现如今,在企业组织内部身份和访问管理已经从单纯的内部IT管理流程扩展到同样专注于外部业务的参与。根据Quocirca在2015年发布的研究表明,现如今的所有企业组织都与外部用户拥有不同程度的网上互动。而为了管理这些关系,并提供对于应用程序的控制访问,企业组织需要知道到底是哪些个人用户访问了相应的应用程序资源。
根据Quocirca在2015年发布的研究表明,现如今的所有企业组织都与外部用户拥有不同程度的网上互动。而为了管理这些关系,并提供对于应用程序的控制访问,企业组织需要知道到底是哪些个人用户访问了相应的应用程序资源。
身份访问管理(IAM)系统不得不扩展到解决这个问题,而且,其应用已经扩展到业务领域。有了这些变化,存储在IAM系统的信息现在拥有了真正的商业价值。
当前企业组织有两种不同的外部用户:企业对企业(B2B)和企业对消费者(B2C)的。
这种 区别所反映的不紧紧只是涉及的用户的不同的,同时也反映了其所部署的不同的系统的类型。 B2B往往最好需要通过扩展利用现有的IAM系统来提供服务,而B2C则通常需要采用一种全新的方法。当然,这两个区域之间通常也会有一些重叠。
现如今,IAM系统的供应商们正看到来自各个行业的企业客户和潜在客户对于外部用户管理功能需求的日益增长。不仅是那些旧的供应商们正不断积极的调整他们的系统,而且具备新兴的思路的新的供应商也在不断涌现。
许多供应商都集中在大型企业或中端市场。当然也一些企业专门为小型企业提供服务,这些产品所提供的主要是以云为基础的服务,从而将企业级技术对外开放。
基于云的IAM与企业内部部署
现在,除了企业内部部署的版本产品之外,大多数供应商现在都提供身份和访问管理即服务 (IAMaaS)。而该市场的一些主要的供应商就包括Okta公司、Centrify公司、Intermedia公司和OneLogin公司。或许行业内在这方面的佼佼者是IBM公司,该公司声称,其IAM功能的基础是基于其企业内部部署产品为前提的,但当前的主要的需求则是其IAMaaS产品(主要是基于该公司于2014年收购了Lighthouse Security公司)。其他主要的IAM平台,包括诸如ForgeRock和Courion,主要由服务提供商用来打造他们自己的IAMaaS产品。
对于许多的企业用户而言,IAMaaS都是相当有意义的。因为,如果外部对于应用程序的访问被授予是基于云的,那么,为什么对于IAM系统的外部访问是不被允许呢?此外,外部被允许访问的用户有也可能在互联网上这样做,所以,涉及到的IAM系统必须是开放给外面世界的。
为B2B关系扩展内部的IAM
外部用户经常需要访问相同的资源作为一个组织的雇员,虽然在范围上通常较受到限制。它们包括合作伙伴,供应商和企业客户,以及对承包商和季节工的员工。鉴于这其中涉及到相当大的供应链和合作伙伴群体,其所涉及到的用户的数量往往可能是企业内部雇员数量的好几倍,故而,这些涉及到的技术和定价必须相应地扩大。
同时,企业组织也有必要为外部和内部用户创建混合分组,并配备相应的公共管理政策。例如,哪些用户可以创建一个企业资源规划(ERP)系统或在客户关系管理系统(CRM)更新客户记录?
同时,也需要进行相应的访问管理——确保企业组织能够清楚的掌握谁曾经访问过哪些资源;并确保这些相关的访问仍然符合合同管理要求。在许多情况下,这种管理更多的是关于企业内部流程和用户的监控,而较少的涉及到关于外部监管。大多数IAM供应商同意这是业务的需要,而不是合规性管理,也是企业组织投资外部IAM的首要驱动因素;并认为,要实现这一点基本面需要到位。
一级和二级身份管理
企业组织创建关系以增加一组外部用户到他们的IAM系统通常会有两种选择。他们要么可以在自己的系统中创建新的身份,也可以通过协议从另一家企业组织的IAM目录加载它们。
来自多个系统的这种身份的联合被更容易的广泛接受使用于轻量级目录访问协议(LDAP)标准。最常用的LDAP目录是Microsoft Active Directory,但供应商必须能够扩展延伸到其他的身份来源。
目录必须保持同步。例如,如果一家企业组织解雇了一名员工,并从其IAM系统上删除了改名用户,那么同样适用使用该标识的其他系统必须也反映出来。在某些情况下,例如与承包商,可能没有有用的外部身份标识源,因此,必须创建一个新的首要身份记录。
然而,即使是这种情况,也在随着携带自己的身份(BYOID)的趋势被广泛接受而逐渐改变,借助BYOID,用户就像他们用自己的护照旅行一样,只需要提供他们自己的数字身份。在这种情况下,社交媒体可以发挥身份提供商的作用——而这是B2C与B2B的世界相重叠的一个领域(见下文“企业与消费者的关系”)。
IAM 供应商通常分为两大广泛的和重叠的群体:那些起源于主要的创造和管理的身份;以及那些利用其他来源用语二次使用的身份。
第一组包括来自一些大牌供应商的产品,包括CA公司的身份套件、IBM的安全访问管理器、微软的身份管理器(其内部部署产品)以及甲骨文的IAM套件产品。其他的则包括SailPoint,其以管理“所有的IAM流程”的方法为特征、开源的ForgeRock身份平台、Courion的访问保证套件和日立的ID系统。另外两款产品似乎在2016年注定走到一起:戴尔的身份管理器(该公司从对Quest的收购交易中获得),和EMC / RSA的身份管理(以前被称为Aveksa)。
身份的主要的一大二次使用是用于单点登录(SSO),其中,外部身份是来自于一系列应用源和基于策略的访问的联合。一些专业供应公司通过这条路线来到IAM市场,其中包括Okta(他们也支持主要配置)、Ping Identity公司、Intermedia公司、Centrify公司和OneLogin公司。
许多主要供应商还开发了单点登录功能(SSO功能),这其中包括CA SSO(以前被称为SiteMinder,而且CA还收购了Identropy的IAMaaS资产)以及戴尔的云访问管理器(这将在戴尔与EMC合并之后变得复杂,因为后者曾收购了Symplified公司的资产,而其正是另一家被挤出SSO供应商市场的供应商)。赛门铁克访问管理器(SAM)是该公司于2013年从收购PasswordBank交易中所获得的一款新开发的SSO产品(赛门铁克此前曾有过一个错误的开始,与已经倒闭的Symplified公司合作)。
身份管理授权
企业组织需要给予外部用户获得访问组织内部相关资源的权限,是因为业务需要的原因,而相关的业务经理必须了解谁应该获得什么资源的访问权限。而借助一些IAM系统,在最好的情况下,企业的业务经理们能够通过提供对于IT工具的权限来做到这一点;而在最坏的情况下,他们必须要求IT部门做出某些改变。然而,对于某些供应商来说,身份委托授权是一种主要的价值主张。
总部位于英国的ProofID公司的ARMS专门允许与委托授权的工作流程相关联的企业组织外部用户进行访问,并能够与更广泛的IAM工具集成。身份自动化的快速识别产品具有开箱即用的功能,帮助企业组织来管理外部用户,包括授权,其被称为“赞助商身份管理”(其才刚刚进入欧洲市场)。 SailPoint、戴尔、IBM、CA、Courion、ForgeRock、日立身份证系统和OneLogin均表示,他们支持委托授权给业务经理,尽管在某些情况下,他们与合作伙伴合作,以扩大工作流程。
使企业管理者执行此类任务的最佳方式是定期为他们提供应用程序集成。一些供应商,如ProofID,提供应用程序编程接口(API)以进行支持,例如,可以直接从供应链和客户关系管理(CRM)系统允许访问权限。
所涉及的工作流程进一步由跨域身份管理系统(SCIM)标准启用。很多供应商均支持这一标准,这使得其易于传播身份信息,例如在软件即服务(SaaS)和企业内部部署的应用程序很容易的创建和删除账户。Courion公司称这种链接为“连接器”,而其他一些供应商则有现成的或可定制的产品。
由于涉及加载卷,另一也可以减少IT部门的负担的授权领域是用户自助服务,例如密码重置,并要求获得新的资源。许多供应商均提供具有这方面现成功能的产品,包括日立ID系统、Intermedia、ForgeRock、IBM、Courion和ProofID。
企业用户需要付多少钱?
最常见的定价模式是根据所管理的每名用户或身份进行定价。针对外部用户收取较低的费用,而不是企业内部员工,因为往往涉及到很多人,要求不太复杂。入门级通常是每年几美元和折扣递减模式——最小数目的用户可以适用。外部用户访问可能是间歇性的,而一些供应商,如Okta、Intermedia和微软,只收主动认证的用户的费用。 ProofID为ARMS提供站点许可证,对于用户数量没有限制。微软的IAMaaS、Azure活动目录,针对一些更广泛的Azure的合同是免费的。Courion公司的定价则是基于部署的用户和/或模块和连接器。
企业组织外部用户的有效参与是现如今的大多数企业保持竞争力的需要,高效的低成本的外部身份管理,将业务链接到必要的工作流程。许多人会发现现有的IAM系统可以适应或作为其B2B要求的补充。对于B2C而言,一个全新的规模是必需的。
企业与消费者的关系
在了解了外部身份和访问管理之后,IAM的另一部分是管理企业对消费者(B2C)的关系。 有些人称这为客户IAM( customer-IAM ,CIAM),而鉴于“C”可以很容易地代表“消费者”,这将避免任何来自企业用户的混乱。
而由于现有的IAM系统通常扩展为包括B2B关系,B2C的部署是更可能是独立的,原因如下:
· 涉及到的用户数量是巨大的;
· 消费者的身份来自不同的来源,而商业用户和社交媒体正在发挥越来越重要的作用;
· 涉及的应用程序经常从主流商务应用程序中脱颖而出,虽然有需求会有某些重叠的区域;
· 对于B2C有不同的管理压力;
· B2C IAM系统是支持更广阔的消费市场需求分析的主要信息来源。
社交媒体的作用
尽管涉及到B2B关系的用户可能数以千计来衡量,而B2C的用户数量则可以达到数以百万计——特别是对于一家面向消费者的企业业务而言,这是一个很好的问题。故而,这两个平台和定价的可扩展性是必需的。消费者需要在一开始就被吸引,然后双方理解为个人和集体管理。社交媒体将成为发现、理解和验证消费者的有效途径。
社交媒体对于B2C关系的双方都是相当良好的。消费者得到了跨所有他们的各种访问设备的更多的便利性和安全性。利用从社交媒体网站如Facebook、PayPal或谷歌的身份登录到多个其他服务意味着只需要记住更少的用户名和密码。强大的身份验证选项也使其更安全,用户在使用一台新的设备访问之前,一次性口令被允许经由社交媒体网站通过短信发送给用户。所有这一切都给众多的消费者带来了单点登录的体验。
对于通过其既定的社会身份处理与消费者关系的企业组织而言,这提供了一个更高层次的信心,即他们正在处理一个真实的人的相关事务。使得企业组织可以不用创建完全新的帐户,并具有必要的权限,社会媒体网站可以提供相应的信息,否则他们将从零开始收集的用户的个人信息。社交媒体网站本身需要建立一种平衡,使其用户的在线生活更简单,并尊重他们的隐私。
企业组织提供在线服务的业务的一种方法是利用所选的社交媒体网站使用社交登录功能来处理直接。例如,借助谷歌的用户登录,使消费者能够利用谷歌帐户来访问非谷歌的资源。然而,问题是,其也限制了某些选择,没有谷歌帐户的消费者可能会被迫创建一个账户以便访问特定的服务。
在过去的十年,为了响应B2C的广泛参与及配备各种其他配套能力选择的需要,导致了社交登录经纪人的增加。当前市场上有三大品牌的社交登录经纪人:LoginRadius、Gigya和Janrain。所有这些平台的基本目标都是按需服务,使消费者能够注册,验证和维护使用选定的使用社交账户身份,而对于不想使用他们的帐户,则支持建立一个重新使用的主要身份在经纪人的平台上的网络服务的配置文件。经纪人的平台对消费者来说是透明的,他们只是通过自己的社会身份来处理各种网络资源的便利性。他们不知道在这个过程中,他们的数据可以由不同的经纪人处理不同的在线服务。
使用代理的平台的成本费用是通过在线支付给服务提供商的——通常为每用户几便士,但也有相当高的入门级。例如,LoginRadius计划启动为10万基本费用的用户提供不同的计划;Gigya公司的收费标准为10,000用户块(user blocks)。
英国的供应商ProofID公司拥有一款称为Identify的产品,能够通过用户的社交身份进行识别,并将用户的各种身份整合,为消费者建立一个统一的身份。这可以通过连接机构的身份,从一个教育机构,或者来自Facebook和LinkedIn账户的相关细节。这种想法作为社会身份进行验证,也可能在B2B的领域获得一定的关注。
消费者管理
任何在网上与消费者进行交易的企业组织都必须警惕适用于个人数据的相关法律法规,如英国数据保护法和即将颁布的欧盟通用数据保护条例隐私法规。
然而,社交登录的经纪人可以至少将一些这样的责任工作实施外包。相关的年龄,邮政编码,性别,婚姻状况等信息可以用于以营销目的的细分市场的营销,而不是收集和存储这些数据。但是,应该明确指出某家既定的企业组织对于其所收集并存储的任何个人资料负有最终法律责任。
让消费者能够更新他们的个人资料和营销/通信偏好也是有必要的。社会身份经纪人可以为你实施这方面的管理,包括关系的清理终结,当消费者选择终结一段社交账号的关系时,这是由社会媒体网站自己所需要的。例如, Facebook 指出,当用户从该网站注销时,用户的非公开个人资料信息必须被删除,而这是用户使用其服务时,首要要认可的第一条件。
市场分析
大数据被需要用于处理用于营销目的的消费者身份数据,通常与其他常常是非结构化的数据源相结合。这可能是回顾性细分消费者市场营销活动,而且还实时提供更加个性化的在线体验。社会认同的经纪人已经预先同意许可收集和处理这些数据。Gigya公司断言,对于处理这种消费数据需求一个专用库是必要的,而B2B为重点的IAM产品都无法达到这一工作。
为此,经纪人已经开发另一套与一系列消费市场的服务供应商的关系。Gigya,Janrain和LoginRadius等公司在其网站上与许多合作伙伴整合,提供不同的在线广告服务,游戏化,推荐引擎,CRM系统和商业智能领域的服务,一切旨在帮助客户为消费者提供整合营销。
规模化B2B IAM
尽管面临来自CIAM的挑战,社会身份的经纪人们声称只有他们才可以应付,而许多传统的IAM供应商相信他们的系统是可以奏效的,他们建立的客户关系能够相应地适应调整其现有IAM投资。许多已经扩大了他们的能力,从社会媒体联合身份(使用如OAuth和OpenID的连接标准)并规模化调整他们的平台来应付处理量。有些企业已经做到这一点,其他企业也已经与专家身份的中间件供应商合作,如Radiant Logic公司。
Radiant Logic公司将其RadiantOne产品描述为“高度可扩展和安全的”身份联合平台,基于其HDAP大数据引擎。这个术语是在LDAP发挥作用的,被广泛使用的标准存储身份,以取代“H”代表“高可用性”。
Radiant Logic公司发现,在保险业,银行业和医疗保健市场,这些企业组织经常有到位的传统的身份基础设施,一系列的身份来源是集成的,业务用户和消费者需要共同访问数据和应用程序。Radiant Logic公司在他们的网站上列出了一系列的IAM供应商技术合作伙伴,包括Ping Identity、EMC/RSA、CA、微软、IBM、Courion、SailPoint和Gigya公司。
回归到业务
随着在B2B方面使用社会身份的兴趣越来越大,BYOID这一术语业应运而生。Janrain表示说,客户推动其使用LinkedIn的身份验证,而LoginRadius公司则表示说他们看到利用谷歌,LinkedIn和推特进行登陆的需求的增加。
Quocirca公司在2015年发布了题为《了解您》(由Ping Identity公司赞助)的报告,以研究各种社会身份的信托业务。研究的发现结果也许并不奇怪,即那些愿意让消费者以Facebook账号进行交易的企业组织,要比那些不愿意的企业组织更受欢迎。而LinkedIn也是另一种备受欢迎的登陆方式,而谷歌被发现能够获得双方同等的信任。微软在整体上最值得信赖,可能是由于用户长期对于其熟悉的关系,事实上,其通过Active Directory已经在企业界称为最广泛的身份的来源。PayPal和亚马逊也被发现拥有高度的信任,这与他们长期形成的安全地处理金融交易能力不无关系。
所有这一切的关键并不在于企业组织想要什么,其应该是关于服务于消费者,为他们提供一个选择,相信自己的身份和个人资料被更安全地存储,并且能够比过去的处理情况可能更安全。同时,企业组织提供的应该是比较容易的服务,方便用户能够访问和体验提供更加个性化的服务。同时,务必要确保让用户记住更少的密码!
本文转自d1net(转载)