浅析IDaaS的发展现状与应用挑战

访谈嘉宾：刘可

记者：张安媛

分析师：王剑桥

现如今，提起身份管理和访问控制，IDaaS必然榜上有名，随着SaaS化安全应用的不断发展和落地，IDaaS也确实逐渐成为了网安行业中的“当红炸子鸡”，但是在实际场景下，企业在由传统的身份管理和访问控制向IDaaS转变的过程中，依旧面临着很多困扰和难题，企业业务系统复杂、定制化需求多样化、对云上安全管理的担忧……故而，本期牛人访谈我们共同邀请到了竹云的副总裁刘可，针对这一系列问题进行了探讨与分析，以下是访谈内容，让我们共同揭开IDaaS的庐山真面目。

我认同这一说法，因为IAM和IDaaS所解决的问题是一致的，二者只是同一种产品的不同形态。IAM的全称是Identity and Access Management，其英文含义直译过来就是身份管理和访问控制，解决的问题就是帮助企业在不同的应用和应用领域之间建立统一的身份认证标识，并通过这种身份标识来串联所有的业务；IDaaS即identity as a service，身份即服务，这是类比市场上IaaS、PaaS的商业化叫法，它所要解决的问题其实和IAM是一致的，但IDaaS更类似于IAM由私有化部署到云服务的转变。二者殊途同归，总的目标和要解决的问题都是一致的。

根据我的实际经验，用户对公有化、IDaaS化的需求是远大于私有化的。这主要源于几个原因：

第一，中小型企业在数量上肯定是远大于大型企业的，尤其对于初创企业来说，受成本限制，建立之初就会使用eHR系统、CRM等SaaS化产品，对钉钉、飞书、企业微信等开放度较高的移动办公软件使用率也很高，整体对IDaaS和公有化的产品接受度更强，这类企业规模不断壮大之后对IDaaS的需求会越来越大。

第二，在数字化转型的大趋势下，中小型企业对数据资产的保护意识和信息安全的要求在逐步提升。对大型企业来说，数字化转型的推动，也让其在业务云化的过程中更加频繁地选择IDaaS产品。

第三，相比于传统的要部署到本地的身份认证和权限管理产品，IDaaS更加轻量化，成本更低，这也使得更多的企业选择IDaaS产品。

传统的身份管理产品大多数都是部署在本地的，要依托于IDC本地数据中心完成管理需求。企业上云，并逐渐采用IDaaS的过程中，仅相当于是从一个传统的框架变为云框架，只是平台的变化。因此，如果一个企业在业务上云之前所采用的身份管理产品与底层应用的连接和兼容性就很好，那么其在向云上迁移和部署IDaaS产品时是很容易实现的。

用户在对IDaaS产品进行选型时，首当其冲肯定要考虑功能性问题，要判断该产品是否可以解决企业自身所面临的问题；第二要解决适配性问题，无论线上还是线下，传统的IAM产品还是云上的IDaaS产品都可以类比成一个“插线板”，插线板可以提供很多的功能，同时对应不同的协议和适配标准，要想实现高效安全的身份认证和权限管理，满足“即插即用”，就要求平台本身能够支持这些协议标准；第三个就是服务的能力，对于传统的线下、私有化的平台，用户考虑的是交付的能力，那么，对于在线、云化的服务平台，用户应该多关注服务平台的高可用性、高性能和安全性这三大方面。

安全厂商在做产品规划之初，首先要重点考虑的是产品所对应的用户画像。不同类别的客群规模、应用环境的差异性都会导致产品的设计、流程等产生差别。所以产品在落地时所面临的挑战也因用户不同而有所差异。

对于大型国企、央企类企业，其应用场景繁多，以某能源国企为例，其内部有六千多个业务系统，一百八十多万员工，应用场景和流程非常复杂，业务之间的衔接点很多，因此这类企业在衔接复杂度、应用场景多样性方面的挑战更大，对服务平台的灵活性、客户化能力方面的要求会更高。

对于中小型企业客群，他们的业务系统在流程上会更标准、更简单，所集合的应用也相对更少，但这类企业的覆盖面很大，在面对千行百业的中小型企业时，横向上的应用种类很多，同时这类企业对于功能级需求匹配度更高，对于标准化和高适配要求更强。

以竹云的实际经验出发，针对第一类用户就是将以往的经验积累，将用户的需求固化到产品之中，将一些需要定制化开发的问题，回补到产品之中，成为一种内置的流程，内置这些功能点后，用产品适配的模式来进行串联，进而减轻定制化的难度。

针对第二类用户，同样是把以往的经验、案例进行抽取、预集成，通过预集成的能力，去适配大量的SaaS应用和行业应用，让功能交互过程变得更加简单清晰，实现用户对标准化和高适配的要求，帮助客户快速投产。

主要有三种合作方式。

第一种是IDaaS安全厂商将其产品放在云服务商的平台之上，以云服务商的名义提供给租户。一般上云后的企业，无论之前是否有身份管理系统，上云后肯定都会需要云化的身份管理产品，而云平台本身肯定是这类用户的首选供应商，一些不具备相应产品服务的云平台就会采用这种方式为用户提供服务，对企业来说从云服务商处购买系统的服务，更加统一、便捷。

第二类情况是云服务商通过搭建自己的云市场，在市场中引入很多的ISV。我们可以把它想象成一个大型超市，超市的货架上分门别类地摆放着各种SaaS化产品，向用户兜售。此时IDaaS产品的身份管理能力重点体现在两方面：对于云服务商来说，还可以以IDaaS为基础，给众多的ISV、SaaS产品划定一个标准，以该标准为界线，将云市场划分为严选市场和普通市场；对于云租户来说，在云市场中选购多个SaaS产品后，这些产品自动形成统一身份管理闭环，也可以立即投放给企业的所有员工，无需分别验证，只要像单点登录一样，通过IDaaS的身份认证能力，就可以统一使用，免去更多复杂的验证。

第三类情况，云服务平台本身会针对不同的客群主体做一些类别性的云平台，如政务云、教育云、工业互联网云等，云服务商凭一己之力不可能完全开发出满足全行业需求的产品，因此需要像上述一样引入ISV，通过不同厂商的产品供应和合作来实现云服务，在这个流程中，不同的安全厂商的产品也会存在管理割裂的问题，因为用户购买一个云服务套餐时，只会考虑自身所需的功能，注重交互性和功能性，并不关心该功能的技术支持来自于哪些不同的厂商，因此云平台本身的一体化管理，也需要IDaaS产品去做串联和整合。这样对于企业来说，也能够一键享有多种服务，无需多次多地购买多种服务和产品。

IDaaS产品的技术发展是与企业用户整体的业务发展和规模进阶息息相关的，所以我认为未来身份管理技术的发展还是要回归到企业本身面向的需求集上。

我们在企业内部常有ID的概念。ID最初在企业内可能只是代表企业的一个员工，用于企业内部系统的身份识别需求，当企业的规模不断扩大，ID也会拥有更大的覆盖面，可能涉及到企业上游供应链中的供应商、下游分销体系中的分销商，甚至是平行领域中的合作伙伴……这些新增的ID会增强企业对身份管理的诉求，这是其一。其二，任何一个企业都需要对其所生产的产品和服务进行系统的管理，以此来完成对外部消费用户的投放，所以解决外部消费用户ID的管理诉求也是IDaaS的问题域之一，综述，IDaaS要解决的问题域主要有两大类，一类是针对解决内部员工（employee）问题的EIAM，一类是针对解决to B、B to B、to C端问题的CIAM。

举个例子，很多企业不仅有官网，还有微商城、APP等程序系统，上面所提供的服务可能是重合的，一些用户通过不同的程序系统进行访问和购买产品服务时，如果没有统一的身份管理，就会出现需要反复注册、登录、提交信息的情况，大大降低使用感，甚至造成用户流失；同时对于企业内部运营来说，内部可能有不同的业务单元和业务部门进行业务投放，但是在投放过程中如果没有使用统一的身份管理和访问控制系统，就会出现同一用户信息多次出现、注册行为重复多次等数据管理困难的问题。因此，未来身份管理和访问控制除了要重点发展面向内部的EIAM管理，更多的还应该重点发展CIAM上的管理能力，实现全方位、体系化的身份管理和访问控制。