近年来国内外经常发生各类信息和数据泄露事件，基本都跟身份安全密切相关，比如雅虎数据泄密事件、乌克兰电网受攻击事件、万豪酒店数据泄露事件等，甚至也不乏因为身份管理不当导致离职员工恶意删除公司生产数据库，造成巨额损失。从个人的隐私到企业的商业秘密，甚至是政府国家的核心机密，都出现了不同程度的信息安全问题。

身份安全的重要性不言而喻，相信国内任何一家公司对身份安全都有刚性诉求，只不过诉求的程度不同，以及具体的身份场景不同。像阿里腾讯这样的超大巨头公司，因其人员、业务、网络、场景的复杂度太高，一般需要高度定制化，基本无法通过商业成熟身份产品解决。还有一些初创公司，由于更专注业务发展，人员数量和使用场景都比较少，即使遇到所谓的身份问题，基本也可以通过人工解决。

所以本文先不讨论处于以上的两类情况，而是重点关注规模处于腰部的企业。这部分企业也可以再分为两大类公司：成长型公司和中大型企业。下文我们主要分析这一部分公司在身份管理方面的现状挑战和主要解决思路。

成长型公司是由初创型公司经过一段时期发展到一定规模以后的状态，一般初创型公司刚开始精力有限，都会投入到业务的发展，所以往往自身IT建设都比较薄弱，基本是以云化架构为主，身份大多依托于企微、钉钉或飞书这样的产品，业务也大部分以SaaS系统为多。等到公司人员数量、业务规模、产品条线大幅增长后，市面常规的SaaS系统已经很难适应企业发展，就会出现有更多的自研系统、私有化部署的商业系统。此时必然会出现更多的本地身份场景，如员工办公电脑接入、办公网络接入、网络设备运维、服务器运维、打印机使用、门禁卡使用、VPN远程接入等等。这时候之前单纯基于云的身份方案是无法解决这些问题的。

中大型公司相较成长型公司，自身IT建设更加成熟，IT部门的团队、分工、架构都是比较成熟的，并且大部分都已经建立过身份管理系统，比如微软AD。AD很早就已经在国内的市场落地，但是其实很多内网身份场景都无法通过AD解决，比如自研的业务系统、非Windows系统的接入等；另外一个问题是AD的运维操作比较复杂，需要聘请专业人员进行维护。与此同时，随着互联网的发展，各企业出现了越来越多的云上业务，这样就导致本地和云场景同时存在，而传统AD内网部署的方式无法解决云身份问题，无法解决像小程序、公众号等场景的身份需求。

成长型企业因为一开始就走云化路线，身份基于云端，随着业务发展，本地身份管理的诉求渐渐凸显。中大型企业是基于AD创建的比较成熟的本地身份体系，随着云业务的发展，云身份管理需求出现。所以无论中大型企业还是成长型企业，本质的身份诉求是：统一云上和本地身份管理，全场景覆盖企业身份管理需求。

日常企业运转过程中，常见的身份使用场景包括：

针对成长型企业，既有基于云身份的身份体系，如企微、钉钉或飞书，云上业务应用的身份问题已经被解决，还需要解决后来出现的本地内网的身份问题，以及统一云端和本地身份。本地内网的身份问题中，AD只能解决一部分，但是像Linux系统、Mac系统，以及很多不支持LDAP的设备、应用都无法解决。所以成长型企业应该寻求一种新的产品方案，既能覆盖AD场景，又可以解决AD解决不了的问题，同时还可以对接云上身份，与企微、钉钉或飞书打通，以及打通更多的云SaaS应用。

针对中大型企业，既有基于微软AD的内网身份体系，前文也提到AD只解决了一部分问题。所以对大型企业来说，需要解决的问题有三类：1.本地或内网中，AD无法覆盖的场景；2.云端身份场景；3.统一云和本地身份。另外之所以称之为中大型企业，就意味着无论是涉及的业务系统还是使用场景，AD占比都太大，无法直接替代或抛弃；或者说如果要取代AD，需要付出较大的成本和承担一定风险，大部分企业轻易不会选择这种方案。所以中大型企业在应对身份问题上又多了一点：4.需要解决和AD的共存性问题，目标是统一管理。

同时为了适应各企业未来业务、网络、系统等架构的快速变化，企业还应考虑身份管理方案的敏捷性与开放性，确保能够应对未来不确定的各种系统以及各种复杂场景的身份需求。

以上通过从两大类企业发展和现状来分析各自面临的不同问题，以及解决问题需要考虑的不同角度。下面将从具体的产品和方案来描述，究竟需要覆盖到哪些场景。

■ 全场景统一身份源

整合企业全场景的各类身份源，统一所有用户管理，包括新员工入职，员工岗位变更，员工离职造成的用户信息增删查改，包括角色权限、访问策略等等，一处修改，处处生效。需要整合本地应用身份与SaaS应用身份，整合传统AD身份与公网社交身份（企微钉钉飞书），整合应用系统身份与网络设备资源身份。

■ 全场景统一身份认证

整合企业全场景的各类身份认证，根据用户认证策略，统一接管所有认证。本文第二章已经大概列出常见的身份使用场景，大致可以分这么几类：网络资源接入（如网络802.1x认证，Portal认证，VPN认证，零信任接入等）、应用系统SSO接入（如邮箱、ERP、本地业务系统，云SaaS系统等），基础设施接入（网络设备、服务器、防火墙等运维场景），终端设备接入（办公电脑，打印机，门禁卡等等）。

■ MFA多因素认证

MFA多因素认证是企业内部保障身份认证安全的最快速、最有效的一种方式，也是等保要求里对系统认证提出的基本要求。

■ 网络接入认证

实现企业各种场景的网络接入认证，包括员工办公网络接入，生产网络接入，访客的网络接入等等，同时接入允许的认证方式尽可能丰富和便捷。

■敏捷终端准入

狭义的身份指人的身份，广义上还包括终端设备的身份。身份安全不仅要确认人的身份正确，同时要确保接入终端、接入设备的身份是合规的。轻量化终端与网络准入控制，以可视化和自动化实时检测入网终端的合规性，对非合规终端实现自动化隔离及修复，建立企业内网安全合规基线，确保内外网环境下访问终端安全基线及策略一致性。

■ 动态认证策略

需要有灵活的动态认证策略引擎，基于用户所在网络、使用终端、登录地点、登录时间等，自动触发相应的风险策略行为，如提升认证等级强制二次认证，账号临时锁定，生成消息预警等。

■ 云身份服务(IDaaS)

随着云计算技术、云服务及云SaaS产品市场的越来越成熟，大大降低了公司整体的IT建设及运维成本，尤其是很多新型科技公司，更倾向于选择快捷、安全、省心的SaaS云服务。这个背景下，解决身份管理的产品上没有任何理由缺少IDaaS，当前市场上Authing受欢迎的程度足以说明市场的热情。不过我想补充一点，单纯只有云SaaS能力还是远远不够的，因为在当前的市场下，身份问题无法绕开本地场景，甚至基于存量客户现状分析，微软AD都是必须要考虑兼容的。

考虑到超大型企业身份场景的复杂性与自治性，一般的商业化身份产品几乎无法直接解决问题。小型初创公司身份场景的单一性与非刚性需求，一般社交协作产品如企微钉钉飞书基本可覆盖其日常使用。而处于腰部的数量众多的成长性企业，以及中大型企业目前碰到的问题是可以通过成熟商业身份产品解决的。

成熟商业身份产品不仅需要满足当前企业业务云化后产生的各类场景，同时还需要覆盖本地内网身份场景。与此同时，还需要考虑一部分企业已经建立了基于AD的身份系统，并且短期内AD不可能完全替代。这种情况下，这两大类产品方案都不可或缺，一是基于云身份的成长型企业的全场景身份解决方案，二是基于微软AD的中大型企业全场景身份增强方案。