摘要:随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战。
本文分享自华为云社区《面对庞大复杂的身份和权限管理,企业该怎么办?》,作者: 华为云PaaS服务小智。
随着各领域加快向数字化、移动化、互联网化的发展,企业信息环境变得庞大复杂,身份和权限管理面临巨大的挑战:
面对以上挑战,传统的身份和权限管理系统已无法应对,我们可以怎么做呢?这里先给大家介绍IAM和IDaaS,这两个与身份和权限管理系统息息相关的概念。
IAM(Identity and Access Management的缩写),即“身份与访问管理”,它提供单点登录、认证管理、集中的授权和审计,帮助企业安全、高效地管理IT系统的帐号和资源权限,传统的IAM服务虽然解决了部分身份问题,但是开发效率低,成本浪费严重。
IDaaS(Identity As a Service的缩写),即“身份即服务”,IDaaS=IAM+SaaS,是云计算时代、SaaS服务兴起的产物,是一种云化的身份与访问管理服务,由第三方云服务厂商构建并维护。与传统IAM相比,IDaaS为身份认证带来了SaaS的成本优势,且适配性更强、安全性更高,可处理更大规模、更加复杂的数据。
OneAccess是华为云提供的IDaaS服务,是贯穿企业业务流程的身份访问管理系统。提供集中式的身份管理、认证、授权、监控和审计平台,保证合法的用户、以适当的权限访问受信任的的应用系统,并对异常访问行为进行实时预警和有效防范,为企业构建“零信任”的安全架构提供身份基础设施,提供的核心能力如下:
融合客户多个身份源,为上层应用提供一致的身份服务;为帐号提供从注册到注销的全生命周期管理;管理企业内部的组织架构、用户身份,真正实现人与帐号一一对应。
提供4种粒度权限管理模型(平台级、大门级、应用预置级和细粒度)。其中:平台级提供管理员的分权分域管理后台;大门级为普通用户提供访问应用系统的常用权限管理;应用预置级提供应用内置角色的控制能力;细粒度提供应用系统精确到菜单、按钮的控制能力。
支持密码、动态密码OTP、短信验证码、二维码、图形码能力,支持对接指纹、人脸等生物认证系统、CA数字证书;除单一认证方式外,还支持双因素、多因素MFA认证。
提供行业主流的OAuth、SAML、CAS、OIDC标准协议,同时支持插件代填的方式实现对无接口应用系统的集成。
支持4种行业标准SSO协议(OAuth、SAML、OIDC、CAS),预集成1050+行业应用,17类社交认证源(含Welink、钉钉、微信、支付宝和QQ等),9个行业身份源(含AD、飞书、SAP等),极大缩短客户的上线时间。
云桥是一个应用级安全代理,其目的是在企业内网和OneAccess服务之间建立起一条安全通道,支持OneAccess对接企业内的身份和认证资源(例如:Windows AD),核心优势包括数据安全性、高有用和请求专有性。
OneAccess支持云办公、智慧园区、智慧城市、智慧交通、金融和教育等多个解决方案和典型行业,下面以云办公场景为例。
OneAccess身份访问管理方案是如何解决上述问题的呢?
人员入职、离职、转岗等人事变动,客户只需要维护身份源系统(例如:Windows AD、LDAP等)的人员变化,OneAccess定期同步身份源系统的用户信息,保证人员信息时刻准确,简化企业对人员的管理:
效果示例:
企业员工变动频繁,如若不及时更新各个应用系统的帐号,离职人员访问企业内部系统,会造成信息泄露。企业员工登陆云办公系统后,可使用已有的身份源帐号进行企业二次认证,OneAccess支持通过OAuth 2.0等协议与云办公系统完成认证:
以国内某大型电子科技企业案例为例, OneAccess与华为云办公会议系统Welink集成,解决客户基础业务能力,包括身份管理、应用集成、单点登录、云办公等服务,效果如下:
企业应用系统通过标准SSO协议集成到OneAccess,利用OneAccess的单点登录能力,做到一个帐号,一次认证,登录所有应用系统;将云办公系统作为认证源集成到OneAccess后,员工就可以在云办公系统中免密登录所有企业应用系统;利用OneAccess的应用权限管理,自动控制员工对应用系统的访问权限,减少企业管理员的维护成本:
以上述大型电子科技企业客户为例,效果如下:
OneAccess已助力多个客户完成了身份访问管理、云办公的建设,帮助客户实现了降本增效,同时保证了企业身份安全性以及办公效率,有助于客户品牌形象的进一步提升,推动企业数字化转型以及信息安全。
目前OneAccess已上架华为云国内站,想了解更多信息,点击链接,立即体验!
我正在使用i18n从头开始构建一个多语言网络应用程序,虽然我自己可以处理一大堆yml文件,但我说的语言(非常)有限,最终我想寻求外部帮助帮助。我想知道这里是否有人在使用UI插件/gem(与django上的django-rosetta不同)来处理多个翻译器,其中一些翻译器不愿意或无法处理存储库中的100多个文件,处理语言数据。谢谢&问候,安德拉斯(如果您已经在rubyonrails-talk上遇到了这个问题,我们深表歉意) 最佳答案 有一个rails3branchofthetolkgem在github上。您可以通过在Gemfi
我想安装一个带有一些身份验证的私有(private)Rubygem服务器。我希望能够使用公共(public)Ubuntu服务器托管内部gem。我读到了http://docs.rubygems.org/read/chapter/18.但是那个没有身份验证-如我所见。然后我读到了https://github.com/cwninja/geminabox.但是当我使用基本身份验证(他们在他们的Wiki中有)时,它会提示从我的服务器获取源。所以。如何制作带有身份验证的私有(private)Rubygem服务器?这是不可能的吗?谢谢。编辑:Geminabox问题。我尝试“捆绑”以安装新的gem..
我安装了ruby版本管理器,并将RVM安装的ruby实现设置为默认值,这样'哪个ruby'显示'~/.rvm/ruby-1.8.6-p383/bin/ruby'但是当我在emacs中打开inf-ruby缓冲区时,它使用安装在/usr/bin中的ruby。有没有办法让emacs像shell一样尊重ruby的路径?谢谢! 最佳答案 我创建了一个emacs扩展来将rvm集成到emacs中。如果您有兴趣,可以在这里获取:http://github.com/senny/rvm.el
所以我开始关注ruby,很多东西看起来不错,但我对隐式return语句很反感。我理解默认情况下让所有内容返回self或nil但不是语句的最后一个值。对我来说,它看起来非常脆弱(尤其是)如果你正在使用一个不打算返回某些东西的方法(尤其是一个改变状态/破坏性方法的函数!),其他人可能最终依赖于一个返回对方法的目的并不重要,并且有很大的改变机会。隐式返回有什么意义?有没有办法让事情变得更简单?总是有返回以防止隐含返回被认为是好的做法吗?我是不是太担心这个了?附言当人们想要从方法中返回特定的东西时,他们是否经常使用隐式返回,这不是让你组中的其他人更容易破坏彼此的代码吗?当然,记录一切并给出
给定以下方法:defsome_method:valueend以下语句按我的预期工作:some_method||:other#=>:valuex=some_method||:other#=>:value但是下面语句的行为让我感到困惑:some_method=some_method||:other#=>:other它按预期创建了一个名为some_method的局部变量,随后对some_method的调用返回该局部变量的值。但为什么它分配:other而不是:value呢?我知道这可能不是一件明智的事情,并且可以看出它可能有多么模棱两可,但我认为应该在考虑作业之前评估作业的右侧...我已经在R
我在我的Rails3示例应用程序上使用CarrierWave。我想验证远程位置上传,因此当用户提交无效URL(空白或非图像)时,我不会收到标准错误异常:CarrierWave::DownloadErrorinImageController#createtryingtodownloadafilewhichisnotservedoverHTTP这是我的模型:classPaintingtrue,:length=>{:minimum=>5,:maximum=>100}validates:image,:presence=>trueend这是我的Controller:classPaintingsC
是否有简单的方法来更改默认ISO格式(yyyy-mm-dd)的ActiveAdmin日期过滤器显示格式? 最佳答案 您可以像这样为日期选择器提供额外的选项,而不是覆盖js:=f.input:my_date,as::datepicker,datepicker_options:{dateFormat:"mm/dd/yy"} 关于ruby-on-rails-事件管理员日期过滤器日期格式自定义,我们在StackOverflow上找到一个类似的问题: https://s
电脑0x0000001A蓝屏错误怎么U盘重装系统教学分享。有用户电脑开机之后遇到了系统蓝屏的情况。系统蓝屏问题很多时候都是系统bug,只有通过重装系统来进行解决。那么蓝屏问题如何通过U盘重装新系统来解决呢?来看看以下的详细操作方法教学吧。 准备工作: 1、U盘一个(尽量使用8G以上的U盘)。 2、一台正常联网可使用的电脑。 3、ghost或ISO系统镜像文件(Win10系统下载_Win10专业版_windows10正式版下载-系统之家)。 4、在本页面下载U盘启动盘制作工具:系统之家U盘启动工具。 U盘启动盘制作步骤: 注意:制作期间,U盘会被格式化,因此U盘中的重要文件请注
大家好,我正在尝试设置一个开发环境,并且我一直在关注以下教程:Linktotutorial我做得不是很好,除了最基本的版本控制内容外,我对终端命令没有任何实际经验。我点击了第一个链接并尝试运行source~/.bash_profile我得到了错误;mkdir:/usr/local/rbenv/shims:权限被拒绝mkdir:/usr/local/rbenv/versions:权限被拒绝现在每次我加载终端时都会出现错误。bash_profile的内容;exportPATH=/usr/local/rbenv/bin:$PATHexportRBENV_ROOT=/usr/local/rbe
我在加密来self正在使用的第三方供应商的值时遇到问题。他们的指令如下:1)Converttheencryptionpasswordtoabytearray.2)Convertthevaluetobeencryptedtoabytearray.3)Theentirelengthofthearrayisinsertedasthefirstfourbytesontothefrontofthefirstblockoftheresultantbytearraybeforeencryption.4)EncryptthevalueusingAESwith:1.256-bitkeysize,2.25
