IAM 已經發展到第五階段，還分不清 CIAM 和 EIAM?

據報道，美國安全企業曾發現一起重大資料洩露事件，一個屬於 One More Lead 的資料庫將多達 6300 萬的使用者資訊儲存在一個沒有保護的資料庫中，至少有 6300 萬人的身份資訊可能被盜，或者被詐騙，甚至更糟。如何進行統一的身份和訪問管理，來減少資料洩漏的風險呢？

01

IAM、CIAM、EIAM

首先，身份和訪問管理，或者簡稱身份管理

IAM

：Identity and Access Managetment，大多數人想到的都是針對企業內部員工、合作伙伴、臨時人員等提供統一身份認證和許可權管理能力的內部產品（Enterprise Identity & Access Management 或

EIAM

）。

然而，隨著軟體的邊界拓展到我們生活的方方面面，統一管理身份的需求也不斷拓展邊界，以企業為核心，由內而外，企業也開始容納外部的海量顧客身份，由此誕生了針對網際網路使用者的顧客身份管理（Customer Identity & Access Management 或

CIAM

）。

實際上，企業在做好身份管理的過程中也臨著諸多挑戰。

比如身份系統重複建設，導致多戶和分機構並存，並需要投量運維資源，舊應的整合將臨極的改造成本，使企業運營成本直線上升。

此外，如果許可權管理體系建設不完善，會導致量應系統外部暴露，業務系統技術標準不統，因此安全管理制度和策略難落實，身份管理的難度也會增。而基於邊界的傳統絡安全架構會使得企業數字化轉型成為難題。

另外，如果多應重複開發身份登入模組，則法復和統，因此導致開發週期長，成本，身份管理難度大。

初始由 Accenture、AWS 等國外服務商率先將 CIAM 作為一個獨立的、必須的產品來看待。完全不同於以內部效率為核心的 EIAM 產品，CIAM 的目標是協助企業完成全域性的資訊化轉型，在所有對外服務中統一使用者的身份，在以體驗為核心的使用者爭奪戰中，為終端使用者提供完整的身份自助服務、為不同平臺使用者提供統一而流暢的使用、註冊體驗，以此來提高使用者的留存、黏性，進一步創造價值，在行業競爭中取得先機。

今天領先的 IDaaS 服務商，都在致力於為企業提供上手即用、安全可拓展的使用者管理和認證服務。使用 IDaaS，企業的 IT 研發、運維人員都可以快速管理任何應用、人員或裝置的連線。無論是顧客、成員或是合作伙伴，無論是在雲上、本地或是在移動裝置上，IDaaS 服務商都可以幫助政企的 IT 服務變得更加安全，提高外部的核心業務的上線速度，也提高內部人員的生產力並保持合規性。

02

IDaaS 提供商基於 IAM 提供雲的解決方案

先通俗易懂地解釋一下 IDaaS。

當組織開發或維護應用時，他們會選擇自己實現哪些功能以及將哪些功能託管給第三方。例如，如果你正在編寫一個用於付款的應用程式，那麼使用 Ping++ 之類的平臺而不是從頭開始開發自己的支付系統，通常會更節省時間和成本。

如果你的應用程式要求使用者登入，情況也是如此。鑑於登入的複雜性以及身份管理涉及到的分析和合規成本，通常最簡單的方法是購買 IDaaS 並整合到你的應用中。

因此，購買 IDaaS 服務時，實際上是在購買 API（應用程式程式設計介面）。用最簡單的話來說，API 是一組關於軟體或應用程式如何互動的規則，例如翻譯器或中介器。

也就是說，在有 IDaaS 的情況下，API 在終端使用者、IDaaS 提供商和服務商伺服器中間流轉。

在談論管理身份時，我們指的是三種基本使用者類別的身份：

客戶身份和訪問管理（CIAM），適用於終端使用者。

Workforce IAM，它管理你的員工及其對內部應用程式的訪問。

B2B IAM，使企業可以將身份與其業務合作伙伴和企業客戶進行整合。

這三個類別的場景區別很大，組織會依據不同的場景選擇不同的 IDaaS 廠商。

當然，幾乎所有 IDaaS 提供程式都有一些共同的核心功能，這些包括：

多因素身份驗證（MFA）

生物識別

單點登入（SSO）

使用者管理和訪問控制

03

IAM 的發展關鍵詞 —— API

在眾多 IDaaS 廠商中，Authing 採用雲原生架構，支援 k8s+Docker 的部署方式，已在 AWS，華為，阿里雲，騰訊雲，七牛雲等多個公有云上實現基於雲原生部署及彈性伸縮能力，是多廠商中唯一支援雲原生架構的產品。

Authing 基於使用者池實現多租，同時可實現三種方式的多租隔離：公有云邏輯多租，私有云物理多租，私有化 k8s 容器多租。此外由於基於雲原生，理論上無租戶數上限，平滑擴充套件。

Authing 可對接多種雲原生 KMS 服務；實現端到端加密、資料傳輸加密完備；同時擁有完整的 DevOps 能力：基於雲原生的研發全套 CICD 流水線。

以 API 為中心的身份中臺

上面這張圖是 IAM 的發展趨勢，Authing 誕生之初就位於第四階段，而第五階段中最重要的關鍵詞是「API」。

通俗易懂 API

API 代表「應用程式程式設計介面」。它是一段程式碼，充當兩個不同團隊所開發軟體之間的過渡。API 充當雙方之間的中介者或翻譯者，來回傳遞請求和響應。

拿就餐舉例，你向服務員說：「我要一塊雞排」，服務員會向廚房傳遞這個資訊，你不用操心「雞排是怎麼做的」，十分鐘後你就可以吃到雞排。

在這個例子中，你是某個軟體的使用者，服務員是 API，廚房是軟體的伺服器。

社交登入是 API 的常見例子。當軟體實施了社交登入後，使用者只需單擊一下按鈕即可透過身份提供商進行身份驗證，例如「使用微信登入」、「使用 QQ 登入」。在微信登入中，是騰訊向開發者提供了 API 以幫助使用者使用微信身份登入到開發者的應用。

開發者可以透過開放 API，拓展 Authing 本身的很多場景，解決了數百萬使用者的登入和身份融合問題。

Authing（紅線）和其他 IDaaS 廠商的對比

關於 Authing

Authing 是國內首款以開發者為中心的全場景身份雲產品，為企業和開發者提供完善安全的使用者認證和訪問管理服務。作為雲原生架構下的身份雲產品，Authing 在產品建立初期，目標就是服務億級的企業和個人開發者客戶，輕量級、易部署、低消耗、技術棧成熟，運維易的雲原生技術產品架構，成為了 Authing 的首選。