技术随笔
关注
分享
扫一扫
IDaaS杂谈
玉符IDaaS云平台作为企业级身份认证云平台开创者,提供统一目录、账号生命周期管理、单点登录、多因素认证和安全审计等核心能力,应用商城与国内外数百款知名厂商云应用预集成,针对特殊接口应用系统还提供特殊对接方案,强大的应用对接能力、以及自定义的规则配置,可以灵活满足企业多变的业务需求。
展开
-
用“密码代填”实现单点登录,安全吗?
密码代填是一种帮助用户实现自动登录的方式,它通过自动模拟用户填写账号密码的方式来进行登录,严格来说它不属于单点登录范畴,由于国内不少企业采用这种方式来登录日常应用,所以也成为了一种广泛应用的实现单点登录的形式。有人说密码代填很落后,有人说它有特定的应用的场景,那么“密码代填”到底安全吗?是否值得采用?本文就来深入探讨一下。一、“密码代填”的几种常见方式“密码代填”顾名思义就是程序代替用户填写登录信息表单,实现自动登录的过程。主要有以下几种实现方式。1. 通过应用提供的接口获取账号密码.原创 2020-10-23 16:00:36 · 2154 阅读 · 0 评论 -
单点登录协议有哪些?CAS、OAuth、OIDC、SAML有何异同?
单点登录实现中,系统之间的协议对接是非常重要的一环,一般涉及的标准协议类型有 CAS、OAuth、OpenID Connect、SAML,本文将对四种主流 SSO协议进行概述性的介绍,并比较其异同,读者亦可按图索骥、厘清关键概念。一、认证与授权的区别在介绍具体协议之前,有必要先说明“认证(Authentication)”和“授权(Authorization)”的区别。 认证(Authentication)即确认该用户的身份是他所声明的那个人; 授权(Authorization).原创 2020-10-22 18:37:54 · 6388 阅读 · 3 评论 -
企业灵活用工,账号管理难?棘手的问题交给 IDaaS 处理
灵活用工目前已经成为一种非常主流的用工形式,可以有效解决企业在发展过程中面临的用工成本问题。但是,灵活用工中多变的用工时间和复杂的用工角色,也给企业的IT管理带来一定的挑战。本文我们将针对灵活用工身份管理中存在的痛点提出一份合理的数字化解决方案,希望对遇到类似痛点的企业有所帮助。随着人力制造成本的不断提升,用工问题已经成为制约企业发展的关键性问题。灵活用工因其在用工时间和用工形式方面的灵活性,成为众多企业解决成本问题的关键途径,也逐渐成为一种新的趋势。据统计,中国公共劳工市场于2019年12月3.原创 2020-10-15 16:51:23 · 328 阅读 · 0 评论 -
等保2.0时代,企业身份与访问合规怎么做?
等级保护制度是我国在网络安全领域的基本制度、基本国策,是国家网络安全意志的体现。而《网络安全法》的出台,更是将等级保护制度提升到了法律层面。2019年12月,网络安全等级保护制度2.0(简称“等保2.0”)正式实施。等保2.0在1.0的基础上,更加注重全方位主动防御、动态防御、整体防控和精准防护,除基本要求外,还增加了对云计算、移动互联、物联网、工业控制和大数据等对象全覆盖。等保2.0中和“身份与访问管理”相关的内容很多,如身份鉴别、可信验证、访问控制、安全审计、入侵防范等。在企业制定IT合规审计战原创 2020-10-13 11:51:15 · 601 阅读 · 0 评论 -
单点登录技术解析:社会化登录是什么?企业是否应该实施?
社会化登录,是指用户使用社交平台的身份认证信息在第三方应用或网址进行认证登录的流程,比如大家经常使用个人微信、QQ、微博等社交账号登录滴滴、网易云音乐等。社会化登录不仅有助于简化用户在第三方平台的登录体验,同时也为用户在第三方平台创建新账号提供了一种更为简单便捷的方式。不论是对于普通用户来说,还是企业来说,社会化登录都有着无可比拟的优势。尽管社会化登录有着自己独特的优势,但是也确实会给企业带来一些隐患。本文将分享我们关于社会化登录的一些思考,以帮助大家更好地考虑社会化登录的实践。社会化登录是如何运作原创 2020-09-29 17:50:52 · 703 阅读 · 0 评论 -
单点登录之如何平衡 Token 安全性和用户体验?
在《IDaaS 技术解析系列(一)》中,我们介绍了在单点登录中Token认证相对于传统基于Session认证的优势,本文继续介绍一组相关概念:Access Token & Refresh Token。Token作为用户获取受保护资源的凭证,必须设置一个过期时间,否则一次登录便可永久使用,认证功能就失去了意义。但是矛盾在于:过期时间设置得太长,用户数据的安全性将大打折扣;过期时间设置得太短,用户就必须每隔一段时间重新登录,以获取新的凭证,这会极大挫伤用户的积极性。针对这一问题,我们可以利用Acc.原创 2020-09-24 16:24:07 · 702 阅读 · 0 评论 -
低代码实现 IT 系统账号同步管理
很多企业的 IT 系统都是委托外部厂商进行定制化开发部署,比如身份访问管理系统由 IAM 厂商经过 2 个月定制开发,一次性交付后,后续系统维护由企业 IT 部门承担。一旦系统运行出现了问题或系统需升级时,企业 IT 运维只能在几十万行“别人写的代码”中找 bug,或在别人写的代码基础上进行二次开发,继续陷入“写代码-找bug”的循环中……“如果不用写代码,就不用在代码中找 bug 了吧?”“低代码”是近两年来逐渐升温的概念,指企业的开发人员可以使用标准化的低代码产品和服务,通过在界面化...原创 2020-09-18 10:54:50 · 480 阅读 · 0 评论 -
云原生安全模型与实践
作者介绍:陈伟嘉,毕业于加州大学尔湾分校,曾就职于Facebook、Splunk,现任玉符科技 CTO,负责玉符 IDaaS 技术架构设计和实现,带领研发团队从 0 到 1 实现产品自主研发,搭建无状态化支持、轻量化容器打包、运维自动化等微服务架构。在传统的研发中,我们经常关注的「安全」包括代码安全、机器(运行环境)安全、网络运维安全,而随着云原生时代的到来,如果还按原有的几个维度切分的话,显然容易忽略很多云原生环境引入的新挑战,我们需要基于网络安全最佳实践——纵深防御原则,来逐步剖析「云原生的安.原创 2020-09-11 14:10:05 · 543 阅读 · 0 评论 -
单点登录实现之后,各个系统的账号同步怎么做?
随着企业采购的业务系统增多,各个系统账户独立维护使得运维复杂度上升、手动管理难度加大,此外手动操作也会存在一些安全隐患。因此,企业应该开始思考如何打通“烟囱林立”的业务系统,建立自动化的账号同步体系,实现系统之间的高效安全的连接,从而提升整体运维效率和安全性。账户管理的痛点具体来说,企业IT部门在维护复杂的业务系统账户时,首先面对的是手动操作带来的高工作量和高风险——内部应用和人员数量不断增加,人员组织架构调整频繁,内部人员角色(正式员工/临时工、渠道/合作伙伴等)也开始变得复杂,每个业务系统的管理原创 2020-09-10 14:35:17 · 4901 阅读 · 0 评论 -
IDaaS 技术解析 | 单点登录技术之 Token 认证
IDaaS 即提供基于云的身份认证和管理服务的平台,确保在准确判定用户身份的基础上,在正确的时间授予用户正确的应用、文件和其他资源的访问权限。IDaaS 能提供多种标准化功能帮助用户实现高效、安全的身份认证管理服务,如单点登录、智能多因素认证、账号生命周期管理等等。由于 IDaaS 在国内尚属于新兴产品形态,很多人对它只有模糊的印象,所以我们计划用一系列文章,深入浅出介绍 IDaaS 相关的技术原理和细节。本文是“IDaaS 技术解析”系列的第一篇。单点登录在技术上涉及协议对接、认证方式等诸多细节,.原创 2020-09-03 15:27:03 · 2865 阅读 · 0 评论 -
企业如何做好密码管理?
想象一个场景:IT 运维小叉为公司新人小A开通了 10 多个应用系统账户,企业微信、绩效系统、CRM 系统、公司内网云盘等等,“健忘症患者“小A为了方便记忆,将各个系统密码全部设置为 “123456!”,并保存在浏览器中设置自动填充。十天后小A误点了钓鱼网站,公司系统的账户被盗,内部资料被窃取——小叉同学表示非常心累&崩溃。不只是安全问题,更是效率“杀手”现代企业的应用系统越来越多,如果员工在每个应用上设置不同的高强度密码,在不允许浏览器自动填充的情况下,员工可能每天都奔波在“找回密码”原创 2020-08-27 15:12:28 · 932 阅读 · 0 评论 -
构成“零信任生态系统”的7个主要元素是什么?
如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段,提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。随着时代的发展,业界逐渐开始将零信任与网络分原创 2020-08-21 14:33:30 · 533 阅读 · 0 评论 -
IT 安全运维必看:零信任生态模型的 7 大技术维度
如今,企业的业务和商业流程已不再局限于物理环境内,传统以网络边界为中心的防火墙式安全防护机制已无法满足企业的发展要求,企业需要转向构建一个以数据和身份为中心的、与当下数字化发展趋势更加相适应的安全防护机制。在这样的大背景下,Forrester Research 的一位分析师于2010年正式提出了零信任的安全概念。最初,Forrester 一直着重于研究如何将传统的单一边界划分为一系列微边界或是网络分段,提倡通过加强细粒度授权和威胁管控来提升整体业务安全性。随着时代的发展,业界逐渐开始将零信任与网络分原创 2020-08-19 16:41:29 · 648 阅读 · 0 评论 -
零信任架构下身份管理系统的落地挑战
在上篇文章中,我们介绍了零信任概念与身份管理之间的关系——身份管理是零信任安全体系构建不变的核心需求。本文继续聊聊在国内市场环境下,打造一个成熟的零信任身份管理模型面临着什么样的挑战,及其架构要点。一、身份管理的落地挑战由于国内企业的技术基础、业务形态、市场政策环境的特殊性,在零信任架构下,身份管理系统的落地面临着诸多挑战:1. 身份数据连接动态的身份控制需要有丰富的身份数据做支撑。中国企业在管理身份数据方面存在不少痛点,比如无法对分散在各系统中的身份数据进行统一管理和分析,...原创 2020-08-19 11:49:30 · 800 阅读 · 0 评论 -
如何打造零信任时代的身份管理系统?
疫情期间,我们骤然发现自己添了很多“身份证明”:小区出入证,公司大厦出入证,健康宝无异常证明,运营商的 14 日出行轨迹证明……个人日常生活不再笼统,而是分裂成无数场景,在不同场景下验证不同的“身份”;换个角度,疫情安全防控本质的初始是个人身份的验证和出入授权。这对于现代企业的信息安全防控与管理而言,有何启发?一、零信任与身份管理零信任是一个安全概念,自 2010 年提出后,近年来逐渐由理论走向实践。它认为由于网络流量的不可信因素,使得网络环境中的人、事和物之间的连接变得脆弱,易受到外部或内部环.原创 2020-08-17 17:03:13 · 718 阅读 · 0 评论 -
IDaaS 是什么?
其实IDaaS就是云时代的身份和访问管理(IAM),他们之间的关系:IDaaS=SaaS+IAM。提供IDaaS的公司既可以作为身份提供商(IDP),也可以作为服务提供商(SP)。所以可以将IDaaS理解为是一个服务平台,客户使用提供IDaaS服务相关的产品,例如单点登录,智能多因素认证,来实现云时代所需的既安全又高效的身份和访问管理功能。举个简单的例子吧。一个别墅的门口有一个不可信赖的管家—...原创 2020-04-27 17:03:51 · 3006 阅读 · 2 评论 -
LDAP不等于SSO
LDAP(Lightweight Directory Access Protocol)即轻量目录访问协议,是一个开放、广泛被使用的工业标准(IEFT、RFC),在1993年就被提出。企业级软件也通常具备"支持LDAP"的功能,比如Jira, Confluence, openVPN等,企业也经常采用LDAP服务器来作为企业的认证源和数据源。但是大家比较常见的认识误区是,可以使用LDAP来实现SSO。...原创 2019-10-30 13:48:50 · 4300 阅读 · 0 评论