全部产品

使用 IDaaS, 你需要做什么准备?

更新时间:2020-07-17 16:17:39

在使用 IDaaS 前,我们首先要搞明白的 8 个问题

一、云上?本地?

为什么要将部署方式作为首要问题,因为这个是在使用 IDaaS 的功能以及服务上是有本质区别的。

云上:也就是 SaaS 服务,方便快捷,开箱即用,不需要运维,解放劳动力。但前提条件就是,需要网络的通畅。大多数企业都存在内网环境,这就意味着我们需要将网络打通,让云上的 IDaaS 服务能够无障碍的和各个应用进行通讯,数据交互。

好处:即买即用,方便快捷,产品服务会不断迭代提升,越来越好。

本地:IDaaS 也可以本地化部署,这样就避免了内网应用通讯问题,但缺点就在于需要维护服务器,并且升级更新较为繁琐。

如果企业对网络没有特殊的要求,作者推荐使用云上 IDaaS ,毕竟,现在很多云产品也能帮助企业更好迁移上云。

二、数据源及数据流向如何?

在使用 IDaaS 之前,我们需要规划整体的数据同步流向。

  • 谁是数据源,数据产生者(上游是谁)?
  • 下游该同步给哪些业务系统(下游是谁)?

作为数据源,我们要确保唯一,做到一处修改,处处生效,这不仅有利于公司的整体身份中台建设规划,解决身份信息孤岛问题,同时也为后续更多新上线的业务系统,打下身份数据的基础。

经典数据同步场景

1)IDaaS 作为数据源( IDaaS -> SP)

IDaaS 作为数据源是,当进行数据的增、删、改等操作都会实时同步至业务系统。通常情况下,为保障数据的一致性,避免数据混乱,业务系统和 IDaaS 只做单项同步对接。

2)第三方业务系统作为主数据源 (SP -> IDaaS -> SP)

IDaaS 同时也支持钉钉、AD、OA、HR 等业务系统作为数据源进行数据同步。通过和 IDaaS 的打通,集中收集数据,然后再推送给业务系统。做到一处修改,处处生效。

三、是否支持多种 SSO 协议?

在这里,我推荐几种不同类型的 SSO 协议。选择正确的协议,会让应用对接 IDaaS 很加简单高效,同时,也考验 IDaaS 的 SSO 协议支持力度。用户在这里需要对不同的产品精心挑选。

我们可以从以下几个角度考虑如何选择 SSO 协议对接。

1)IDaaS 预集成

在 IDaaS 里,会提前预先集成了一些常用的 SaaS 应用,比如:钉钉、阿里云 RAM 、阿里邮箱等

2)B/S or C/S ?

通常业务系统的网络结构模式主要有两种:B/S 结构(浏览器/服务器模式)C/S 结构(客户端/浏览器模式)

B/S 结构:我们通常推荐使用:SAML、OAuth2.0、JWT、CAS 应用模板对接

3)IDaaS 标准协议

IDaaS目前主要提供四种 SSO 协议:SAML、JWT、OAuth2.0、CAS

如果您的业务系统支持上述其中的某个协议,仅需在应用模板中进行配置,然后业务系统进行少量的开发工作,即可实现 SSO 单点登录。

如果以上协议都不支持,在这里,我们将主推 JWT 模式,开发简单,容易实现。

4)代填模板

由于某些特殊情况下,业务系统不支持 IDaaS 提供的 4 种协议,同时又面临改造困难的问题。比如:系统建设时间长,联系供应商困难,或者供应商收费高昂无法进行适配改造等。

针对这种情况,可以使用表单代填来实现业务系统的单点登录,都是通过模拟用户输入账号密码方式实现。

通过下表,您可以进一步选择模板

对接协议(应用模板)B/SC/SSP是否需要开发开发/对接难度
JWT×简单
×中等
×中等
CAS×简单
C/S(程序)×简单
C/S(浏览器)(指令代填)×简单
表单代填××简单

四、权限怎么管理?

让我们完成了应用的 SSO 单点登录对接,完成了数据同步。此时,我们就要开始确定权限该如何分配。

这里,我们不需要明确到各个部门/岗位,到底该分配什么样权限,而是要明确,我们所需要的授权方式,授权模型。

在现有的 IDaaS 产品中,授权能力有有所区别。

比如,有的 IDaaS 仅支持应用的访问控制权限,不支持二级菜单、按钮权限;有的 IDaaS 不支持按部门授权等等。

这就需要我们整理所需的授权颗粒度,授权需求。来对各类 IDaaS 产品进行对比,挑选。

五、使用成本如何?

目前,市场上的 IDaaS 收费模式也可分为两大块

(1)云上 IDaaS :购买 Iicense (使用人数)。按月、年计费购买

(2)本地部署 IDaaS :按产品标准费用,或是招投标项目形式进行采购。通常,本地化的 IDaaS 价格会高于云上 IDaaS。

(3)此外,如果需要第三方系统的对接 IDaaS 改造,也需要相应的费用。

六、可扩展性如何?

可扩展性主要指,IDaaS 所提供的接口是否够全面?未来有新的需求是否能灵活的进行功能的改造和扩展。这里也要提下问题1。

通常,云上的 IDaaS 服务可定制修改的能力较弱,依赖产品整体的迭代、更新、发布,周期较长,对急需相应的需求不适用。当然,我们也可以考虑云上的专属版本。

本地化部署的 IDaaS 可扩展性会好很多,大部分可以按客户的需求进行定制化改造。

七、性能及易用性如何?

性能方面:云上和本地最大的区别在于,云上是弹性计算,服务器会随着需求自动扩展。本地部署的需要提前就分配好服务器资源,做好​负载均衡,高可用等

易用性方面:主要是指,管理员操作使用,上手难易度,以及进行对接,授权等工作的操作便宜性,这个就需要实际体验试用下来的更加直接。

八、安全策略如何设定?

安全策略主要指:

(1)密码规则策略

(2)数据备份策略

(3)是否需要二次认证

(4)是否需要多因素认证(指纹、手势、人脸识别、实人认证等)

在选择 IDaaS 产品的时候,也需要考虑这方面内容