什么是IDaaS？

IDaaS是IAM的一個(gè)基于云的消費(fèi)模型。同現(xiàn)代技術(shù)生態(tài)系統(tǒng)中其他的東西一樣，IAM也可以作為一種服務(wù)。排除一些例外，IDaaS通常是通過云模式來(lái)進(jìn)行交付的，同時(shí)它也可以根據(jù)組織的需求以及相關(guān)供應(yīng)商的能力，作為多租戶提供方案或?qū)Ｓ媒桓赌Ｐ蛠?lái)進(jìn)行交付。

Gartner預(yù)測(cè)，2022年底之前，40%的中大型企業(yè)都將應(yīng)用IDaaS產(chǎn)品以代替?zhèn)鹘y(tǒng)的IAM。該結(jié)果是由多方因素共同促成的，例如云計(jì)算的持續(xù)應(yīng)用、遠(yuǎn)程辦公的常態(tài)化，以及組織開始意識(shí)到他們可以在無(wú)需對(duì)IAM進(jìn)行托管的情況下，單純地使用它。這樣組織就可以把節(jié)省的時(shí)間投入到向客戶交付價(jià)值的核心能力上。

IDaaS的益處

IDaaS產(chǎn)品的優(yōu)點(diǎn)包括無(wú)需托管即可使用IAM，以及節(jié)省了與IAM相關(guān)的管理開銷（轉(zhuǎn)而由供應(yīng)商承擔(dān)）。除此之外，IDaaS還包括一些功能豐富的產(chǎn)品，這些產(chǎn)品可以使IAM在許多情況下變得更加有效、更加安全。大多數(shù)IDaaS供應(yīng)商既可以提供本地服務(wù)，也可以提供集成的功能，如單點(diǎn)登錄（SSO）和多因素身份驗(yàn)證（MFA）。

IDaaS供應(yīng)商以其為云原生而感到自豪，因?yàn)檫@意味著與強(qiáng)大的云生態(tài)系統(tǒng)進(jìn)行集成變得更加容易。也就是說可以與組織龐大的SaaS應(yīng)用進(jìn)行集成，并通過使用OIDC和SAML等協(xié)議，來(lái)實(shí)現(xiàn)統(tǒng)一的身份驗(yàn)證方案和企業(yè)范圍的IAM治理。即使是像聯(lián)邦政府這樣復(fù)雜和龐大的組織也發(fā)布了完整的劇本和指南，以幫助聯(lián)邦機(jī)構(gòu)的政府承包商將他們的IAM服務(wù)與云運(yùn)營(yíng)模式相結(jié)合，而IDaaS正是該劇本的核心。

上表來(lái)自于前面提到的聯(lián)邦劇本，它很好地總結(jié)了本地IAM解決方案與IDaaS之間的一些關(guān)鍵區(qū)別。如同一個(gè)更為廣泛的云，基于云的IDaaS也可以提供云計(jì)算的許多關(guān)鍵功能。通過應(yīng)用基于云的IDaaS，組織不再被其擴(kuò)展IAM基礎(chǔ)設(shè)施的能力所限制，因?yàn)樵撃芰梢宰鳛橐环N消耗品來(lái)由外部提供，且具有一定的彈性。

組織可以根據(jù)實(shí)際的消耗量來(lái)進(jìn)行結(jié)算，并且他們無(wú)需實(shí)際擁有和托管IAM基礎(chǔ)設(shè)施，因?yàn)檫@些均由服務(wù)供應(yīng)商負(fù)責(zé)。同時(shí)，組織也無(wú)需再費(fèi)心IAM基礎(chǔ)設(shè)施的容錯(cuò)。IDaaS供應(yīng)商會(huì)提供具備容錯(cuò)能力的全球可用的基礎(chǔ)設(shè)施，從而以更低的價(jià)格，來(lái)滿足組織的災(zāi)后恢復(fù)以及業(yè)務(wù)連續(xù)（DR/BC）等需求。

IDaaS 的缺點(diǎn)以及注意事項(xiàng)

然而并非所有的IDaaS都是有益的，組織在評(píng)估它們時(shí)需要考慮一些關(guān)鍵的因素。如果說身份驗(yàn)證是新的邊界，那么采用IDaaS可以給IDaaS供應(yīng)商帶來(lái)一定程度上的邊界控制。這類似于云計(jì)算中的共享責(zé)任模型概念。不同的是，它從基礎(chǔ)設(shè)施進(jìn)一步擴(kuò)展到了堆棧、以及身份、權(quán)限和訪問控制等關(guān)鍵問題上。

上表中列舉的一些IDaaS的優(yōu)點(diǎn)如今可能會(huì)成為它的缺點(diǎn)或爭(zhēng)議點(diǎn)，這取決于組織的需求和敏感度。使用與IAM相關(guān)的應(yīng)用和系統(tǒng)，限制了供應(yīng)商的供應(yīng)權(quán)限以及修改供應(yīng)方式的能力。這是由于IDaaS供應(yīng)商為許多客戶都提供了他們的界面/應(yīng)用程序，但是只能有這么多的定制化才能保證不會(huì)失去產(chǎn)品的標(biāo)準(zhǔn)化。并且在對(duì)服務(wù)的評(píng)估方面，組織還可能會(huì)遇到額外的開支，這是因?yàn)楣芾韱T不成熟的選擇可能會(huì)超過最初的預(yù)算。

除此之外，一些重要的安全問題還來(lái)自于IDaaS的資源共享和廣泛的網(wǎng)絡(luò)訪問方面。根據(jù)組織的工作性質(zhì)，與其他用戶共享租賃服務(wù)的想法是很危險(xiǎn)的。共享租賃服務(wù)意味著其他用戶邏輯環(huán)境中的安全風(fēng)險(xiǎn)事件可以在我們自己組織所在的環(huán)境中橫向訪問，從而訪問整個(gè)IT生態(tài)環(huán)境。

IDaaS的全球可用性是一個(gè)極具吸引力的優(yōu)點(diǎn)，特別是考慮到組織自己提供此種級(jí)別容錯(cuò)能力所需的高額費(fèi)用。也就是說，組織還需牢記一些監(jiān)管要求。例如一些組織可能會(huì)受限于其系統(tǒng)/數(shù)據(jù)的地理位置因素（GDPR或國(guó)家安全等）。如果業(yè)務(wù)已經(jīng)在進(jìn)行中了，那么則需要考慮美國(guó)國(guó)防（DoD）方面的問題。組織可以與IDaaS供應(yīng)商合作，以確保其數(shù)據(jù)處于特定的區(qū)域。但地理位置的限制也的確是一個(gè)需要考慮和解決的問題。

其中一些擔(dān)憂并非沒有道理。就在幾個(gè)月前，最大的IDaaS供應(yīng)商之一Okta就遭遇了一次安全漏洞攻擊，直接影響了兩家用戶企業(yè)。此次事件中的安全漏洞似乎來(lái)自于Okta的一個(gè)子處理器，同時(shí)這也引起了針對(duì)網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險(xiǎn)管理（C-SCRM）的討論。由于許多IDaaS供應(yīng)商要處理數(shù)百上千條有關(guān)客戶IAM的關(guān)鍵信息，所以一旦IDaaS供應(yīng)商遭受不法分子的攻擊，那么就可能會(huì)進(jìn)一步對(duì)其用戶企業(yè)乃至整個(gè)行業(yè)造成毀滅性的打擊。

仔細(xì)評(píng)估IDaaS

經(jīng)過以上討論，我們就可以理解為什么許多組織都在使用IDaaS產(chǎn)品了。隨著云的普及，組織通常需要?jiǎng)討B(tài)且強(qiáng)大的IAM功能來(lái)支持其多樣化的生態(tài)系統(tǒng)。對(duì)于許多組織來(lái)說，由IDaaS供應(yīng)商提供IAM功能比組織親自對(duì)IAM進(jìn)行托管，要?jiǎng)澦愕枚?。它們龐大的用戶團(tuán)體也造就了其巨大的工作規(guī)模。

使用IDaaS服務(wù)往往可以幫助組織專注于自己的核心競(jìng)爭(zhēng)力，比起IAM，組織更應(yīng)該將重心放在客戶和利益相關(guān)者身上。與所有的技術(shù)和服務(wù)一樣，在挑選IDaaS方面，組織也需要考慮一些關(guān)鍵的因素。

點(diǎn)評(píng)

IDaaS身份即服務(wù)是IAM服務(wù)在云計(jì)算時(shí)代的擴(kuò)展升級(jí)，它更像是IAM與SaaS的結(jié)合。IDaaS充分發(fā)揮了云的強(qiáng)大優(yōu)勢(shì)，不僅在于企業(yè)成本與精力的節(jié)約，而且更大程度上實(shí)現(xiàn)了認(rèn)證策略的集中與統(tǒng)一。但任何事物都具有兩面性，資源的共享一方面來(lái)了高效與便利，同時(shí)也引入了更大的安全風(fēng)險(xiǎn)。因此，企業(yè)在對(duì)IDaaS評(píng)估與挑選時(shí)，需要充分考慮與自身相關(guān)的關(guān)鍵因素、衡量利弊，在最小風(fēng)險(xiǎn)的情況下，將IDaaS的優(yōu)勢(shì)發(fā)揮至最大。