什么是IDaaS？

IDaaS是IAM的一個基于云的消費模型。同現(xiàn)代技術(shù)生態(tài)系統(tǒng)中其他的東西一樣，IAM也可以作為一種服務(wù)。排除一些例外，IDaaS通常是通過云模式來進行交付的，同時它也可以根據(jù)組織的需求以及相關(guān)供應(yīng)商的能力，作為多租戶提供方案或?qū)Ｓ媒桓赌Ｐ蛠磉M行交付。

Gartner預(yù)測，2022年底之前，40%的中大型企業(yè)都將應(yīng)用IDaaS產(chǎn)品以代替?zhèn)鹘y(tǒng)的IAM。該結(jié)果是由多方因素共同促成的，例如云計算的持續(xù)應(yīng)用、遠程辦公的常態(tài)化，以及組織開始意識到他們可以在無需對IAM進行托管的情況下，單純地使用它。這樣組織就可以把節(jié)省的時間投入到向客戶交付價值的核心能力上。

IDaaS的益處

IDaaS產(chǎn)品的優(yōu)點包括無需托管即可使用IAM，以及節(jié)省了與IAM相關(guān)的管理開銷（轉(zhuǎn)而由供應(yīng)商承擔(dān)）。除此之外，IDaaS還包括一些功能豐富的產(chǎn)品，這些產(chǎn)品可以使IAM在許多情況下變得更加有效、更加安全。大多數(shù)IDaaS供應(yīng)商既可以提供本地服務(wù)，也可以提供集成的功能，如單點登錄（SSO）和多因素身份驗證（MFA）。

IDaaS供應(yīng)商以其為云原生而感到自豪，因為這意味著與強大的云生態(tài)系統(tǒng)進行集成變得更加容易。也就是說可以與組織龐大的SaaS應(yīng)用進行集成，并通過使用OIDC和SAML等協(xié)議，來實現(xiàn)統(tǒng)一的身份驗證方案和企業(yè)范圍的IAM治理。即使是像聯(lián)邦政府這樣復(fù)雜和龐大的組織也發(fā)布了完整的劇本和指南，以幫助聯(lián)邦機構(gòu)的政府承包商將他們的IAM服務(wù)與云運營模式相結(jié)合，而IDaaS正是該劇本的核心。

上表來自于前面提到的聯(lián)邦劇本，它很好地總結(jié)了本地IAM解決方案與IDaaS之間的一些關(guān)鍵區(qū)別。如同一個更為廣泛的云，基于云的IDaaS也可以提供云計算的許多關(guān)鍵功能。通過應(yīng)用基于云的IDaaS，組織不再被其擴展IAM基礎(chǔ)設(shè)施的能力所限制，因為該能力可以作為一種消耗品來由外部提供，且具有一定的彈性。

組織可以根據(jù)實際的消耗量來進行結(jié)算，并且他們無需實際擁有和托管IAM基礎(chǔ)設(shè)施，因為這些均由服務(wù)供應(yīng)商負責(zé)。同時，組織也無需再費心IAM基礎(chǔ)設(shè)施的容錯。IDaaS供應(yīng)商會提供具備容錯能力的全球可用的基礎(chǔ)設(shè)施，從而以更低的價格，來滿足組織的災(zāi)后恢復(fù)以及業(yè)務(wù)連續(xù)（DR/BC）等需求。

IDaaS 的缺點以及注意事項

然而并非所有的IDaaS都是有益的，組織在評估它們時需要考慮一些關(guān)鍵的因素。如果說身份驗證是新的邊界，那么采用IDaaS可以給IDaaS供應(yīng)商帶來一定程度上的邊界控制。這類似于云計算中的共享責(zé)任模型概念。不同的是，它從基礎(chǔ)設(shè)施進一步擴展到了堆棧、以及身份、權(quán)限和訪問控制等關(guān)鍵問題上。

上表中列舉的一些IDaaS的優(yōu)點如今可能會成為它的缺點或爭議點，這取決于組織的需求和敏感度。使用與IAM相關(guān)的應(yīng)用和系統(tǒng)，限制了供應(yīng)商的供應(yīng)權(quán)限以及修改供應(yīng)方式的能力。這是由于IDaaS供應(yīng)商為許多客戶都提供了他們的界面/應(yīng)用程序，但是只能有這么多的定制化才能保證不會失去產(chǎn)品的標(biāo)準(zhǔn)化。并且在對服務(wù)的評估方面，組織還可能會遇到額外的開支，這是因為管理員不成熟的選擇可能會超過最初的預(yù)算。

除此之外，一些重要的安全問題還來自于IDaaS的資源共享和廣泛的網(wǎng)絡(luò)訪問方面。根據(jù)組織的工作性質(zhì)，與其他用戶共享租賃服務(wù)的想法是很危險的。共享租賃服務(wù)意味著其他用戶邏輯環(huán)境中的安全風(fēng)險事件可以在我們自己組織所在的環(huán)境中橫向訪問，從而訪問整個IT生態(tài)環(huán)境。

IDaaS的全球可用性是一個極具吸引力的優(yōu)點，特別是考慮到組織自己提供此種級別容錯能力所需的高額費用。也就是說，組織還需牢記一些監(jiān)管要求。例如一些組織可能會受限于其系統(tǒng)/數(shù)據(jù)的地理位置因素（GDPR或國家安全等）。如果業(yè)務(wù)已經(jīng)在進行中了，那么則需要考慮美國國防（DoD）方面的問題。組織可以與IDaaS供應(yīng)商合作，以確保其數(shù)據(jù)處于特定的區(qū)域。但地理位置的限制也的確是一個需要考慮和解決的問題。

其中一些擔(dān)憂并非沒有道理。就在幾個月前，最大的IDaaS供應(yīng)商之一Okta就遭遇了一次安全漏洞攻擊，直接影響了兩家用戶企業(yè)。此次事件中的安全漏洞似乎來自于Okta的一個子處理器，同時這也引起了針對網(wǎng)絡(luò)安全供應(yīng)鏈風(fēng)險管理（C-SCRM）的討論。由于許多IDaaS供應(yīng)商要處理數(shù)百上千條有關(guān)客戶IAM的關(guān)鍵信息，所以一旦IDaaS供應(yīng)商遭受不法分子的攻擊，那么就可能會進一步對其用戶企業(yè)乃至整個行業(yè)造成毀滅性的打擊。

仔細評估IDaaS

經(jīng)過以上討論，我們就可以理解為什么許多組織都在使用IDaaS產(chǎn)品了。隨著云的普及，組織通常需要動態(tài)且強大的IAM功能來支持其多樣化的生態(tài)系統(tǒng)。對于許多組織來說，由IDaaS供應(yīng)商提供IAM功能比組織親自對IAM進行托管，要劃算得多。它們龐大的用戶團體也造就了其巨大的工作規(guī)模。

使用IDaaS服務(wù)往往可以幫助組織專注于自己的核心競爭力，比起IAM，組織更應(yīng)該將重心放在客戶和利益相關(guān)者身上。與所有的技術(shù)和服務(wù)一樣，在挑選IDaaS方面，組織也需要考慮一些關(guān)鍵的因素。

點評

IDaaS身份即服務(wù)是IAM服務(wù)在云計算時代的擴展升級，它更像是IAM與SaaS的結(jié)合。IDaaS充分發(fā)揮了云的強大優(yōu)勢，不僅在于企業(yè)成本與精力的節(jié)約，而且更大程度上實現(xiàn)了認證策略的集中與統(tǒng)一。但任何事物都具有兩面性，資源的共享一方面來了高效與便利，同時也引入了更大的安全風(fēng)險。因此，企業(yè)在對IDaaS評估與挑選時，需要充分考慮與自身相關(guān)的關(guān)鍵因素、衡量利弊，在最小風(fēng)險的情況下，將IDaaS的優(yōu)勢發(fā)揮至最大。