如今,用户身份的管理变得越来越复杂,不仅消耗工作人员的时间,还会提高开发管理的成本,原因有很多:
- 应用程序的激增: 许多组织将早先遗留的应用程序与现代应用程序组合起来,并且不断往其中添加新的应用程序。就像亚马逊首席执行官杰夫·贝佐斯的“两份披萨”规则一样:他们避免了需要两份以上披萨才能满足全体员工的大型会议,而是选择了小团队工作。虽然小团队的方法使协作和创新更加容易,但同时也对应用程序产生了更多需求。每个应用程序都有自己的功能和用户,这还会导致员工、客户和合作伙伴需要使用多个应用程序,以及登录这些程序所需要的单独的用户名和密码。
- 防止数据泄露: 根据赛门铁克2019年互联网安全威胁报告,近年来,网络犯罪分子一直在扩大他们的目标,并使用更复杂的方法来进行身份盗窃和欺诈。随着数据泄露的数量持续上升,企业正努力保护自己的信息不受入侵。虽然多因素身份验证和异常检测等措施增加了另一层保护,但企业仍需要付出更多的时间和精力。
- 隐私规定的增加: 为了应对消费者对于个人信息的安全需求,隐私规定在不断增加。今天的企业需要做更多来保护人们的个人数据隐私。
有了所有这些需求和和变化,那么问题来了: 如何跟上这些变化?
不幸的是,许多企业被迫陷入“非此即彼”的境地。他们在提高应用程序的安全性时,牺牲了用户体验;或者,他们只专注于构建应用程序给用户提供的良好体验,而忽略了安全性。无论哪一方的缺失都不是一个好的选择。
Authing 认为,用户体验和安全性是不冲突的。组织不应该被迫在改善用户体验和减少安全风险之间做出不必要的权衡。相反,标准化的身份识别策略可以保证,每个客户所体验到的服务都是安全且友好的。
标准化身份策略的好处
身份管理没有标准化的公司将面临更高的成本和更大的安全风险。在分布式环境中,每次更新需求时,开发人员都必须分别更新每个单独的应用程序,这不仅增加了他们的开发时间,还会出现更多的安全漏洞。
重复登录让用户体验更差。用户被要求重复输入用户名和密码的频率越高,他们对服务就越不满意。糟糕的用户体验会降低您公司的生产力,还会阻碍用户登录应用程序的客户端。
身份标准化的好处
通过标准化身份,您可以将身份管理从多个环境转移到单个环境,从而减轻身份验证的负担。使用标准化的方案,您可以进行统一的身份管理并且获得许多好处,而这在分布式环境中是困难又昂贵的。这些好处包括:
- 联邦身份提供商: 让所有应用程序都可以进行社交媒体登录。
- 增加多因素身份验证 (MFA) : 通过在需要的情况下要求 MFA 来防止数据泄露。
- 管理同意: 当与合作伙伴一起工作时,可以轻松地管理同意请求。
- 渐进式分析: 启用渐进式分析,可以持续收集更多访问您的网站的客户信息。
- 异常检测: 监视用户的异常行为,以帮助识别欺诈的访问请求。
- 管理用户: 轻松地管理用户对所有系统、设备、应用程序和网络的访问。
- 遵守隐私规定: 满足越来越多的隐私规定,确保只有经过授权才能访问敏感数据。
高教社: 通过单一登录体验简化身份
高等教育出版社(以下简称高教社)成立于1954年5月,是新中国最早设立的专业教育出版机构之一。高教社现有在职员工1700余人,年出书万余种,发行近1.3亿册。
高教社主要面临着以下需求挑战:
A.3500 万用户分布在几十个平台
B.需要优质的用户体验设计
C.需要防欺诈保护、安全保障
D.需要跨品牌单一登录
Authing 开发团队针对高教社的需求,给出了针对性的解决方案:
A.一个下午两个人即完成部署测试,轻松集成千万用户
B.统一登录,在一处、用一个账号登录
C.通过多因素认证、登录环境监测,提供专业的安全防护
D.平台弹性灵活,文档、软件包丰富,可集成各种品牌系统,降低了开发成本,减少维护工作
成本效益分析很快证明,高教社将更好地利用其员工资源来实现核心业务目标。使用 Authing 进行身份管理可以打破企业内部的障碍,解决具有挑战性的身份集成问题。Authing 还提供了一个强健而灵活的解决方案,它以开发人员为中心,易于集成。该平台对 Web 和移动设备友好,支持开放标准,并提供有力的特性和未来验证,支持广泛的身份提供者并且易于迁移。
选择 Authing 有许多好处。使用 Authing 的身份管理解决方案减少了额外的开发工作,从而为 IT 创新释放了更多的资源。统一身份管理可以助推增长,加快上市时间,系统从增加的安全性和最佳实践中获益。Authing 还可以快速彻底地反应漏洞。高教社这样评价Authing: “Authing 是一个经过思考做出来的产品。”
标准化身份管理的起源
开发人员一直在追求身份的标准化管理,近年来,有两种协议实现了这一点。过去,如果想要创建一个可供其他人员编写的应用程序 (API),需要提供用户的用户名和密码,然后在数据库中进行加密。但问题是,如果您用户的用户名和密码储存在了其他程序当中,安全风险就会大大提高。
OAuth 可以解决这个问题。OAuth 是一个访问授权的开放标准,它可以让第三方 web 应用程序和网站使用用户的帐户信息,但无需将账户凭据暴露给第三方。OAuth 向需要账户信息的应用程序提供访问令牌,来授权对用户数据的访问。
OpenID Connect 进一步为联邦身份认证提供了一个行业标准——例如,允许用户使用谷歌或 Facebook 凭证登录到第三方应用程序或网站。OpenID Connect 是在 OAuth 2.0 协议之上构建的一个简单的身份验证层,它提供了一种简单的方法,可以根据授权服务器执行的身份验证验证用户的身份,而用户无需共享其登录信息。
虽然这些标准是为第三方访问而建立的,但它们也可以用于公司内部应用程序之间的交互。即使一家公司的应用程序的编程语言不同,它也可以使用 Authing 的软件开发工具包 (SDKs) 对所有应用程序的身份进行标准化管理。
通过应用程序的标准化身份管理,开发人员可以减少维护应用程序的时间,同时通过减少用户登录次数,来改善用户体验;他们还可以通过整合最佳实践和降低用户证书被盗的风险来提高安全性。
将标准化的身份变成现实
标准化的身份管理带来许多好处,但如何实现呢?
在采用此功能之前需要制定一个详细的计划,包括考虑到您公司的需求。您需要可视化当前和未来可以使用 Authing 的应用程序;您将需要确定如何迁移用户,如何实时将新用户引入系统,以及如何管理所有这些用户配置文件;你需要找到一种方法来改善登录体验;您还需要考虑对用户进行身份验证和授权的特定规则,以及如何将退出系统的用户从系统中注销。
虽然需要考虑的事情很多,但一旦确定了具体的需求,Authing 可以快速设置标准方案,其中大部分都可以开箱即用。您可能有一些特殊的需求,我们可以使用 Authing 的预构建扩展或编写自定义代码来满足。
以下是你计划实施时需要考虑的七个方面:
1. 架构: 如何在应用程序中建立标准化的身份
实现标准化身份要从理解应用程序体系的结构开始。今天的开发团队更倾向于将难以管理的大型应用程序拆分为几套较小的应用程序,所有这些应用程序都需要与数据库通信。您的组织中有哪些应用程序,又有哪些用户使用它们?您的组织使用哪些移动应用程序、单页应用程序和 web 应用程序?未来的应用程序需求是什么?
可视化现有的计划和架构是利用 Authing 来满足您的需求的关键。
2. 供应: 如何让用户进入我的系统
- 用户迁移:如果您直接将用户迁移到标准化身份管理系统,那么这个过程很有可能不是从零开始的。您的组织可能已经有许多应用程序——每个应用程序都有自己的用户集,无论他们是雇员、客户还是合作伙伴。那么如何将用户迁移到标准化系统中呢?是否要将这些用户直接转移到 Authing 中。还是将用户保留在原来的应用程序中,只是将数据库连接到 Authing?
- 用户联合:您是否希望实现单点登录,不用再为每个用户管理多个用户名和密码?如果是这样的话,您如何将社交登录融入其中,并让外部公司提供他们自己的身份认证呢?
- 自我注册和用户邀请:您如何向您的系统添加新用户? 如果您是 B2C 公司,你会建立一个自我注册表格,为新的网页客户填写? 如果您是一家 B2B 公司,管理员会邀请用户进入您的系统吗?
3. 身份验证:如何验证用户
- 单点登录(SSO): 用户不希望每次在应用程序之间切换时都要登录。因此需要实现单点登录,这样用户就可以保持他们的生产力,而不需要不断地被提示登录凭证。
- 全屏 VS 弹窗:有几种方法可以实现单点登录。为了创造无缝体验,你可以 "完全重定向 "你的应用,让用户在同一个浏览器窗口内看到登录页面,登录,然后最终回到他们的应用。或者,如果你不想让用户离开你的页面,另一个选择是创建一个 "弹出"方案,即在同一屏幕上弹出登录页面。
- 第三方应用:另一个需要考虑的因素是,如何验证第三方应用程序的用户,例如社区论坛或支持中心,将用户发送到第三方应用程序。用户不会想要创建一个单独的用户名和密码来登录所有这些系统,而集中式授权服务器比将登录信息嵌入到所有这些应用程序中更简单。如果你决定不使用单点登录,最起码要让用户在每次登录你的应用时都有一个一致的登录页面,给他们一个统一的体验,让他们觉得输入凭证是安全的。
4. 授权: 允许用户做什么
一旦用户进行了身份验证,您将授权他们做什么?对于某些应用程序,您可能希望向每个用户发出相同的权限。但是对于其他用户,您可能希望授予不同级别的权限,以指定不同组的用户可以访问哪些信息,以及他们可以在应用程序中采取哪些操作。Authing 提供了一个基于角色的访问控制 (RBAC) 系统,允许您创建角色并分配权限,以满足您对每个用户和应用程序的需求。一旦您创建了规则,它就可以提供了您需要的信息,您的应用程序就可以执行这些权限。
5. 品牌: 如何创造符合品牌的用户体验
- Authing 托管页面: 从营销的角度来看,不仅品牌身份体验很重要,确保用户不会受到网络钓鱼攻击也同样重要。一体化的体验始于使用自定义域在开头显示的 URL。Authing 允许您配置所有与身份相关的页面——包括您的登录、更改密码、多因素身份验证和错误页面——以匹配公司标识与外观。
- Guardian SDK: Authing 还提供了一个 Guardian SDK,可以让你在 web 和移动应用程序中构建 MFA。这样你的用户就不必为 MFA 下载一个单独的应用程序了。定制的 MFA 推送通知提供了另一个保持品牌一致性的机会,而且有了 Guardian SDK,设置起来很简单。
6. 配置文件管理: 如何维护用户管理
- 管理 API :在所有应用程序中建立标准化的身份,可以方便地管理用户配置文件,并在实时更新信息——无论是用户提供的新信息、组织需求,还是由于法律法规的变动而进行的更改。Authing 管理 API 允许您通过直观的管理仪表板集中管理用户。通过管理 API,您可以轻松地构造一个应用程序,使管理员能够管理用户。您可以将其合并到已经存在的应用程序中,或者创建具有与当前应用程序匹配的用户界面的新应用程序。
委托管理扩展: 通过 Authing 委托管理扩展,您可以控制如何委托管理访问,例如,指定管理员来管理特定的用户组和应用程序组。 - 渐进式配置: 在这种配置中,企业通过让用户输入电子邮件和密码,允许用户快速登录应用程序,然后随着时间的推移收集更多的用户信息。如果需要此功能,可以在 Authing 身份管理 API 中创建定向规则,给用户发送单独的登录页面,以便从集中式系统中收集更多的用户信息。
- 帐户连接: 随着时间的推移,您可能还希望建立帐户链接,将不同的身份信息汇集到一个用户配置文件中。例如,您可能希望允许从多个身份提供者 (如 Facebook 和谷歌) 以及 Authing 用户名和密码进行登录。默认情况下,每个登录都有一个单独的用户配置文件。使用 Authing,您可以将这些用户帐户连接在一起,将来自不同渠道的身份信息汇集到单一的配置文件当中。
- 阻塞用户: 您还需要确定阻塞和解除阻塞用户的需求。Authing 面板提供了一种开箱即用的机制来阻止或取消用户对所有应用程序的访问。您还可以利用更优化的访问控制来禁用用户对某些应用程序的访问,而不是其他应用程序。
- 用户元数据: 使用 Authing,可以根据用户配置文件存储元数据,从而捕获其他信息,如用户的语言偏好,以增强用户体验。元数据可以用来存储用户可以更改和不能更改的信息。此功能的目的不是取代 CRM 系统或用户数据库,而是加强用户的身份信息,以便您随时掌握用户的数据。
7. 注销: 如何关闭用户会话
单次注销: 单次注销与在不同的平台进行分别注销不用,指的是用户从正在使用的每个应用程序,以及授权服务器中注销账户。一种方法是发出短期令牌,这允许用户只能在短时间内访问应用程序。只要用户登录,新的令牌就会悄无声息地发出,但一旦单点登录会话结束,令牌就会被删除,用户就必须重新输入他们的凭证。
另一种方法是构建一个可以跟踪和销毁应用程序会话的注销服务。每个应用程序都将在创建和删除会话时发通知用户的登录与注销信息。这种技术可以解决用户数据到达系统的延迟问题,但是也更加复杂,需要更多的开发时间。
使用 Authing 标准化管理身份
身份管理的标准化可能会很复杂,但 Authing 为客户承担了所有的工作——将一套复杂的决策转化为一个简单的系统,帮助客户简化身份管理。
其中大部分服务都可以通过 Authing 的“开箱即用”功能完成。对于有特殊需求的组织,我们提供易于使用的扩展功能,使您能够全面自定义标准化身份。无论您是想在特定情况下要求多因素认证,为第三方应用程序提供用户同意,还是通过渐进分析从用户那里获得更多信息,您都可以定制您的身份以满足特定的需求。Authing 可以为您在标准化身份管理上提供一个简单而灵活的解决方案。