人对雷军 AI 配音恶搞事件抱着娱乐和围观的心态,但这件事情背后隐藏的风险不容忽视。AI 生成技术在展示令人惊叹的创新潜力的同时,也暴露了严重的安全隐患。今天是雷军,那么明天下一个受害者可以是任何人或机构。
01.身份信息面临隐藏威胁
个人信息安全
在数字化日益渗透到日常生活的时代,个人隐私和数字身份的保护已经成为了社会各界关注的焦点议题。随着 AI 技术的快速发展,尤其是声音克隆技术的滥用,个人的数字身份安全正面临前所未有的威胁。过去,人们主要担心个人信息的泄露和不当使用,而如今,AI 技术不仅可以轻易获取这些信息,还可以通过精确的克隆技术伪造个人身份,带来更深层次的隐私危机。在这之前,OpenAI 官方公布了一项引人瞩目的技术成果:其语音模型仅需 15 秒样本即可精准复刻人声。这意味着,任何在公开场合发表演讲或在网上发布视频的人,都可能成为 AI 克隆技术潜在的受害目标。
信息深度伪造
AI 生成的高度逼真内容正在模糊真实与虚假的界限,对信息的真实性构成了严重挑战。在 AI 技术的加持下,虚假信息可以以极其逼真的方式呈现。这意味着,我们正面临着一个“后真相”时代,事实的重要性被情感共鸣和个人信念所取代。人们可能更容易相信他们愿意相信的内容,而非客观事实,导致社会认知的分裂和信任的流失。根据《 2024 人工智能安全报告》显示,2023 年基于 AI 的深度伪造欺诈增长了 3000% 。这些伪造不仅限于娱乐或恶搞,更频繁地被用于金融欺诈、网络攻击、身份盗用等恶意行为,使得企业和个人的安全防护面临前所未有的压力。深度伪造技术的泛滥,正在迅速改变数字空间的风险格局,任何人都有可能成为虚假信息的受害者,而识别真伪的难度正在不断加大,凸显了对 AI 安全和监管的迫切需求。
网络钓鱼攻击升级
随着人工智能技术的不断发展,网络钓鱼攻击已经进入了一个全新的阶段,不再局限于传统的低级伎俩。通过人工智能的数据分析能力,攻击者能够快速筛选、处理大量的个人信息,从而生成高度定制化的钓鱼邮件或信息,使这些意象行为内容更加精准且具有欺骗性。并且随着进入门槛的降低,越来越多缺乏或没有编码能力的个体可能涌入网络犯罪生态系统。网络犯罪的规模和频率都可能带来提升,攻击者无需深入理解底层的编码原理,只需利用生成模型生成所需的代码片段,就能够构建出具有恶意目的的应用程序或攻击载荷。
02.新一代国产化 IDaaS 身份平台,构建身份安全防护网
持续自适应多因素认证(CAMFA)- 企业零信任最佳实践
零信任网络访问(ZTNA,Zero Trust Network Access)是一种基于零信任安全原则的网络访问架构。之所以称之“零信任”,是因为它基于“永不信任、始终验证”的原则。任何用户或设备在其身份和授权得到验证之前都不被信任,不能访问资源,而是通过持续的验证和监控来确保网络资源的安全访问。零信任不但适用于企业内部网络,例如:使用在家远程登录企业内网工作的员工,参加全球会议时使用移动设备的员工。也适用于该网络之外的个人或终端设备。无论您之前是否访问过网络,访问过多少次,您的身份都是不可信的,必须再次验证。「持续自适应多因素认证(Continuous Adaptive Multi-Factor Authentication,CAMFA)」是一种安全身份验证方法,它在自适应多因素认证(基于上下文属性判断当前安全状况以增加因素认证)的基础上增加了实时风险评估技术对用户进行动态评估安全系数。Authing 通过全方位扫描和分析用户身份和行为,采用无监督学习方式,深度学习用户的特定行为模式(例如登录时间、习惯、设备、生物特征等),以主动发现合法账号是否受到非法使用的威胁。持续自适应信任体系能确保企业实现真正意义上的零信任安全环境,而实现持续自适应信任体系的最佳实践则是实施「持续自适应多因素认证」。通过持续自适应多因素认证提供持续风险评估能力来判断外部风险信号和内部数据,同时基于「持续自适应多因素认证」的策略引擎来根据组织设定的安全策略对这些风险信号和访问请求进行评估。
下一代访问控制平台——基于 NGAC 模型的访问控制
NGAC,即下一代访问控制。NGAC 可以实现系统化、策略一致的访问控制方法,以高精细度授予或拒绝用户管理能力。NGAC 使用图的概念以简单、集中的方式管理访问。它可以在任何组织规模下线性扩展,并且不会出现性能问题。它最大的好处是灵活性——它可以允许基于对象属性、时间、位置或任何其他标准进行访问。NGAC 的另一个独特功能是它支持实时访问,例如,它可以授予承包商对资源的一次性访问权以进行维护,然后自动撤销访问权。Authing 率先推出基于 NGAC 模型的访问控制,将 OPA 作为决策引擎,改善自适应认证、自适应 MFA 和持续认证能力,底层模型全面改由 OPA 支撑,并为用户提供 Rego 编程语言达到完全定制化的权限模型定义和计算。NGAC 真正出彩的地方在于灵活性。它可以被配置为允许或不允许访问,不仅基于对象属性,而且基于其他条件 —— 时间、位置等,包括能够一致地设置策略(以满足合规性要求)和设置历时性策略的能力。例如,NGAC 可以在中断期间授予开发人员一次性的资源访问权,而不会留下不必要的权限,以免日后导致安全漏洞。NGAC 可以在一个访问决策中评估和组合多个策略,同时保持其线性时间的复杂度。
Authing 不仅具备国家密码管理局商用密码检测中心颁发的《商用密码产品认证证书》,支持使用国密 SM1、SM2、SM3、SM4 等加密方式,保护企业数据资产安全。并且 Authing “基于云原生架构的统一身份认证管理”解决方案入选金融信创实验室优秀解决方案。Authing 统一身份与权限管理平台是一套基于云原生架构的高安全、高可用、开发性强且自主可控的企业级全场景身份与权限治理解决方案,能够灵活应用于各行业 IT 管理、权限管理、 IT 审计、安全风控、AD 替换等多种场景,支持飞腾、鲲鹏、C86、兆芯、麒麟等多种芯片,还支持主流国产操作系统和浏览器客户端使用,支持 X86、ARM 等架构。
·
2024.10.09
·1040 人阅读
Authing 入选中国信通院《 2024 高质量数字化转型产品及服务全景图》
近日,中国信通院“铸基计划”发布了《高质量数字化转型产品及服务全景图( 2024 )》。Authing 身份云成功入选 IT 维护与运营领域并获得证书。
随着新技术、新业态的层出不穷,产业发展的规律性减弱趋势明显,复杂性、随机性、突发性的问题增多,给企业带来了诸多不确定性挑战。同时,5G、人工智能、大数据、区块链等新一代信息通信技术不断涌现,也在相关领域展现了一定的优势。然而新型数字技术与传统行业简单叠加,已经不能满足传统垂直行业的需求,企业数字化转型正在进入“深水区”。目前传统企业已经认识到数字化转型的重要性,着手制定数字化转型的战略及计划,但仍存在着对数字化转型认知不全面、策略不明确、执行不到位、效果不明显等诸多问题。同时,市场上数字化转型产品细分领域众多,产品种类繁杂,需求方难以全面广泛了解其产品及服务能力,这在一定程度上阻碍了企业数字化转型的进展。2024 年“全景图”将焕新起航,继续围绕数字化转型中的产品及服务进行构建,充分展示产业各方优势,为我国传统行业的数字化转型提供有利支撑。Authing 作为国内唯一以开发者为中心的全场景身份云产品,再次凭借其技术领先、优质产品体验、以及场景化解决方案等诸多突出表现,在信通院 IT 运维和维护领域中实力上榜。
Authing 是国内唯一以开发者为中心的全场景身份云产品,为企业和开发者提供高安全、高性能、高生产力的用户认证和访问管理服务。Authing 持续以开发者为中心,支持 1000+ API 和几十种主流编程语言的 SDK。通过图模型的编排引擎替代决策树编排,在高安全、高可用、高性能的前提下,实现上下游平台身份 APIs 全生命周期高效管理与灵活连接。提供 OPA(组织过程管理) SaaS,完善 OPA 计算监控、事件监控、决策监控、决策设计器、代码编写等,覆盖决策计算全生命周期,实现事件驱动的低代码决策引擎和自动化风控引擎。助力企业大幅提升企业身份治理效能。Authing 目前已经服务包括可口可乐、招商银行、三星集团、复星集团、万科集团、海底捞在内的 100000+ 企业和开发者。
·
2024.09.27
·1130 人阅读
手动管理难、身份风险大……企业如何实现身份自动化治理?
从内容聚合的互联网时代,到沟通、娱乐及交易的全面在线化,数字身份不断演变,成为用户与企业之间信任的基石。用户的身份信息不仅仅是一串数据,更是建立信任、实现互动的重要桥梁。无论是频繁经历并购的大型企业,适应不断变革的中型企业,还是快速成长的初创公司,大多数企业 IT 团队都需要处理大量的身份治理工作,但这些任务并不仅仅是简单地创建或删除用户账户。面对纷繁复杂的信息系统和多样化的业务需求,如何高效且安全地管理用户身份成为企业亟待解决的核心难题。
01.身份治理的复杂性
多元化权限需求与角色变迁
多元化的权限需求与角色变迁是信息安全管理中的一大挑战。组织内通常拥有大量用户,每位用户的访问权限需求可能因其工作性质而异。财务部门的员工可能需要访问财务系统,而市场部门的员工则需访问营销工具。随着员工职位或角色的变化,原有的权限设置往往需要随之调整,以确保信息安全与高效运营。对于动态权限管理要求企业具备灵活且高效的身份和访问管理系统,以实时更新权限,避免潜在的安全隐患和操作失误,保障业务的顺利进行。
多系统协同难
随着企业业务的不断扩展和复杂化,涉及资源共建共享和跨部门协同协作等,许多组织依赖于多种不同的系统和应用程序来支持日常运营。这些系统各自拥有独特的身份验证和授权机制,使得统一管理身份信息变得复杂,难以快速处理。不同系统之间可能存在信息孤岛,导致用户在不同平台上需要重复注册或管理多个账户,增加了用户的负担和安全风险。企业中经常出现信息和数据更新的不同步甚至不一致,导致企业工作效率的降低和运营成本的上升。在处理敏感数据时,缺乏统一的身份管理策略可能使企业面临合规性挑战。
异构环境下治理难
随着云计算、混合云和本地部署环境的广泛应用,企业面临着日益复杂的身份治理挑战。在异构环境中,不同平台和技术栈可能使用各自独立的身份管理系统,身份信息的分散且难以整合。不仅增加了身份治理的复杂性,而且跨环境的合规性和安全性难以保障。异构环境下的数据流动性和动态变化要求企业能够实时监控和调整身份治理策略。然而,传统的身份管理往往无法满足这种需求,导致企业面临信息滞后和响应不及时的困境。企业需要借助先进的身份和访问管理解决方案,以实现跨平台的身份同步、集中控制和审计跟踪,有效降低安全风险并提升运营效率。
02.身份自动化治理成为企业首选
要解决这类复杂性难题,自动化治理是企业绕不开的选择。身份自动化(Identity Automation)是指通过技术手段,自动化地管理企业内部和外部用户的身份信息及相关权限,从而提升效率,确保数据的准确性和安全性,降低人为操作带来的风险。Authing 自动化具有强大的数据处理(ETL)能力和灵活的流程控制能力。企业可以像搭积木一样,根据场景需求自定义配置具备对数据处理的工作流,为用户提供用户身份和员工身份管理领域可开箱即用旅程配置模版,基于模版快速实现员工入、转、调、离全生命周期业务的灵活配置。目前包含以下形式:
Pipeline
Authing Pipeline 是一组运行在云端的用户自定义 JavaScript 代码,允许开发者在认证流程中灵活地插入自定义逻辑。Authing Pipeline 函数均为用户可自定义,同时我们还提供了丰富的函数模版,帮助开发者快速上手开发。开发者可以对用户的身份验证过程进行深度定制,满足特定的业务需求。在用户成功认证后,开发者可以使用 Pipeline 来生成和添加自定义的 id_token,以便在后续的请求中传递特定的信息。同时 Pipeline 为一组函数,和普通 Hooks 的区别在于,Pipeline 整个流程中的函数数据可以相互传递,实现工业流水线一样的效果。这种设计模式,可以使得开发者的自定义函数更加模块化,便于管理。企业能够在复杂的业务场景中,实现更精细化的权限管理。Authing Pipeline 后端使用 serverless 架构,所有的用户自定义代码均运行在云端,保证不同租户之间的隔离性,能弹性伸缩,既保证了安全性,又提升了运行效率。
您可以根据不同的触发场景,选择相应的代码模板,一键生成定制化的 JavaScript 代码。Authing 的 Pipeline 功能允许您在用户身份验证和授权的各个环节中插入自定义代码,从而灵活地扩展系统的功能。在实际应用中,开发者只需选择适合的触发场景,如用户注册、登录或权限变更,根据业务需求进行代码定制。通过 Pipeline,企业可以轻松实现实时的数据处理和决策,确保用户体验的流畅性和安全性。这种自动化的代码生成方式,也大大减少了手动编码的错误风险,提高了整体系统的可靠性和可维护性。
应用场景借助 Authing Pipeline,开发者可以实现以下功能:
白名单机制:如注册邮箱后缀白名单、注册 IP 白名单等。
事件通知:如用户注册之后发送群通知、用户登录 IP 异常通知等。
权限控制:如用户登录之后根据邮箱将其加入某用户组等。
扩展用户字段:如给该请求用户添加自定义 Metadata 等。
自定义 token:如往 token 中加入自定义字段等。
... 还有更多,想象空间是无穷的。
WebHook
WebHook 是基于事件驱动的方式,它能有效减少不必要的轮询请求,从而优化系统性能,降低带宽消耗,帮助企业更好地管理用户活动和数据流动。WebHook 允许你实时监听用户在系统中的重要行为,如注册、登录、密码重置、邮箱验证和用户信息更新等。当这些特定事件被触发时,系统会自动向你预先配置的自定义回调地址发送事件通知,帮助开发者能够迅速响应用户行为,进行自定义处理,比如更新数据库、发送通知、记录审计日志或触发其他业务逻辑。通过 WebHook,企业可以实现更高效的自动化工作流,提升用户体验并加强系统间的集成能力。
Authing 提供了数百个可自定义的触发事件,企业可以通过填写表单,根据自身的具体需求选择相应的 Webhook 事件。企业能够精确响应用户行为,实现个性化的事件处理和自动化流程。灵活的配置选项使得企业可以根据不同的业务需求调整 Webhook 的触发条件和处理逻辑,确保每个事件都能得到适当的响应和处理。无论是在客户关系管理、数据同步还是安全监控等场景中,Authing 的 Webhook 功能都为企业提供了强大的支持,确保触发事件顺利进行。
身份自动化
Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。旨在满足客户侧多元的针对用户目录、组织架构、登录认证、安全管理等功能灵活性的配置需求,能够进一步以面向变化设计系统架构、敏捷迭代的原则,支撑客户纷繁复杂的身份和组织架构自动化管理需求。
Authing 身份自动化平台可以帮助企业免除身份和账号管理过程中繁杂的定制化开发过程,基于下一代「低代码、无代码」的设计理念和可视化、拖拉拽的配置方式,快速构建和管理您的身份管理工作流程,大幅降低企业内部身份管理成本及身份安全风险。平台为用户提供用户身份和员工身份管理领域可开箱即用旅程配置模版,你可以基于模版在编排画布中快速实现员工入、转、调、离全生命周期业务的灵活配置。例如:在员工入职时可以帮助员工自动化在应用程序中快速为员工创建身份、分配访问权限及通知相关方。并且可以在员工离职时自动化进行账号的锁定、冻结或者删除。
03.最佳实践:某知名企业
需求挑战
企业正处于快速发展阶段,为了确保研发实验室的数据安全、网络安全、员工身份安全以及通信安全,企业迫切需要一套集成化平台。这套平台不仅要整合各种企业应用,还需集中管理员工数字身份、授权管理以及 IT 审计合规等关键功能。
企业依赖于传统手动运维。每次员工调动都需要在多个系统和部门中手动调整权限、账号等信息,甚至一次组织架构调整也需花费长时间协调。一次组织架构调整可能需要多个部门长时间协调配合,低效且耗时耗力。
现有的 SaaS 应用无法满足企业对数据安全的高标准要求,尤其是在研发实验室等关键领域,缺乏有效的控制措施,容易导致数据泄露或损失。
解决方案
通过将其他业务平台统一集成至 Welink 业务工作台,实现基于 Welink 身份的免登功能,简化员工的日常办公流程。并且将各个系统的关键(模块如请假、打卡、审批、招聘、采购申请等)嵌入 Welink工作台,可在一个平台上轻松访问员工所有业务功能。
管理员可以通过身份自动化功能,在员工入职时可以帮助员工自动化在应用程序中快速为员工创建身份、分配访问权限及通知相关方。并且可以在员工离职时自动化进行账号的锁定、冻结或者删除,代替企业内部 IT 系统在身份和账号权限管理过程中高成本易出错的人工操作过程,支撑客户纷繁复杂的身份和组织架构自动化管理需求。
企业通过搭建自定义身份自动化工作流,根据自身特定的业务场景和安全标准来构建专属工作流。企业可以选择启用或禁用特定功能模块,并在触发特定事件时,使用 Webhook 自动向指定地址发送通知,确保相关人员及时获取信息,减少人工操作,提高检索效率,降低数据泄露风险。
·
2024.09.27
·1078 人阅读
一文读懂,为什么选择 Authing 私有化部署?
在数字化转型浪潮下,数据安全已上升为国家安全的核心议题。随着数据逐渐成为驱动商业发展的重要引擎,企业对数据资源的依赖与日俱增,数据安全问题随时可能威胁到企业的生存与发展。面对日益严峻的网络安全形势以及不断更新的法律法规,企业如何有效保障数据安全,已成为亟需解决的关键难题。私有化部署作为一种兼具安全性与高效性的解决方案,正逐渐成为企业保护数据资产的 “安全护盾” ,为企业在数字化时代的长远发展保驾护航。Authing 已经为国内外多家知名企业提供身份认证和用户目录管理方案,可以提供公有云、私有化和混合云的多种云环境部署方案。其中私有化部署方案可以部署在客户的内网服务器,数据加密存储,独享云资源,更安全稳定,速度更快。
01.私有化部署优势
数据私密安全
私有化部署通过构建独立的安全防护体系,不仅确保了数据的安全性,还满足了《网络安全法》《数据安全法》等法律法规的合规要求,有效保护企业的敏感信息不被外界侵入。私有化部署通常配备完善的容灾备份机制,确保在突发情况下数据能够及时恢复,不受外部网络影响。双重保险机制也为数据的安全性提供了保障,利用先进的加密算法与密钥保护相结合,确保数据传输和存储的绝对安全。企业独享云资源,数据处理的速度更快,性能表现也更为优越,极大提升了业务的稳定性与效率。企业自主掌控私有化部署给予企业完全的自主控制权,企业可以根据自身需求,灵活地对系统进行定制和管理。企业可以自行管理系统中的成员,轻松进行认证配置和身份源管理,实现对业务流程的完全掌控。同时,用户信息和密钥信息本地存储,企业不需要担心外部供应商对敏感数据的访问和控制权问题,进一步增强了数据的隐私和安全性。企业在进行敏感数据处理时更加从容自信,满足了对数据安全的高要求。
高可用性能架构面对日益增长的海量数据,保证实时查询性能的前提下,私有化部署方案对企业硬件配置标准和数量(CPU 、内存、硬盘、服务器数量)要求低,成本更低。并且私有化部署通常支持高可用的架构设计,确保系统能够持续、稳定地运行。通过横向扩展,企业可以根据业务的实际需求,灵活地调整系统的容量,避免出现资源浪费或性能不足的情况。尤其适用于业务增长迅速、需求波动较大的企业,使得企业能够更好地应对不同规模的业务场景变化,有效应对突发状况,保证业务的连续性和稳定性。
可定制企业还可以根据自身的品牌形象,进行高度个性化的定制。企业可以为其 IDaaS(身份即服务)系统配置独立的二级域名、企业 Logo、品牌色等元素,充分展现企业的品牌特色与个性。不仅可以提高企业的品牌辨识度,还能为员工和用户提供更统一、更专业的使用体验,增强企业的品牌形象与用户信任度,为企业带来竞争优势,帮助其在日益同质化的市场中脱颖而出。企业的身份管理系统不仅仅是一个工具,更是品牌实力的象征。
02.私有化部署服务内容
了解企业业务场景,定制专属解决方案
根据企业的业务规模、行业特性以及特定的安全和合规要求,我们的团队将制定一套量身定制的解决方案,确保私有化部署能够完全契合企业的实际运营需求。无论是身份管理、权限控制,还是数据安全加密,都将根据企业的业务复杂度进行优化配置,确保系统既能提升业务效率,又能够满足安全合规要求。
技术专家全程负责,提供完整的部署方案,完成高质量交付Authing 技术专家团队将全程负责私有化部署的实施,确保每一步都符合最高标准。从硬件设施准备到软件系统的安装与配置,我们将根据企业的技术架构和 IT 环境,提供全套的私有化部署服务,确保无缝集成。在部署过程中,我们将严密监控所有关键环节,保障系统的高可用性和安全性。同时,所有实施步骤都会根据企业的反馈及时调整,确保部署过程平稳流畅,最终高质量交付。
支持平台团队使用支持,售后服务及时响应系统部署完成后,我们的高效运营团队将为企业提供持续的技术支持和使用指导,确保企业能够顺利地运营和维护私有化系统。在系统运营过程中,无论是性能优化、故障排查,还是功能扩展,我们的运营团队都将提供快速响应,及时解决企业面临的任何问题。售后服务覆盖全流程,确保系统在使用中的每一个细节都得到妥善处理,帮助企业应对不断变化的业务需求和技术挑战。
03.支持平台
裸机或 VM 虚拟机在简单(非高可用)场景中可以使用裸机或 VM 虚拟机的形式部署。
所需环境:Windows 或 Linux 操作系统,Node.js 版本在 12 及以上。
推荐操作系统:CentOS 7.2 及以上 Ubuntu 18.04 及以上。
Docker Compose如果你的业务场景有一定规模使用人数在 20 人 - 2000 人,IDaaS 平台需要多个组件来支撑你的业务场景,可以使用 Docker Compose 来简化你的部署流程。
所需环境:Linux 操作系统,Docker 17.04 。
推荐操作系统:CentOS 7.2 及以上 Ubuntu 18.04 及以上。
Kubernetes如果你的业务场景承载的用户量比较高,规模在 2000 人及以上,在私有化部署的时候需要考虑性能和可靠性,我们建议你采用 Kubernetes 云原生的模式运维你的 IDaaS 平台。
所需环境:Kubernetes 1.16 及以上。
推荐操作系统:CentOS 7.2 及以上 Ubuntu 18.04 及以上。
资源规划
基于编排的容器化部署运维逐渐已成为目前的主流方式,无论是基于 Kubernetes 还是 Docker 的基础设施环境,都可以通过编排的方式快速的搭建业务组件,同时也可以高效的运维管理,这里我们推荐你使用基于容器的部署方案,Kubernetes 部署模式 或者 Docker 部署方案当然我们也提供了传统的基于物理机部署 Authing 的方案,物理机部署的优势在于可以充分利用物理机的资源并且能够精细化控制部署流程。整体架构
Authing IDaaS 平台架构中主要组件包括:对象存储服务、Redis、ElasticSearch、Postgres 及 Authing Server。Authing Server 作为 Authing IDaaS 平台的主服务,接收来自客户端的请求;对象存储作为存储静态资源的服务;Redis 存储 Session 信息、数据缓存等;Postgres 用来存储核心业务数据;ElasticSearch 用作数据统计分析、日志采集分析的工作。
04.Docker 部署模式
Docker-Compose 是基于 Docker 引擎的一套编排的工具,你可以使用 Docker-Compose 快速的一键部署 Authing IDaaS 平台。Docker 部署方案下的 Authing 是单机环境部署。本文描述了 Authing IDaaS 平台基于 Docker-Compose 的部署方案以及具体的操作指导。整体架构
Authing IDaaS 平台架构中主要组件包括:对象存储服务、Redis、ElasticSearch、Postgres 及 Authing Server。Authing Server 作为 Authing IDaaS 平台的主服务,接收来自客户端的请求;对象存储作为存储静态资源的服务;Redis 存储 Session 信息、数据缓存等;Postgres 用来存储核心业务数据;ElasticSearch 用作数据统计分析、日志采集分析的工作。在日志系统方面, Authing IDaaS 平台使用了 ELK 架构,Authing Server 将日志写入 Log File 当中,Logstash 通过读取 Log File 将日志信息写入 ElasticSearch 服务中,这样保证了多个 IDaaS 集群遵循一套统一的收集 -> 传输 -> 存储 -> 分析流程,再由 Kibana 作为图形化 UI 管理界面进行运维管理,极大程度降低了运维工作的复杂度和出错率,提高了运维人员的工作效率。
更多资源扫描下方二维码,联系 Authing 售前人员获取。
05.Kubernetes 部署模式
Authing 不会改变用户已有的云基础设施,Authing 只会最大程度去兼容用户的云环境。因此,Authing 提出了「云中立」和「Authing Inside」的概念。在多云环境下 Authing 可以保持其中立的特性,可以部署不论是 AWS、腾讯云、阿里云还是私有云环境。在混合云或者私有云环境下,Authing 都会像 Intel 一样被集成在客户的 IT 系统中。本文将介绍 Authing IDaaS 平台基于 Kubernetes 的部署方案以及具体的操作指导。整体架构
Authing IDaaS 平台的高可用架构是运行在 VPC(虚拟私有云)中,通过 LB(负载均衡),将添加的同一地域的多可用区虚拟成一个高性能和高可用的服务池,并根据负载均衡规则,将来自客户端的请求分发给服务池中的可用区。
每个可用区由一组 Kubernetes Node 组成,每个可用区都搭载一套完整的 Authing IDaaS 平台,IDaaS 集群为无状态服务,数据库集群为有状态的主从同步架构,若某个可用区出现服务故障或服务不可用,则 LB 会将流量转移至另一个可用的可用区,该可用区将会承担起 Master 的作用。负载均衡会实时检测每个可用区的健康状态,自动隔离异常状态的可用区,从而提高了应用的整体服务能力。
·
2024.09.19
·1179 人阅读
密码风险不容忽视,筑牢密码安全防线
在当今的数字化社会,密码作为个人和商业信息安全的关键,其重要性不容忽视。随着互联网和数字技术的广泛应用,密码已成为大众信息系统和平台的核心防护机制。尽管密码的重要性人尽皆知,但许多个人和企业在密码管理方面依然存在严重漏洞,使用简单易猜的“弱口令”成为了信息安全的重大漏洞,甚至会引发重点涉密部门的信息泄露风险。近期,国家安全机构曝光的一系列密码安全事故,向我们发出了严肃的警示。企业需要采取更有效的密码管理措施,筑牢信息安全的第一道防线。
01.企业遇到的挑战
内部数据泄露由于网络管理员未及时删除测试账号,且账号具备管理员权限,密码易猜解,导致客户数据泄露。并且密码强度不足就会是另一个明显的问题。管理员账号通常具有极高的操作权限,如果密码设置过于简单,极大地降低系统的整体安全性,使其更容易受到外部攻击者的攻击和利用。客户数据的泄露不仅会给公司造成严重损失,还可能带来巨大的经济损失和法律风险。在数据隐私和安全性备受关注的背景下,此类事件可能会引发监管机构的调查和处罚此外,客户对数据隐私的高度重视也使得此类事件极易引发客户信任危机,导致客户流失和市场稳定性的下降。
邮箱数据被窃取邮件系统是企业通信的核心之一,通常包含大量敏感信息,如内部机密、商业合同、财务报告和客户沟通记录。这些数据一旦被外部黑客获取,可能面临严重的后果,包括企业信息外泄、商业秘密被盗、客户数据丢失,甚至可能引发法律诉讼。某单位公用邮箱使用固话号码作为密码,长期未修改,结果被境外黑客破解,邮件数据被盗 。使用电话号码作为密码本身就极为不安全。固定电话号码是公开信息,很容易通过简单查询或社交工程手段获取。黑客利用这一点,通过暴力或破解其他技术手段,很容易入侵该邮箱系统。随着时间的增加,弱密码的风险成倍增加,黑客入侵的原因也随之而来。
监控系统遭攻击默认密码是系统在初始设置时使用的简单密码,通常为公开信息,很容易被黑客通过互联网搜索或猜测到。黑客能够轻松绕过系统防护措施,获取对监控系统的完全控制权。一旦监控系统被攻破,黑客就可以实时监视摄像头的画面,跟踪公司的内部动向,甚至可能获取到敏感的数据信息。报道中提及的跨境物流公司,监控系统收到攻击,可能引发严重的商业后果,例如盗窃、走私等犯罪活动。严重的是,如果黑客将这些数据泄露或提供给境外势力监控,可能导致敏感的国家安全信息外泄,威胁国家的经济与边境安全。
02.国家安全机关提示
数字化时代,有关单位和个人应提高信息安全意识,履行网络安全义务,增强网络防护,避免使用弱口令,防止数据被窃取、泄露,影响国家安全。
使用复杂密码。设置密码长度至少为8位,宜同时包含大小写字母、数字、特殊字符,提高密码的复杂度,不使用设备或账户初始密码及常见的弱口令密码。
定期更改密码。设置复杂密码后,并非一劳永逸,随着时间的推移,密码仍存在被破译的可能性。重要网络信息系统应定期(至少3个月内)进行密码更改,同时要避免数套密码轮换修改。
避免密码串用。在不同平台及系统避免使用相同的密码,防止一个密码泄露后其他系统被“撞库”攻击连带攻破,导致泄密面进一步扩大。
定期检查账户状态。计算机系统及网络账户通常具备安全审计功能,可查询历史异常记录,定期检查日志,及时发现账户异常行为,防止因密码泄露导致内部数据、信息被持续窃取。
加强技术防范措施。反间谍安全防范重点单位应当按照反间谍技术防范的要求和标准,采取相应的技术措施和其他必要措施,加强对要害部门部位、网络设施、信息系统的反间谍技术防范。
03.基于 Authing 打造密码基础支撑设施底座灵活配置密码规则
禁止弱密码
为了进一步提高密码安全性,可以禁止用户使用常见的、容易被猜测的密码组合,如 “123456”、“password”、“admin” 等。这些密码往往是攻击者首先尝试的目标,极易被破解。因此,系统在用户设置或更改密码时,应进行实时检测,禁止使用已知的弱密码和常见的组合,提醒用户选择更为复杂和安全的密码。
密码强度设置
根据企业的实际需求,密码位数可以灵活设置在 1-35 位之间,自由调整密码的长度要求。并且 Authing 支持多种密码复杂度要求类型,包括数字、大写字母、小写字母、符号等。企业可以根据自己的安全标准和政策要求,灵活选择密码复杂度类型,并根据实际情况进行组合设置,满足企业不同层次的安全需求,保障账户和系统的安全性,有效防范各类安全威胁和攻击。
可校验密码强度校验密码强度是确保用户设置的密码足够安全的重要手段。密码强度校验机制可以通过评估密码的长度、复杂度、字符多样性等因素,实时给出密码强度的评分或提示。例如,当用户输入密码时,系统可以即时显示密码强度指示器,提示密码的安全等级,如“弱”、“中”等。通过这种实时反馈机制,用户可以直观了解其密码的安全性,并及时做出调整,从而提高整体密码的防护能力。
密码全生命周期管理Authing 基于“国产商用密码”技术,构建全生命周期安全防护和管控机制,为各行各业实现数智化发展保驾护航,符合信创、等保、密评等要求。密码全生命周期管理涉及从密码创建、使用、到废弃的整个过程,确保密码在整个生命周期内始终保持高水平的安全性。
强制修改密码周期
为了提高账户安全性,系统应实施强制修改密码周期的策略。这意味着用户必须在一定的时间间隔内更改他们的密码,例如每 90 天或 180 天。强制修改密码周期可以有效减少因长期使用相同密码而带来的安全风险,防止潜在的密码泄露或被破解的可能。实施这一策略时,Authing 能确保用户在周期结束前能够顺利完成密码修改过程,避免因忘记修改而导致的账户锁定或其他使用不便。
密码不可重复周期为防止用户频繁重复使用相同的密码,企业可以添加设置密码不可重复周期,确保在一定时间内或在一定次数的密码更换内,用户不能使用以前使用过的密码。例如,可以规定用户在过去的 5 次密码修改中,不能重复使用任何一个之前使用过的密码,能够防止用户因懒惰或记忆力问题而重复使用旧密码,提升企业内应用系统安全性。
密码到期提示
Authing 为企业提供密码到期提示功能,在用户密码即将过期时提前通知用户。我们一般会在密码到期前的 7 天、3 天和 1 天进行提示,以确保用户有充足的时间进行密码更新。密码到期提示可以通过多种方式通知用户,以确保用户能够及时收到提醒并采取行动。常见的通知方式包括:1、电子邮件通知:发送到用户注册的电子邮件地址,包含密码即将到期的信息和修改链接。2、短信通知:通过短信发送密码到期提醒,特别适用于移动设备用户。3、系统登录提示:用户登录系统时,在仪表板或主页上显示密码即将到期的提示信息。
个性化到期提醒方式我们深知每个企业的需求各不相同,有些客户可能需要更灵活、更个性化的通知方式。因此,我们提供了 webhook 和事件支持,使企业可以根据自己的需求定制通知流程。通过 webhook,Authing 可以将密码到期提醒推送到客户的自有系统中。客户只需配置一个接收 URL,当用户的密码即将到期时,Authing 会自动发送请求到该 URL,触发客户自定义的业务逻辑,与客户现有的工作流程无缝对接,例如将提醒消息推送到企业的 OA 系统、办公软件,或触发其他内部流程。此外,Authing 还提供事件支持,允许客户订阅与密码相关的事件。这些事件可以通过我们的 API 进行订阅,当触发这些事件时,系统会自动向客户的应用发送相应的通知。客户可以基于这些事件开发更复杂的通知和处理逻辑,例如通过集成到内部系统进行二次提醒,或者结合其他安全策略进行操作。
覆盖各类应用场景密码谱系在当今数字化和信息化的世界中,不同的应用场景对密码技术有着不同的需求。为了确保各类系统和数据的安全性,需要针对性地设计和应用密码策略。
密码分级分类策略Authing 建立密码“分级分类”机制,实现密码细粒度、多层级、全过程的安全保护策略。企业可以根据不同部门和岗位的具体需求,自定义相应的密码策略,确保在满足安全需求的同时兼顾使用便捷性。密码策略依据不同的安全需求进行分类和分级。1、对于处理敏感数据和关键业务的部门,如财务、IT、研发和高层管理,要求采用高安全级别的密码策略,包括至少 12 位的密码长度、复杂度要求(必须包含大写字母、小写字母、数字和特殊字符)、每 90 天强制更换密码以及严格的账户锁定策略。2、中层管理和涉及部分敏感信息的部门,如市场、销售和客户服务。虽然不直接处理最机密的核心数据,但他们的工作涉及大量的敏感信息和业务数据,可以选择采用中高安全需求的密码策略,例如密码必须至少包含 10 位字符、每 120 天强制更换一次密码等。3、对于普通员工和不涉及敏感信息的部门,如行政、人力资源和一般运营,采用一般安全需求的密码策略,确保基本的安全性和易用性。
密码执行策略优先级判断在创建的所有密码策略中,可根据企业需求调整密码策略优先级。密码策略都会按序执行并根据设定应用于相应的部门或用户群体。如果某个密码策略在特定部门或用户群体中无效,则会继续尝试执行下一个密码策略,确保对不同部门和用户群体的特定密码需求能够得到满足。当所有特定密码策略都无法应用或无效时,将会执行最后的默认策略。
04.密码策略典型案例:某大型集团
痛点需求
系统内设置较短的密码容易被猜测或暴力破解,而过长的密码可能会使用户难以记忆。密码长度需要设置一定的范围,可以在提高密码安全性的同时,尽量减小用户记忆的负担。
为了防止用户循环使用旧密码,减少密码泄露风险。集团需要历史密码限制确保用户每次更改密码时都会选择一个新的密码,提升整体安全性。
一些字符在某些系统中可能会被误解为特殊指令或引发系统错误。密码需要强制用户限制非法字符可以避免潜在的安全风险和技术问题,确保系统的稳定性和安全性。
集团内自研上线需要一个月,周期长运维成本高,且项目时间紧迫。
解决方案
在设置密码时,可以强制用户确保密码长度在 8 至 16 位之间,保持适中的密码长度范围,既能防止密码过于简单,又能确保用户记忆的可行性。
企业设置密码不可重复周期,要求用户不能使用重复使用旧密码,确保每次密码更换都是新的组合,极大地提升了账户的安全性。
添加特殊符号策略,要求用户不能包含非法字符以及空格,避免系统误解或错误处理特殊字符,确保系统的兼容性和稳定性。
新增密码强度设置要求,密码至少包含 3 种字符,并提供适当的密码提示,用户可以轻松创建符合要求的安全密码,从而在保障账户安全的同时,提升用户的密码管理体验。
Authing 提供了一系列密码解决方案,快速、高效、安全地实现密码策略的需求。相比于传统的自研方案,Authing 可以在一周内快速完成部署,大大缩短了上线周期。企业可以更快速地响应市场变化和业务需求,避免因开发周期过长而错失商机。
·
2024.09.14
·1080 人阅读
从员工管理到组织架构优化,企业如何高效管理身份?
由于信息安全越来越被重视,企业的身份管理已经成为市场焦点,对于实施企业级安全策略和身份管理的需求随之迅速上升。在当今复杂多变的商业环境中,企业组织机构管理已成为推动业务顺畅运作的核心要素之一。企业内数字化管理是涉及企业全业务、跨职能的系统性长期工程,没有“银弹”,更不可能一蹴而就。随着企业规模的扩大和业务的多样化,如何有效管理内部的组织架构,确保各部门之间的协同与高效沟通,成为了企业管理者面临的重要挑战。
01.企业管理面临挑战
企业内结构复杂化
随着组织规模的扩大,各部门的角色和责任 也可能逐渐模糊,导致决策权责不清。不明确的职责划分往往会在实际操作中造成决策效率的下降,员工不知道该向谁汇报,谁该对某项任务负责。同时,多部门、多层级的存在,意味着管理者需要面对更多的协调和决策工作。各部门的角色和责任划分也可能变得模糊,影响决策效率,导致沟通不畅。管理不当可能会引发工作流程的混乱,降低整体生产力。信息在传递过程中逐层递减或失真,决策变得缓慢,执行的精准度也随之下降。信息流动的低效性使得管理者无法及时获取一线的反馈和真实的数据,影响整体的业务应对能力。
内部烟囱式数字化建设大型企业经常会出现部门信息无法有效共享的现象,导致“信息孤岛”的形成。各子公司由于业务架构、技术能力、区域法规等多种客观因素的差异,以及不同子公司中员工、经销商、供应商、上下游合作伙伴等角色各不相同,各子公司基于自身业务架构和管理需求独立建设数字化体系,同时各自独立维护各类数字化应用系统以及管理复杂的身份体系。导致在集团内部形成一个个独立的数字化孤岛,重复损耗建造、维护、迭代成本,集团难以打通各子公司数据,无法统一管理各子公司员工身份和应用系统数据。
员工变动频繁员工的频繁变动,如入职、离职以及岗位调整,给企业的组织管理带来了极大的挑战。随着企业规模的不断扩大,员工流动的频率也随之增加,每当员工的职位、角色或部门发生变化时,企业的管理者必须及时在多个系统中进行手动更新。这不仅涉及到员工的基本信息,还包括与其职务相关的权限管理、部门划分以及其他与工作内容相关的系统设置。管理员需要在不同的系统中重复输入和修改员工信息,而这些系统可能没有统一的接口或自动同步功能,导致操作的繁琐性和低效性。
02.如何通过 Authing 实现高效组织管理?
借助 Authing, 可以快速实现基于角色的访问控制(RBAC)。简单来说,RBAC 指的是通过用户的角色授权其相关权限,这相比直接授予用户权限,要更加灵活、高效、可扩展。而在现实生活中,组、角色往往是分层嵌套的,呈树状结构,最常见的就是组织机构,如公司、学校等等。一个常见的的组织机构架构如下:
一级部门有产品部、研发部、运营部、综合管理部。
一级部门下面又有二级部门,如产品部中包含产品经理和设计等。
上图是一个典型的树状结构,其中有且仅有一个根节点,一般而言,根节点就是一家公司、一个组织。每个节点对应一个分层的部门。在 Authing 中, 你可以从企业微信、钉钉、LDAP、Active Directory 等第三方用户目录导入组织机构, 我们还提供了 控制台、SDK 两种管理组织机构的方式,你可以很方便地管理成员生命周期,还可以使用 LDAP 协议对外开放组织机构数据。创建或导入组织机构如果你还没有创建自己的组织机构,我们推荐你使用 Authing 作为主的身份源,存储用户和组织机构数据;如果你在其他地方存储了自己的组织机构数据,我们也支持将第三方的组织机构数据导入或同步到 Authing。
创建组织机构你可以选择使用控制台或者 API & SDK 创建。你可以在控制台的 用户管理->组织机构 中手动创建组织机构:
添加子部门输入部门名称、部门标识符(旧版本)/ 部门 Code(新版本)(必须是唯一的合法的英文标志符)、部门描述信息即可。
导入组织机构Authing 组织机构支持从以下途径导入组织机构与用户:1、Excel2、同步中心同步(新版)企业微信、钉钉、飞书、LDAP Server、Windows 本地的 Active Directory ...你也可以使用 API & SDK,编写用户导入脚本。管理组织机构组织机构的管理包含添加子部门、修改部门、删除子部门、移动子部门、获取子部门列表、添加成员、删除成员、获取成员列表等操作,Authing 支持控制台和 API & SDK 两种操作方式。
对于 B2E 场景,在控制台左侧导航栏可以看到 组织机构->组织管理 菜单,在此可以管理组织架构及相应层级组织下的成员。对于 B2B 和 B2C 场景,可以在 用户管理->组织机构 中进行管理。
当前新旧版本组织机构功能并行,你可以根据需要选用。要切换新旧版本,可以在 组织机构->组织管理 页面点击页面右上角 切换旧版 / 切换新版 按钮。添加子部门使用控制台,你可以点击其中一个部门,选择添加子部门:
输入部门名称和部门 Code(可选)即可,也可在窗口右侧为当前子部门变更 上级部门:
修改部门在组织树中点击待编辑部门后的编辑部门按钮。
更新字段。
除了可以修改部门名称、部门 Code、部门描述,还可以更改上级部门。点击保存。删除子部门
需要注意的是,如果待删除部门下有子部门或者该部门 / 子部门下存在成员,不可直接删除部门,需要先清空所有成员,删除所有子部门。
从部门中移除成员时需要注意,仅可移除直属多个部门同时直属当前部门的成员。如果成员仅属于当前部门,不可移除;此时,只能通过办理离职将该成员从当前部门移除。
组织根节点不可删除。选中需要删除的部门,点击 删除部门 按钮即可。
移动子部门在组织树中点击待移动部门后的 移动部门 按钮。
在弹出窗口选择移至的新上级部门:
获取子部门列表你可以点击节点前的收起按钮展开当前节点,显示该节点下所有子节点。
添加成员该功能旨在在当前组织 / 部门下增加新的成员。只能增加 成员管理(对于 B2B 和 B2C 场景是 用户列表)中现有成员。要增加新成员,执行以下步骤:1、在左侧组织机构列表中选定组织 / 部门。2、点击用户列表上方 添加成员 按钮。
3、在弹出窗口左侧 用户列表 中勾选目标用户(也可通过关键字搜索)。所选用户自动添加到右侧列表中。4、点击 确定 按钮。
删除成员1、仅可移除直属多个部门且直属当前部门的成员。如待移除成员仅属于一个部门,不可移除。2、可通过先勾选用户,再点击 移除成员 进行批量移除。
若要将某成员从当前组织 / 部门中移除,执行以下步骤:1、在左侧组织机构列表中选定组织 / 部门。2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 移除成员。
获取成员列表点击组织树任意层级组织 / 部门,即可在右侧列表显示当前部门下直属或所有成员(取决于是否勾选用户列表上方 仅展示部门的直属成员)。
管理成员生命周期随着公司的发展,企业内部应用和人员数量会不断增加。不断的员工入职、离职,人员组织架构频繁调整,企业内部的应用账号体系错综复杂,管理员手动操作账号的工作量陡增。同时,缺乏统一的账号管理控制方案也会给企业安全生产带来隐患,经常出现员工离职但是应用账号未关停的安全风险案例。用自动化的账号生命周期管理(Lifecycle Management,简称 LCM) 代替手动账号管理,是将企业 IT 人员从灵活用工所涉及的繁琐复杂的身份信息管理工作中解放出来的关键,同时也可以通过及时关停人员账号和减少授权错误率来提升企业整体的业务安全系数。自动化 LCM 涵盖了员工生命周期所涉及的多个节点,从员工入职、员工在职,到员工离职,既包含了管理员的操作行为,也包含了终端用户的触发行为,具体如下:
账号生命周期管理,有以下几个优势:1、提高生产力并降低成本。2、降低复杂度。3、更为安全合规。组织管理
成员入职你可以在控制台组织机构管理页面进行成员入职操作:
你可以使用手机号或者邮箱创建账号,在成员入职窗口输入 姓名、手机号 / 邮箱,选择部门:
新加入的成员会显示在用户列表中:
点击列表中新加入成员,进入用户详情页,可对其进行角色授权和应用授权:
禁用 / 启用员工账号在出现账号被盗等紧急情况,需要临时禁用员工账号。禁用账号之后,将会自动执行以下操作:1、取消应用授权关系。2、取消策略授权关系。3、该账号无法登录。4、依旧保留部门关系。5、仍可以编辑用户信息。可以在两个路径下禁用 / 启用员工账号。
在组织管理下禁用 / 启用账号在组织管理页面点击该员工所在行 禁用账号 按钮,并在弹窗中进行确认。
你也可以在同路径下重新启用该账号:
在成员管理下禁用 / 启用账号可以在成员管理页面(对于 B2B 和 B2C 场景是 用户列表页面)点击该员工所在行禁用账号 按钮。
在确认安全后,可以在同一个路径下 启用账号。则账号权限恢复正常。
变更部门成员在职阶段,如需更换部门,可以在组织管理 页面点击 变更部门按钮,在打开窗口中勾选目标部门,也可以在搜索框进行搜索后勾选,变更部门会显示在窗口右侧列表中:
设置主部门如果当前成员属于多个部门,可以设定一个为主部门。为此,只需在上面变更部门窗口右侧部门列表中点击设为主部门,然后点击确定:
也可在 组织管理 页面用户列表中点击目标成员所在行 设置主部门 按钮:
然后在打开窗口选择并确定主部门:
设为负责人你可以为不同层级的组织 / 部门设定负责人。可以跨部门设置负责人。但只有在所选人为被选部门直属成员时才会打上负责人标签。有两种方式设置部门负责人:在组织树中点击待设定部门后更多按钮,选择 设置部门负责人。
在组织对应的用户列表中设定负责人:1、在左侧组织机构列表中选定组织 / 部门。2、在右侧当前组织 / 部门的用户列表中点击相应成员所在行 设为负责人。
则所选成员成为该组织 / 部门的负责人。
办理离职可以在 组织管理 页面为员工办理离职。
员工离职之后,将会自动执行以下操作:1、取消应用授权关系。2、取消策略授权关系。3、该账号无法登录。4、移出原有部门,移动至已离职部门。删除账号可以在 办理离职 时同步删除员工账号:
离职和删除账号也可以分步进行:1、先在 组织管理 页面 办理离职。2、然后在 成员管理 中 删除账号。会彻底删除所有用户相关数据。
管理终端设备
设备管理
设备管理功能旨在管理登录用户池应用的所有网页端、移动端、 PC 端设备;通过登录用户池应用,终端设备主动上报该设备信息到用户池,通过对该设备的移除、挂起、停用等操作,来实现对设备的终极管理能力。
管理员侧设备管理
点击「组织机构」-「设备管理」模块,进入设备列表,在这里可以看到所有的设备的基础及使用信息,并且可以对设备进行移除/挂起/停用。启用的操作;
在设备管理列表,点击某一条设备信息,进入到该设备的信息详情页面,可以看到所有使用该设备的账号信息、设备的安全信息及活跃信息;
点击「组织机构」-「成员管理」-「成员详情」页面,用户可以看到使用该账户登录的所有设备信息,并且可以进行移除、挂起、停用操作;
用户侧设备管理Web 端应用个人中心:在 Web 端应用的个人中心,可以看到该用户下,所有登录了该应用的设备;
Authing 令牌移动端 App: 打开 Authing 令牌 APP, 输入用户池相应的移动端应用,并进行登录,登录后,可以在个人中心看到「设备管理」模块,点击进入后,可以对该账号在该应用下登录的设备进行管理操作:
通过「管理数据对象」对设备进行管理首先,在一个开启「管理数据对象」功能的用户池里,打开「设置」-「管理数据对象」页面,点击「终端设备管理」模块,进入终端设备管理模块:
「终端设备管理」功能的基本信息里,展示定义好的功能名称、功能标识符、功能描述及父级菜单,且无法修改:
字段管理 : 展示所有的和设备管理功能相关的字段,可以选择是否展示、是否可编辑:
操作管理:展示的是针对设备管理的常规表单操作能力,包含 「创建」、「编辑」、「删除」、「导入」、「导出」的能力;
详情页配置:展示了某个设备详情页面的配置,可以对详情页的 Tab 及相应的字段进行配置;
·
2024.09.14
·1078 人阅读