Identity As A Service For Dummies Okta SpecialEdition

These materials are © 2020 John Wiley & Sons, Inc.
Any dissemination, distribution, or unauthorized use is strictly prohibited.

身份即服务
(IDaaS)
Okta 特别版
劳伦斯·c·米勒和弗雷
德里克·哈卡明
These materials are © 2020 John Wiley & Sons, Inc. Any dissemination, distribution, or unauthorized use is strictly prohibited.
身份即服务(IDaaS)的假人，Okta 特别版
发布者
约翰·威利父子公司。
里弗街 111 号。
新泽西州霍博肯，邮编 07030-5774
www.wiley.com
新泽西州霍博肯约翰·威利父子公司版权所有 2020
未经出版商事先书面许可，不得以任何形式或手段(电子、机械、影印、录音、扫描或其他方式)复制、在检
索系统中存储或传播本出版物的任何部分，除非 1976 年《美国版权法》第 107 或 108 节允许。向出版商申请
许可，请联系许可部门，地址:新泽西州霍博肯河街 111 号，John Wiley & Sons，Inc .，邮编:07030，电
话:(201) 748-6011，传真(201) 748-6008，或在线发送 http://www.wiley.com/go/permissions。
商标:Wiley、Dummies、Dummies Man 标志、Dummies.com 和相关商业外观是 John Wiley & Sons，Inc
.和/或其附属公司在美国和其他国家的商标或注册商标，未经书面许可不得使用。Okta 和 Okta 徽标
是 Okta，Inc .的商标或注册商标。所有其他商标是其各自所有者的财产。John Wiley &
Sons，Inc .与本书中提到的任何产品或供应商无关。
有关我们其他产品和服务的一般信息，或者如何为您的企业或组织制作一本定制的假人书，请联系我们
在美国的业务发展部，电话:877-409-4177，联系 [email protected]，或访问 www.wiley.com/go/
责任限制/担保免责声明:出版商和作者对本作品内容的准确性或完整性不做任何陈述或担保，
custompub。有关为假人品牌产品或服务授予许可的信息，请联系品牌权利和许可证@Wiley.com。
并明确否认所有担保，包括但不限于对特定用途适用性的担保。销售或促销材料不会产生或延
长任何担保。这里包含的建议和策略可能不适合每种情况。本书出售时，出版商不提供法律、
国际标准书号 978-1-119-70867-4(pbk)；国际标准书号 978-1-119-70866-7 (ebk)
会计或其他专业服务。如果需要专业帮助，应寻求有能力的专业人士的服务。出版者和作者都
美国制造不对由此产生的损害负责。某个组织或网站在本文中被称为引用和 /或进一步信息的潜在来
源，这一事实并不意味着作者或出版商认可该组织或网站可能提供的信息或可能提出的建议。
10 9 8 7 6 5 4 此外，读者应该意识到，在本书写作和阅读期间，本书中列出的互联网网站可能已经改变或消
3 2 1
失。
出版商的鸣谢
我们为这本书和为它工作的人们感到骄傲。帮助将这本书推向市场的一些人包
括:
项目编辑:马丁·v·米纳编辑经
业务发展代表:
理:孟了牧师助理出版商:凯蒂· 卡伦·哈坦·弗雷泽·霍萨克
摩尔制作编辑:
穆罕默德·扎法尔·阿里
目录
INTRODUCTION1
About This Book2
Icons Used in This Book2
CHAPTER 1:What Is Identity?3
Understanding Identity and Why It Matters3

Identifying the Three Domains of Identity5
Identity and access management (IAM)5
Privileged access management (PAM)6
Identity governance and administration (IGA)7
Looking at the Evolution of Identity8
Built-in identity8
On-premises identity9
Identity as a Service (IDaaS) — also known as
Modern Identity9
CHAPTER 2:Defining Identity as a Service (IDaaS) —
The Modern Identity13

Learning the Basics of IDaaS13
Addressing Identity Challenges15
Exploring Use Cases17
Employees17
Contractors and partners18
Customers and consumers19
Things20
CHAPTER 3:The Building Blocks of Identity as a Service21
The Building Blocks21

Directory21
Single Sign-On (SSO)23
Adaptive Multi-Factor Authentication (MFA)24
Provisioning and workflows26
Resources28
Cloud apps28
On-premises apps28
Custom apps28
Servers29
目录罗马数字 3
Application programming interfaces (APIs)29
And many other things30
Other Important Considerations31
Integrations31
Neutrality32
Security and privacy32
Compliance33
Availability36
CHAPTER 4:Looking to the Near Future of Identity37
Zero Trust37
Decentralized/Self-Sovereign Identity38
Internet of Things (IoT)38
Privacy at Global Scale39
Identity Freedom39
How IDaaS Correlates with These Trends40
CHAPTER 5: Ten Key Capabilities of Modern Identity
as a Service (IDaaS)43
希腊字母的第 4 个字母身份即服务(IDaaS)的假人，Okta 特别版
介绍
A
随着业务的扩展和规模的扩大，它会随着应用程序进行调整，以
现在管理数百个内部凭据，并
运行在不同平台上的软件即服务(SaaS)应用
和多个设备。
同样，许多企业现在提供在线产品和服务，要求他们的客户登录到
一个安全的帐户。因此，IT 部门现在必须为该企业的全球客户管理
数百万份凭据。
最重要的是，用户是攻击的主要目标之一，根据最近威瑞森
的“数据泄露调查报告(DBIR)”，81%的数据泄露是由脆弱或被
盗的凭证引起的为了缓解这些威胁，组织必须依靠不同的用户身
份认证方式，而不仅仅是密码。
知道一个安全漏洞可能会导致一个企业的终结，身份和访问管理
(IAM)解决方案使 IT 能够以同样的速度和信心为十名员工和数十
万名客户提供安全保护并管理身份和访问，为数万名客户和数亿
名客户提供同样的便利。这一功能保护用户凭据和敏感数据，并
将员工从耗时的手动任务(如密码重置和帐户配置)中解放出来，
使他们能够专注于更具挑战性和附加值的项目，从而推动公司发
展和提高盈利能力。
为了大规模利用 IAM 服务和安全性，大多数组织正在采用来自云

的现代身份——身份即服务(IDaaS)。IDaaS 提供强大且可扩展
的身份，因此组织可以管理用户和客户从世界任何地方通过任何
设备访问其应用和服务。在本书中，您将了解什么是现代身份以
及 IDaaS 如何帮助您的企业。
介绍一
关于这本书
本书由五章组成，探讨:
身份的重要性，它是什么，以及它是如何演变的
(第一章)
什么是现代身份(身份即服务)以及它如何帮助组织解决身份挑战和
不同的用例(第 2 章)
现代身份解决方案的组成部分(第 3 章)
应对身份未来的新趋势和创新
(第四章)
现代身份的能力和好处(第 5 章)
每一章都是独立的，所以如果你看到一个引起你兴趣的话题，
请随意往下跳。
本书中使用的图标
在本书中，我们偶尔会使用特殊的图标来调用
关注重要信息。以下是我们可以期待的:
这个图标指出了你应该记在你的非易失性记忆、灰质或脑袋里的
重要信息——以及周年纪念日和生日。
如果你想达到第七层境界，振作起来！这个图标解释了行话下面
的行话，也是传奇人物——嗯，传奇书呆子——的素材。
小费是受欢迎的，但绝不是期望的——我们当然希望
你会欣赏这些有用的信息。
2 身份即服务(IDaaS)的假人，Okta 特别版
在本章中
涵盖身份的基础知识及其重要性
了解不同领域的
身份
追溯身份服务的历史
第一章
什么是身份？
我
在本章中，您将探索身份是什么，为什么它如此重要，身份管
理的不同领域，以及身份是如何演变的。
理解身份及其重要性
信息技术一直是一种宝贵的资源，因此总是需要某种控制来控制
谁可以访问什么。
早期的局域网(LAN)最初是为了在组织内共享文件和打印机而构
建的，但真正关键的文件和昂贵的彩色激光打印机只与管理人员
和营销人员共享！IT 部门需要能够识别高管和营销人员，这样
他们就可以确保公司中的其他人看不到销售预测或打印出非常酷
的图形。
追溯到更早的时候，访问大型计算机(大约 20 世纪 60 年代)仅限
于组织内的少数人。当然，通常只需要一个上锁的房间就可以控
制对主机的访问，而身份就是
第一章什么是身份？ 3
很简单——如果你没有角质框架眼镜和口袋保护套，你就不能进
入。
因此，身份和它总是走在一起(见图 1-1)。
图 1-1:身份和 IT 一直走在一起。随着 IT 的发展，将人和物与技术安全连接的需

求也在增加。
每一次发展，对身份和安全的需求也随之发展。例如，在 20 世
纪 90 年代和 21 世纪初，一个组织的员工在办公楼里工作。他们
的信息受到安装在公司网络和互联网之间的防火墙的保护。员工
们开车去办公室，打考勤卡，从他们的台式电脑上登录，开始了
他们的一天。一天结束时，他们从台式电脑上注销，回家过自己
的生活。
后来，人们有了 iPhones 和笔记本电脑，开始更加动态地工作和

协作。如今，员工可以在他们的个人智能手机上阅读工作邮件，
与朋友聊天，并从他们连接到咖啡店、机场和酒店大厅开放 Wi-
Fi 网络的工作笔记本电脑上发送社交媒体链接。当今的现实
是，人们的个人生活和工作越来越融合在一起，这与过去定义明
确、控制良好的工作环境和网络环境相去甚远。
由于人们可以从任何设备和任何地点使用 IT 并与之进行交互，
因此安全性不再是将所有人锁在办公室的特定工作站上，并在本
质上信任网络边界内的任何人那么简单。组织必须能够保护任何
用户对应用的访问，同时在不同的网络、系统和数据环境中加强
安全性。它们也必须是
四身份即服务(IDaaS)的假人，Okta 特别版
能够在位于世界任何地方的众多系统上，跨员工和客户的大型生
态系统大规模管理这些身份。随着它的不断发展，身份将会一直
存在以保证你的安全。
每当您共享资源或机密信息时，您都需要身份来安全地识别使用
该资源或查看该信息的个人。这使您可以限制个人可以做的事情
(例如，谁可以使用彩色激光打印机)或防止其他人看到数据或做
可能伤害个人的事情(例如，在电子报税单上欺骗性地看到您的
社会保险号，或用某人的信用卡在亚马逊上购物)。
识别身份的三个领域
身份由用于解决三个问题的技术组成
问题:
断言和验证身份
确定身份可以访问和执行的操作
定义用于管理身份的策略和流程
在组织的网络和系统中
这些技术分为三个领域，如图 1-2 所示
并将在接下来的三个部分中进行描述。
身份和访问管理(IAM)
广义地说，身份和访问管理(IAM)是一种技术，用于对软件系统
中的用户和组进行分类，以及他们可以访问哪些资源和执行哪些
功能。IAM 处理身份验证、授权、帐户管理和访问控制。
IAM 帮助公司控制谁是其业务的用户(这是身份组件)，以及他们
可以或不可以访问什么服务以及如何访问(这是访问管理组件)。
图 1-2:身份的三个领域(IAM、PAM 和 IGA)以及它们是如何相互作用的。
IAM 是身份识别的基础技术。IAM 执行以下重要的身份识别功能:
存储用户数据、策略和配置
管理用户帐户和凭据
从应用程序和资源中调配和取消调配用户
验证用户
控制对应用程序的访问
审核身份，让您知道谁在何时做了什么
特权访问管理(PAM)
多个用户通常需要共享一个拥有管理任务特权访问权限的唯一帐
户。例如，Linux 有一个超级用户帐户(root ),它有特权访问，
可以在服务器上做任何事情。超级用户帐户的其他例子包括
Windows 管理员帐户和 Oracle 数据库的 SYS 用户。
因为这些帐户不是个性化的，所以许多组织与多个用户共享帐户
凭据(即所有 IT 管理员都知道 root 密码)，这是很危险的。此
外，了解谁做了什么以及
什么时候，因为尽管服务器日志显示 root 用户删除了一个关键
的系统文件夹，但当时谁在使用 root 帐户呢？因此，每个 IT 管
理员都成了嫌疑人。
PAM 用一个中级跳马来补充 IAM。这个保险库保持共享帐户与超级用

户的特权，安全与一个随机/秘密的密码，没有人知道。每当用户
需要使用特权帐户时，他们就去 PAM 系统检查该帐户。收到签出请
求后，PAM 系统验证用户可以使用该帐户多长时间，记录签出以便
审计，更改超级用户帐户密码，然后向签出该帐户的用户透露密
码。一旦授权时间到期，PAM 系统就会收回帐户(通过将密码更改为
另一个无人知晓的秘密值)并将其存储在保险库中。
除了个人权限之外，PAM 还用于管理特殊类型的帐户，如服务帐
户(例如，用于与操作系统交互)、应用程序帐户(例如，用于运
行批处理作业或脚本)和数据库帐户(例如，用于修改数据库模
式)。
身份治理和管理(IGA)
21 世纪初，Tyco、MCI WorldCom 和 Enron 等公司操纵其 IT 系统
来报告更好的财务结果并提高其股价。一旦这些丑闻被揭露，许
多股东损失了很多钱。
为了防止这种情况再次发生，政府开始要求上市公司控制和更好
地审计与公司财务相关的 it 系统中使用的账户。这些控制包括
定期审查谁有权访问什么(在一个称为证明的过程中)，以及实施
请求批准和避免串通(一个称为职责分离的过程)。
为了支持其中的一些需求，组织可以在他们的 IAM 中增加身份治

理和管理(IGA)。
对 IGA 的需求是随着诸如萨班斯-奥克斯利法案(SOX)和健康保险
便携性和责任法案 (HIPAA) 等法规遵从性要求的出现而出现
的。IGA 强制执行证明和职责分离，并提供合规性报告。
第一章什么是身份？七
IAM 和 PAM 是身份的技术部分，而 IGA 可以被认为是身份的策略
和过程部分。IGA 的政策定义了:
根据谁在组织中的角色和职责，应该授予谁访问哪些网络资源
的权限
组织的身份生命周期管理流程(如访问请求和批准，以及帐户设
置和取消设置)
对组织身份治理合规性的持续验证，包括登录、监控和审核身
份和访问
许多 IGA 系统也处理供应。然而，现代的身份解决方案已经包含
了这些特性(阅读第 2 章了解更多)。
审视身份的演变
像任何其他技术一样，身份随着时间的推移而发展，以适应新的
挑战和需求(见图 1-3)。
图 1-3:身份如何演变以应对新的 IT 和安全挑战。
内置身份
最初，身份包括对大型机或桌面应用程序的本地身份验证。在此
期间，连接的计算机相对较少，因此组织主要关注限制对工作站
或应用程序的本地访问
保护操作系统。因此，许多桌面操作系统和本地安装的应用程序
通常具有基本的内置认证功能，只需要简单的用户名和密码即可
登录。
内部身份
在 20 世纪 90 年代中后期，组织开始在局域网中互连计算机和服
务器以共享信息。随着互联网和 web 应用(如电子邮件、内部网
门户、Oracle 和 SAP)的普及，对更强大身份的需求也在增加。
公司网络增长到数千台计算机，所有这些计算机都例行地连接到
互联网上的数百万个服务，因此组织现在必须应对远程黑客破坏
其网络的威胁。与此同时，用户帐户管理成为 IT 部门真正头疼
的问题，因为用户可能需要登录到许多不同的地方，包括他们的
桌面计算机、数十个应用程序和电子邮件客户端。因此，现在有
许多地方需要 IT 部门控制访问，当然，还要重置忘记的用户密
码。
为了解决这些挑战，组织开始在专用系统上管理身
份。 Microsoft Active Directory (AD) 最初随 Windows 2000
Server 一起发布，集中了网络帐户管理，并在 Windows 网络和应
用程序中启用了基于目录、与身份相关的服务。类似地，Novell
eDirectory(现在的 NetIQ eDirectory)和轻量级目录访问协议
(LDAP)在 Windows 和非 Windows 网络中都支持基于目录的身份相
关服务。为了保护对 web 应用程序和电子邮件的访问，组织采用
了 Web 单点登录解决方案，也称为 SSO 或 Web 访问管理(WAM)，如
Oracle Access Manager、CA SiteMinder、PingAccess、Tivoli
Access 和 Microsoft Active Directory Federation
Services(ADFS)。
身份即服务(IDaaS) —也
被称为现代身份
如今，对强大的身份管理的需求从未像现在这样迫切。违规或攻
击的风险是持续而真实的，威胁对手(从恶意的内部人员和网络
罪犯到黑客活动分子和网络恐怖分子)的动机非常强烈(通常是贪
婪或意识形态)。
与此同时，应用程序的数量比以往任何时候都多，并且它们越来
越多地作为云中的软件即服务 (SaaS)产品交付(例如， Office
365 、 Slack 和 Zoom) 。根据 Okta 2020“business @ Work” 报
告，目前每个组织的平均应用数量为 88 个，过去 3 年的增长率
为 21%。不同类型的多种设备使问题更加复杂。除了公司发放的
笔记本电脑之外，几乎每个用户都至少拥有一台额外的移动设备
和一台电脑或 iPad 。许多组织不一定控制这些环境 — — 例
如，AD 不能控制 Androids、MAC 和其他非 Windows 设备上的应用
程序。最后，用户几乎可以从任何地方访问应用程序和数据，包
括机场和咖啡店中开放的(即不安全的)Wi-Fi 网络。
要了解当今组织如何使用应用程序，请访问 “ Businesses @
Work” 报告 https://www.okta.com/businesses-at-work/202
0/ 和 Businesses @ Work 仪表盘 https://www.okta.com/businesses-
at-work/。Okta 使用来自数千个客户组织、应用程序、 IT 集成和日常用
户活动的匿名数据，每年对这些数据进行实时编译。
因此，身份不仅进化了，而且更准确地说演变成了一种混合现
实，在这种现实中，被访问的应用程序、使用的设备和网络边界
总是在变化(想象一个猿、尼安德特人和智人都试图在喝咖啡和
吃香蕉的同时用电脑和移动设备一起工作的世界)。
面对所有这些趋势和挑战，AD 和本地 SSO 等传统身份解决方案无

法管理帐户和安全访问。即使他们可以，他们也需要数百台服务
器和数百小时的工作来处理负载和要求，这使得用传统的内部身
份解决方案来解决这些挑战几乎是不可能的。
解决方案是身份即服务(IDaaS)，也称为现代身份——一个统一
他们的身份！您将在本书的其余部分了解更多关于 IDaaS 的内
容。
ADOBE 使用 OKTA 将成千上万的人连接到
云上
2012 年，Adobe 推出 Creative Cloud，从此改变了创意世界。pivot 将
该公司所有的创意套件产品都转移到了云端。Creative Cloud 会员资
格将为用户提供下载和安装所有 Adobe Creative Suite 应用程序的权
限。
将整个创意工作流程置于云端从根本上改变了 Adobe 的业务。几乎是一夜

之间，Adobe 从永久产品许可证和 18 个月的发布周期转变为每月和每年订
阅以及定期产品更新。
它还改变了 Adobe 的身份和访问需求。Creative Cloud 的第一个版

本无法与 Adobe 的许多企业客户已经使用的企业身份系统相连接。IT
管理员不得不在 Adobe Creative Cloud 中设置和管理一组全新的用
户凭据，这在用户忘记密码或更新凭据时带来了挑战。
对于 Adobe 来说，定制一种可扩展的方式来创建 Creative Cloud 和企业

客户身份系统之间的联合连接是没有意义的。工程资源得到更好的部
署，以在 Photoshop Creative Cloud 中构思下一个创意功能，或将新
的互联创意移动应用程序推向市场。“我不想控制我们的身
份。Creative Cloud 的产品经理 Scott Castle 说:“我希望使用市场上
最好的产品，然后将 Adobe 特定的要求应用到该堆栈中，以快速向我们
的客户提供产品。
双重云挑战
Adobe 的产品团队并不是唯一一个处理认证问题的团队。到 2014 年

底，Adobe 的小型内部 IT 团队通过他们自己构建的开源单点登录解决
方案支持了大约 300 个云应用程序。那一年，该公司决定为所有
13，500 名 Adobe 员工部署 Microsoft Office 365，将电子邮件、日历
和 Sharepoint 工具迁移到云中。旧的身份管理平台偶尔会出现问题和
中断，无法满足需求。
IT 服务高级经理 Den Jones 说，幸运的是，大约在这个时候，团队

被介绍到 Okta。与外部供应商合作是有意义的—一家专注于保护和
(续)
(续)
认证云中的应用程序，而不是构建出色的表达性设计工具。
在审查了他们的选项和 Okta 在行业中的记录后，Adobe IT 部门决定

淘汰内部单点登录系统，并部署带有 Okta 身份验证的 Office 365。
推出之后，Adobe 开始将其其余的云应用程序转移到 Okta 平台。因为
旧平台的维护需要更新，团队在一个相当紧张的期限内工作:三个月
内迁移 300 个应用程序。
时间表被证明是完全合理的，这让琼斯和他的团队非常高兴。他说，
花了大约四周时间完成了前 200 个或更多。如今，大多数应用程序只
需几分钟即可完成配置，而不是以前的几周或几个月。从那时
起，Adobe 已经在其不断增长的员工群中部署了来自 Okta 身份云的多
种产品，保护和管理其 20，500 名员工。
每个人的身份
在与 Okta 合作保护员工对云应用程序的访问后，Adobe IT 非常清楚

产品团队需要与谁合作来将企业身份构建到 Creative Cloud for
enterprise 中。
很快，Adobe 与 Okta 合作，将同样强大的身份服务交付给 Adobe 的产
品工程师。
今天，Adobe 使用 Okta 为其所有企业客户提供全面的身份管理层，

包括 Adobe 营销云、Adobe 文档云以及 Creative Cloud。互联解决方
案保护 Adobe 云应用程序，并让用户使用其现有的公司凭据安全、
快速且经济高效地访问 Adobe 的创新工具。
为了让 Creative Cloud 用户获得成功(并让客户的 IT 部门满

意)，Adobe 的企业身份平台做了几件非常重要的事情:
• 与客户的企业身份系统(如 AD 或 LDAP)连接，这样 IT 管理员就不

会有双倍的管理活动
• 将 Okta 功能集成到 Adobe Creative Cloud 的现有代码中
• 顶上有 Adobe 的商标
• 将个人用户身份与个人帐户以及多个企业和机构帐户联合起来
在本章中
引入身份即服务 (IDaaS)
解决现代身份挑战
IDaaS
对人和事物使用 IDaaS
第二章
将身份定义为
服务(IDaaS)——现代身份
在这一章中，您将了解 IDaaS 是什么，它如何应对现代身份挑
战及其优势，以及 IDaaS 如何支持员工、承包商、客户
呃，还有一些事情。
学习 IDaaS 的基础知识
我
身份即服务(IDaaS)是由服务提供商在云中构建和托管的身份和
访问管理 (IAM ), 组织可以通过软件即服务 (SaaS) 订阅获
得。IDaaS 解决了身份的现代需求，而没有内部 IAM 模型的限
制。
通过采用 SaaS 解决方案，如 IDaaS、组织和 IT

管理员已经实现了以下优势:
第 2 章定义身份即服务(IDaaS) —现代身份 13
更快实现价值:SaaS 解决方案在您注册时就已启动并运行，消除
了采购服务器和安装软件等任务。
维护任务更少:SaaS 解决方案由提供商不断更新，在不停机的
情况下增加了新功能和安全性改进，从而减少了
IT 管理员必须完成的维护任务数量。
更少的手动集成:SaaS 解决方案构建了您启动所需的一切，消除
了集成
服务器、备份系统和网络等内部组件之间的成本。
成本灵活性:由于 SaaS 解决方案通常按用户每月付费，组织可以
更好地控制支出，只为他们使用的服务付费。
这些好处是如此的显著，以至于组织正在将他们的大部分核心业
务转移到云上。如果你今天为你的组织选择一个新的 it 解决方
案，说服你的老板购买服务器、部署数据中心、安装软件并让
IT 部门负责所有的维护比订购云服务更难。
IDaaS 的目标与 IAM 相同:确保用户是他们所声称的那个人，并在

适当的时间给予他们对资产的适当访问。主要区别在于， IDaaS
为您提供了云的优势，而没有内部 IAM 的限制和开销。
例如，考虑如何使用传统的内部 IAM( 如 Microsoft Active

Directory Federation Services(AD FS) 或 Oracle Access
Manager)与 IDaaS(如 Okta)提供单点登录(SSO)。一旦你注册了
IDaaS 并导入了你的用户，他们都可以从这项服务中受益。您不
需要花费时间和金钱购买和安装服务器和操作系统，也不需要估
计服务的负载和容量。
此外，每次推出新功能或发布更新时，例如新的移动应用程序可
确保苹果 iOS 和安卓系统的安全访问，或安全改进可防止来自暗
网的访问，您都可以自动获得更新，而无需您计划、测试和安排
维护
窗口，并手动升级系统。由于 IDaaS 已经拥有管理身份所需的所
有组件，如多因素身份认证(MFA)和配置，因此增强安全性非常
容易，您无需购买、手动安装和集成来自其他软件供应商或提供
商的单独 MFA 或配置解决方案。最后，您可以根据人们使用服务
的方式来控制服务成本。因此，举例来说，如果您想只为经理推
出 MFA，您不需要为所有员工支付 MFA。
IDaaS 可用于保护不同资产的访问和身份管理，包括应用编程接
口(API)、内部部署、云、移动应用和服务器。它还提供了多种
本机功能，如自适应 MFA(在第 3 章中讨论)来提高身份验证安全
性，以及 SSO，它使用户只需登录网络一次，就可以访问他们被
授权的任何应用程序和资源。
在内部部署环境中，设置所有这些功能(自适应 MFA、SSO、目录
服务和配置等)需要您跨不同的服务器、供应商(如
Oracle 、RSA 、Microsoft 和 Symantec) 和手动集成工作。借助
IDaaS，一切都可以在单个产品中实现，具有一定的规模，并能
快速实现价值(参见图 2-1)。
图 2-1:IDaaS 如何与现代 IT 协同工作，以及它的好处。
应对身份挑战
IDaaS 解决了当今组织必须解决的许多身份挑战。 IDaaS 通过利

用安全等开放标准，实现了与云和本地应用的快速集成
断言标记语言 (SAML) 和 OpenID 连接 (OIDC) 以及应用程序目
录。IDaaS 还整合了访问控制，无论应用程序托管在哪里，都可
以帮助组织运行混合 IT，将系统托管在多个内部、公共云和私
有云环境中。
IDaaS 提供了现代企业在一个永远在线的世界中所需的强大可扩
展性、可靠性和可访问性，在这个世界中，潜在的数十万 (甚至
数百万)用户(包括员工、客户和其他人)需要随时从任何设备访
问他们的移动应用、网站、API 和门户。
IDaaS 为组织提供了许多好处，包括:
利用自适应 MFA(在第 3 章中讨论)和集中式 IAM 等功能改善组织

的网络安全状况。
提高用户和 IT 生产力。使用 SSO，用户可以更快地登录到他们
的所有应用程序，IT 帮助台处理密码重置的时间也减少了。
无论是
用户从机场的开放 Wi-Fi 网络或办公室的桌子上登录，该过程
始终是无缝和安全的。
帮助组织显著降低 IT 成本。
现场配置身份(例如，在 Active Directory 上
或 Oracle Identity Manager)可能充满成本，包括:
• 购买、安装、升级和维护服务器
硬件(或虚拟软件许可证)和软件
• 为数据中心、私有云或公共云中的空间支付托管费用
• 配置、维护和监控虚拟专用网络(VPN)连接
使用 IDaaS，您唯一的成本是订阅费和管理用户帐户的 IT 管理工
作。您的用户许可证可以快速轻松地扩大或缩小，以满足您组织
的需求。IDaaS 大大降低了运行 identity 的循环成本:从手动 IT
支持请求配置和重置用户帐户，到部署、修补和升级不同解决方
案的专业服务。
据 Forrester 称，“与内部 IAM 解决方案相比，使用 IDaaS 的最
大优势是持续维护率降低了 30%到 35%。”
探索用例
IDaaS 支持许多常见的身份管理业务用例(参见图 2-2 ),例如员

工、承包商、合作伙伴、客户和事物。
图 2-2:需要身份的用例(和用户)。
雇员
员工是任何组织中最重要的资产。安全地将您的员工与他们需要
的技术联系起来至关重要。如今，组织的员工可以从任何地方访
问系统，进行远程工作和协作。与此同时，员工正成为攻击者的
目标，攻击者试图利用他们的访问权限。
IDaaS 通过以下方式支持员工:
根据 Workday 和 SuccessFactors 等人力资源管理系统提供的

用户数据，动态加入和更改用户访问权限
安全存储员工的身份和权利
使用一组强凭据保护员工对所有资产的访问，包括内部和云中
的应用、服务器和 API
支持安全访问，不受用户环境、设备和网络位置的影响
通过提供移动友好型解决方案提高员工效率
使用本组织的资产
根据风险改变访问要求，动态拒绝或要求高风险访问的 MFA
奖励无密码访问的“低风险”用户
审核并为安全团队提供事件信息
承包商和合作伙伴
组织努力建立伙伴关系，但是繁琐的流程和系统会阻碍有效的协
作。合作伙伴和承包商引入了新的动态用户类型，给 IT 团队带
来了复杂性。同时，向合作伙伴过度分配访问权限会使关键系统
面临不必要的安全风险。
传统上，组织通过使用与短期或相对较小关系的员工相同的 IAM
解决方案管理他们的身份，或者通过与合作伙伴自己的 IAM 堆栈
集成，为更大的长期合作伙伴关系创建企业对企业 (B2B)集成，
来支持承包商和合作伙伴的访问。
构建 B2B 集成是一项昂贵且耗时的工作。平均而言，构建和维护
一个 B2B SAML 集成(例如，内部)的总拥有成本是
每次集成 20，000 美元。
IDaaS 有助于简化合作伙伴集成
长期 B2B 关系。好处包括:
提供无缝体验:与合作伙伴的 IAM 解决方案进行本机集成，允许

合作伙伴使用其现有凭据访问您的资源。
鼓励协作:通过安全的个性化门户提供对适当资源的即时访
问，优化合作伙伴体验。
自动化合作伙伴生命周期:集中用户管理和自动化合作伙伴身份
配置，以减轻 IT 管理需求。
提高安全性:保持对身份认证、身份、应用程序和资源的全面控
制，并自动取消配置以防止延迟访问。
顾客和消费者
如今，每个组织都通过网站、API 和应用开展数字业务。吸引客
户并最大化他们的终身价值越来越依赖于满足他们对技术先进、
无摩擦、全渠道和个性化的数字体验的高期望。
比如你正在亚马逊上购物，或者在 Ins- tagram 上查看照片。在

这两个例子中，安全性是关键，因为你要确保没有人用你的信用
卡买东西，并且你的照片和评论是安全的。然而，如果你有一次
偶然的经历，你不太可能会回到这些网站。您还希望在不同的设
备上使用相同的登录，并拥有相同的安全性和用户体验。例如，
你可能会在电脑和智能手机上使用 Instagram ，你可能会在
Amazon.com 网站和 Alexa 上购物。提供没有摩擦的安全是消费者
身份的游戏名称。
IDaaS 可以帮助组织获得并交付卓越的客户
托默在以下方面有所体会:
改善注册和登录期间的客户体验:跨渠道提供引人入胜、品牌化和
个性化的体验。轻松定制注册-
无需昂贵的编码和开发工作。
获得客户的 360 度视角:克服由不连贯的客户造成的组织孤岛。
通过拥有
每个客户的单一身份，组织可以了解那个人的兴趣和偏好，
增加客户的终身价值。
提高敬业度:减少入职摩擦
渐进式分析和无密码身份验证。
将应用无缝集成到客户门户中，实现单一登录体验。
管理同意:让客户控制他们的数据，并满足复杂的法规遵从性要
求，如《加州消费者隐私法》(CCPA)和《通用数据保护条例》
(GDPR)。在第 4 章中了解有关同意管理的更多信息。
东西
物联网(IoT)和数十亿(2020 年已经超过 300 亿)智能互联设备为
现代企业带来了新的挑战。物联网的安全至关重要，它对人类生
命和公共安全的威胁甚至比其他网络安全威胁更大。
智能事物，如亚马逊 Alexa、智能灯泡和智能电视，需要身份来
认证和控制它们可以访问和做什么——就像人类一样！然而，智
能设备的数量比人类多得多，它们的交流方式也与人类不同——
使用 API 而不是浏览器和应用程序。
IDaaS 提供了满足物联网流量需求所需的身份和可扩展性。此
外， IDaaS 支持智能物联网设备所期望的协议，如开放授权
(OAuth)，以保护对 API 的访问。
IDaaS 不是什么
本章介绍了什么是 IDaaS。简而言之，IDaaS 是一个基于云的 IAM 解决方
案，可以保护组织用户(包括员工、承包商、合作伙伴、客户等)对应用和
系统的访问。
那么，什么不是 IDaaS？首先，在基础设施即服务(IaaS)或平台即服务
(PaaS)产品中迁移到云中的内部身份管理解决方案不是 IDaaS。例如，
将您的内部活动目录服务器提升和转移到 PaaS 解决方案，甚至采用
Docker 等现代容器技术，仍然需要您负责手动安装和修补系统、进行容
量规划以及手动与其他模块或供应商集成，而所有这些都没有真正的
IDaaS 的按需购买优势。因此，这不是 IDaaS。尽管容器非常酷(尤其是
对于构建你自己的应用程序来说)，但你所做的只是将你的内部挑战转
移到了云上！
此外，IDaaS 不是托管服务提供商(MSP)解决方案。MSP 通常代表您运行传统

的 IAM，同时向您收取订阅费。尽管这些解决方案减轻了您的维护负担，但
它们并没有消除传统 IAM 的关键限制，例如在没有计划内停机的情况下获得
实时升级，或者提供数千个与移动应用、云应用和 API 的现成集成。
在本章中
查看身份即服务的构建块
控制对不同资源的访问
考虑集成、安全性和隐私、合规性等
第三章
的组成部分
身份即服务
我
在本章中，您将了解身份即服务(IDaaS)的关键组件、可通过
IDaaS 保护的资源，以及在以下情况下需要牢记的重要注意事
项
采用 IDaaS 解决方案。
积木
IDaaS 解决方案通常有四个主要构件:
目录
单点登录(SSO)
多因素身份认证(MFA)
供应和工作流
目录
目录是任何身份和访问管理 (IAM)解决方案的关键组件。这是
IAM 完成工作所需的实体(用户、组和资源)、元数据(配置和策
略)和审计数据的数据库。
第 3 章身份即服务的构建块 21
Microsoft Active Directory (AD)是安装在内部环境中的传统
目录的一个示例。其他的包括 Apache DS 、 NetIQ
eDirectory、OpenLDAP 和 Oracle Internet Directory (OID)。
传统的内部目录是在云计算、远程工作人员、日益增多的并购(M &
As)和企业对企业(B2B)活动以及智能手机/应用程序革命之前构建
的。因此，这些目录没有完全优化以满足现代需求。当组织强制安
装内部目录以满足现代需求时，例如支持云应用程序或管理移动设
备，他们最终会部署多个目录林、树、受信任域、服务器、客户集
成和 PowerShell/bash 脚本，从而创建极其复杂的环境，最终无法
满足他们的需求。
一个现代化的解决方案必须满足现代化的需求，并与将使用目录
的系统无缝集成，而不需要您处理手动集成和复杂性。
IDaaS 解决方案提供了一个内置目录，可以安全地存储处理所有
现代使用情形(从移动到 M&A 和云)所需的数据，而无需您维护基
础架构或处理自定义设置、PowerShell 或 bash 脚本。该目录本
机集成到所有将使用它的服务中，例如用于验证用户身份的
SSO，消除了手动集成任务。
在采用现代 IDaaS 堆栈时，许多组织会考虑淘汰其内部目录。在

目录专门用于 IAM 的部署中，淘汰 legacy 目录是一件轻而易
举的事情。但是，在复杂环境中停用目录需要规划。例如，在许
多组织中，活动目录(AD)不仅存储身份，还用于域名系统(DNS)
解析等服务和颁发私钥证书。此外，一些公司开发定制的
PowerShell 集成或拼凑数百个域控制器来存储他们的数据。复
杂部署的最佳实践是通过将服务转移到现代解决方案来减少传统
目录的使用，同时降低复杂性。
例如，通过使用具有内置目录和配置的 IDaaS 解决方案，您可以

消除与身份相关的活动的自定义 PowerShell 脚本，例如在 M&A
期间让员工加入或在多个站点之间同步电子邮件地址
系统。将这些任务转移给 IDaaS 可以大大减少
服务器数量和内部目录的复杂性。
单点登录(SSO)
登录凭据的存在是为了保证帐户的安全，但它们带来了挑战，因
为用户在数百个应用程序中拥有不同的帐户。为了跟上所有这些
应用，同时避免密码疲劳和生产力损失，用户采取了危险的捷
径，如在所有应用中重复使用凭据，或者在记事本或电子表格中
写密码。威瑞森发现，被盗凭据是数据泄露的最常见来源，公平
地说，这主要是因为用户难以管理他们的许多凭据。
SSO 通过允许一次登录访问所有应用解决了这一挑战。为了实现
这一点，SSO 依靠安全断言标记语言(SAML)和 OpenID Connect
(OIDC)等开放标准将用户与第三方系统和应用程序联合起来。
SSO 解决方案有时受到批评，因为它在身份验证过程中引入了单
点故障，人们称之为“通往王国的钥匙”但是，有一些重要的功
能和最佳实践不仅可以解决这一问题，还可以提高安全性和工作
效率。以下是一些例子:
MFA: MFA 被认为是 SSO 最好的朋友。MFA 的使用提高了单点登

录的安全性，通过用户生物识别等其他因素进行身份验
证，比
传统密码。
自适应访问:提高 SSO 安全性的一个良好实践是使用基于用户环
境、网络、设备、位置和杠杆重新评估用户访问的解决方案
智能威胁源。这样，当可疑事件发生时，SSO 会自动更改登
录要求、阻止访问并触发安全警报。
SSO 是为您的用户实施强密码实践的好方法。只需控制一个密
码，IT 部门就可以制定策略来确保密码尽可能安全，包括要求
密码:
在一定时间后过期
与以前的不同，以防止重复使用
与现有的被黑客攻击的凭据列表不匹配
在一定次数的不成功尝试后锁定，以防止暴力攻击
密码管理器也可以方便最终用户的访问，但密码管理器侧重于保
护保险库中的凭证(而不是消除密码)。此外，密码管理器不能实
现关键的安全功能，如查看用户上下文的能力或防止恶意网络访
问的能力。
有了这些功能，即使用户输入了正确的凭证，用户也可能进行有
限的会话(超时时间为分钟而不是小时)，被要求进行额外的身份
验证，或者被完全拒绝访问。例如，如果用户使用 Tor 匿名器登
录敏感系统，访问可能会被完全拒绝。SSO 使管理员能够更好地
控制和细化用户访问公司资源的方式。
阅读 Okta 打破神话系列，了解有关 SSO 的更多信息，请访问

https://okta.com/blog。
自适应多因素
认证(MFA)
对用户进行身份验证通常包括用一个称为因子的东西来验证身份
声明(如用户名)。认证因素通常被认为是三种类型之一:
一些你知道的东西——比如个人身份证明
号码(PIN)、密码或您母亲的娘家姓
您拥有的东西，如智能手机、员工徽章或快速 ID 在线通用第二
因子(FIDO U2F)密钥
你是什么——独特的生物识别标志，如指纹、视网膜或虹膜图
案
大多数应用程序只根据一个因素(通常是密码)来验证用户。使用
密码虽然简单明了，但也有很多缺点。密码是侵入您系统的最简
单方式，黑客可以通过多种方式利用它们。
前五大密码攻击是 :广泛的网络钓鱼、有针对性的鱼叉式网络钓
鱼、凭据填充、密码喷洒和中间人。要了解这些攻击是如何进行
的，请查看 https://www.okta.com/resources/whitepaper/5-
identity-attacks-that-exploit-your-broken-authentication/。
您可以使用免费资源，如 https://haveibeenpwned.com/ 和谷歌
Chrome 浏览器的 PassProtect 插件，以查看您的密码和帐户是否已被
泄露。
密码也容易受到暴力攻击。然而，大多数系统可以通过在一定次
数的失败登录尝试后使用帐户锁定安全防护来阻止这些攻击。
针对密码和单因素身份认证固有弱点和挑战的解决方案是—多因
素身份认证(MFA)！
MFA 需要两个或更多因素来验证身份。例如，MFA 可能要求用户

使用密码登录网站，然后输入发送到用户智能手机的一次性密
码。密码在有限的时间内有效(通常为三到五分钟)，并且只能用
于一次登录尝试。如果密码输入不正确，或者用户注销会话并尝
试使用相同的密码再次登录，则登录尝试会失败。
MFA 的缺点是每次用户登录时都需要它会导致 MFA 疲劳。MFA 给

终端用户带来了麻烦，他们可能需要在整个工作日重新进行身份
认证，或者使用硬件和软件令牌的组合来获得访问权限。所需的
每一个额外的身份验证因素都改善了访问控制，但代价是降低了
用户体验的友好性。然而，MFA 摩擦可以通过减少用户需要登录
的次数来缓解(您猜对了，使用 SSO！)，通过使用更加无缝和直
观的因素，并使您的 MFA 适应不同的环境和风险状况。
为了平衡安全性、成本和可用性，IDaaS 为不同的 MFA 因素提供

了广泛的支持。这些因素从低保证(如安全问题和短消息服务
(SMS)文本代码)到高保证(如推送通知、生物识别和硬件令牌)不
等。
许多组织仍然依赖低保证因素，如安全问题和 SMS 文本代码。安
全问题是当今组织使用的最普遍的因素，并且还在增加。根据
Okta 的研究，如今 38%的 MFA 用户将安全问题作为第二考虑因
素，而去年这一比例为 30%。安全问题的问题在于，这些问题的
答案往往可以在公共记录和社交媒体上找到 (例如，你母亲的娘
家姓或你配偶的姓)。使用短信作为唯一的第二个因素也有风
险。对于必须遵守国防联邦采购法规补充 (DFARS)等法规的组
织，美国国家标准与技术研究所(NIST)准则不再允许基于 SMS 的
双因素身份验证，因为存在代码被接受的风险。这并不意味着这
些因素在 MFA 解决方案中是无效的。相反，正确的因素必须与正
确的风险水平相匹配。
为了在不增加摩擦的情况下提高安全性， IDaaS 实现了自适应

MFA。Adaptive MFA 使用后端分析来分析单个登录请求，以确定
提示多少因素以及授予多少访问权限。例如，如果一名员工在公
司场所工作，并使用智能徽章通过安全检查进入其办公
室，adaptive MFA 会识别她在受信任的位置，并可能只需要她
的指纹就可以登录系统。但是，如果该员工在咖啡店使用个人设
备工作， adaptive MFA 可能会提示她输入额外的身份验证因
素。
供应和工作流
到目前为止，您已经了解了 IDaaS 的三个构造块:目录将用户数
据和配置保存在适当的位置，SSO 减少了用户访问数百个系统和
应用程序的摩擦，Adaptive MFA 增强了用户基于风险级别访问
所有应用程序的安全性。但是还有最后一个挑战 :如何确保您的
用户被正确地添加到您的 IDaaS 目录中，并且他们被配置到登录
所需的系统中？资源调配和工作流解决了这一挑战。
借助资源调配，组织不仅可以使用 IDaaS 控制对系统的访问，还

可以根据用户的状态创建、更新和删除帐户和权限。这
用户状态可以直接在 IDaaS 目录中定义，也可以在被认为是组织
真实信息来源的重要第三方系统中定义(例如，组织中员工的最
佳真实信息来源可能是人力资源系统)。
资源调配自动化了内部和外部帐户的帐户和权限管理，从而节省
了时间和资金。平均而言，组织每年在每个应用程序资源调配请
求上节省 30 分钟，在确定和配置组和权限上节省 30 分钟，在准
备审核方面为每个用户节省 20 美元。当乘以典型组织每年必须
处理的成千上万的供应请求和各种审计时，时间和成本节省可能
相当可观。
但是，由于身份的变化，帐户管理之外的其他流程也必须在第三
方系统中触发。例如:
马丁加入了安全团队。除了访问安全系统，Martin 还需要完
成安全培训课程(例如，在 Udemy)并签署一份文档
(可能用土坯招牌或 DocuSign（一项电子签名服务）)确认
他理解并完成了课程。
生活在德国的客户 Yara 访问贵公司的购物应用程序，并提交了一
份贵公司收集的她所有个人数据的副本的请求。欧洲联盟
通用数据保护条例(GDPR)要求贵公司在 30 天内向 Yara 提供
一份她的数据副本。
工作流是一种 IDaaS 功能，它提供了超越帐户配置的自动化，允

许您自动化和编排这些类型的流程，而无需编写额外的代码。
IDaaS 将 IAM 的所有构建模块(目录、SSO、自适应 MFA 以及配置

和工作流)交付到一个统一的软件包中，只要您订阅了该服务，
所有这些模块就会立即投入运行。这使您能够获得最佳时间来重
视和关注重要的事情，如设置安全性和改善用户体验，同时节省
时间和金钱，而不是安装、修补和集成脱节的解决方案。
资源
在本节中，我们将介绍一些主要的资源类型，您可以使用 IDaaS
目录、SSO、自适应 MFA、配置和工作流来保护对这些资源的访
问并管理其身份。
云应用
存在许多云应用程序，如 Office 365 、 Salesforce 、 Amazon
Web Services 和 Slack。事实上，云正在成为应用程序的主要交
付模式，迅速取代本地安装的软件成为首选方法。现代 IDaaS 解
决方案为您提供了一个预构建应用集成的目录。您可以使用目录
在几分钟内集成您的云应用程序。
IDaaS 解决方案和云应用之间的集成是通过开放标准完成的，如
用于联合的 SAML 和用于配置的跨域身份管理系统(SCIM)。
Okta 目前有超过 6000 个预建的应用集成。
内部应用
尽管越来越多的公司采用越来越多的云应用和服务，但大多数组
织至少会保留一些系统在内部运行。现代 IDaaS 解决方案提供了
安全访问本地 web 应用程序的功能，使用传统的本地集成模式和
标准，如轻量级目录访问协议(LDAP)、远程身份验证拨入用户服
务(RADIUS)、Kerberos 和基于头的身份验证，而无需更改应用
程序源代码。
您可以使用相同的 IDaaS 解决方案来保护您的所有系统，从地面

到云端，使用相同的安全策略，节省您的时间和金钱，同时始终
利用最新的安全功能。
自定义应用程序
正如网景公司创始人马克 · 安德森在近十年前写下的一句名
言:“软件正在吞噬世界。”在某种程度上，今天的每一个组织
都是一家“科技公司”，在为自己构建数字形象，无论是电子购
物、拼车应用还是下一个大事件。软件创新是“赌注”
组织要在当今竞争激烈的全球经济中生存。
在自己的公司里四处看看。与五年前相比，您现在有多少应用程
序开发人员？如果你在一家真正创新、领先的公司，你可能不仅
有更多的开发人员；你有更多类型的开发人员，包括移动应用程
序开发人员、数据科学家和机器学习工程师。所有这些人都在构
建需要安全性的定制应用，但他们不一定(甚至不可能)是安全专
家。交付一个不安全的应用程序会导致帐户被接管或凭据被盗
用，这会给组织带来巨大的损失(如果不是一切的话),包括诉
讼、罚款和处罚、负面宣传、品牌声誉受损以及失去客户信任和
商业机会。
IDaaS 以软件开发套件 (SDK) 和 API 的形式提供内置的 s so 和

MFA，开发人员可以快速轻松地将它们添加到他们的应用程序
中，以便开发人员可以专注于他们最擅长的事情 (构建应用程
序 ),同时拥有一流的目录、 SSO 、MFA 以及配置和工作流安全
性。
服务器
软件必须在某个地方运行，而这个地方通常位于可能托管在多个
地方的服务器上，包括内部数据中心、私有云或公共云，如亚马
逊网络服务(AWS)、谷歌云平台(GCP)或微软 Azure。借助现代架
构和微服务、容器、无服务器、Kubernetes 和 DevOps 等应用开
发工具，运行应用的实例数量可以根据负载动态变化。例如，一
个新的应用程序可能只在运行于公共云中的 10 台服务器上启
动，在病毒式传播的几个小时内，您的云基础架构中可能会有超
过 1，000 台服务器被配置来处理负载。想象一下，当这些服务
器快速扩展和缩减时，您试图自己保护所有这些服务器。现代
IDaaS 解决方案为您提供了一种自动保护对所有服务器和应用程
序实例的访问的方法。
应用程序设计
接口(API)
API 是吞噬世界的所有软件的燃料。你可以把 API 想象成一个可
以被其他 app 和物联网(IoT)智能设备消费的 app。API 节省了开
发人员的时间，因为它不要求开发人员构建某些人
else 已经创建了。您可以使用 API 的一些示例包括:
Twilio 向智能手机发送短信
处理信用卡支付的条纹
谷歌分析跟踪你的网站访问量
此外，作为一个组织，您可以加入 API 经济:构建自己的 API，提

供给其他组织用于他们的应用程序，并从请求中赚钱。例如，如
果您是一家运输公司，您可以提供一个 API 来计算交付时间、运
输成本和请求运输标签。
现代 IDaaS 解决方案保护和授权对 API 的访问，利用开放授权

(OAuth)等 API 安全标准。
和许多其他事情。。。
有时，您拥有需要身份的 IT 资源，但这些资源未被归类为云应
用、内部部署应用、服务器、自定义应用甚至 API。在这些情况
下，您仍然可以通过开放标准从 IDaaS 的身份安全性中受益。许
多行业(包括 IT)都使用开放标准和模式来提供系统间的无缝集
成。
没有标准，世界上几乎所有的事情都会变得更加困难。想象一
下，如果每个制造商都有自己的专用灯泡，并且只在他们的灯中
工作，那么你可以去买一盏灯；如果你认识的每个人都有不同长
度的电话号码，比如 22 位、15 位、11 位或只有一位，那么你可
以去打电话！
身份和其他任何行业一样，都有标准。所有东西都有身份标准 :
从目录(如 LDAP)到身份验证和 SSO(如 SAML、RADIUS 和 OIDC)，
再到配置和工作流 ( 如 SCIM 和代表性状态转移 [REST] 和
Webhooks)。IDaaS 利用这些标准来支持各种系统。
标准允许您实施同类最佳的解决方案，并帮助您避免受供应商专
有解决方案的束缚。供应商锁定限制了您业务的灵活性。您被供
应商向您收取的持续维护和支持费用所束缚，并且您受限于他们
在其产品路线图中提供的特性和功能(如果他们甚至
有路线图)。当你已经受够了的时候，切换到不同的解决方案可
能是相当昂贵的(例如，你如何把你的数据从旧系统转移到新系
统？).
下载遗留应用程序的集成模式电子书，网址为 https://okta.com/
resources/whitepaper-integration-patterns-for-legacy-
applications 阅读 Okta 博客，网址 https://okta.com/blog 了解有
关标准和集成的更多信息。
其他重要考虑事项
身份是您 IT 中一个至关重要的组成部分。如果您的身份系统没
有运行，人们将无法访问多种资源。如果您的身份解决方案不安
全，您的整个组织将面临巨大的风险。要选择不会让您失望或束
缚您的 IDaaS 解决方案，您必须考虑其他因素。这些包括集成、
中立性、安全性和隐私性、合规性和可用性。
集成
第三方集成是组织考虑 IDaaS 的一个关键因素。广泛的集成生态
系统可帮助您无缝支持单点登录，避免供应商锁定，并从现有应
用程序和 IT 系统中释放新的价值。IDaaS 解决方案应该通过一系
列集成来支持您目前使用的以及您考虑在未来使用的应用。此
外，该解决方案应该提供 SSO 之外的一组丰富的集成，包括:
登录和配置:使您能够在几分钟内控制对 Box、Office
365、Salesforce、ServiceNow、Slack 和 Zoom 等应用程序的
访问和配置。这
集成应超越单点登录，并支持用户供应、场外交
易、通过工作流、设备和许可证管理选项进行的高
级集成。
人力资源信息系统(HRIS):连接到 Workday 和 SuccessFactors 等
人力资源系统，实现员工入职和离职自动化。
应用交付控制器(ADC):连接外部
用户使用 Citrix、F5 和 Akamai 等内部 ADC。
网络安全:将 SSO 和 MFA 扩展到公司网络安全解决方案，如
Cisco、Check Point、Palo Alto Networks 和 ZScaler。
安全分析:跨云、移动和内部部署系统扩展您的视野，以扩大关
联和执行机会。例子包括对数节律，
Rapid7、QRadar 和 Splunk。
Okta 在以下网站发布其应用程序目录 https://www.okta.com/

okta-integration-network/。
中立
在现代 IDaaS 解决方案中，使用开放标准和提供集成(前面几节
都讨论过)很重要，但这还不够。IDaaS 服务提供商必须保持中
立。也就是说，您的服务提供商需要提供明确的证据，证明它没
有在与之合作的解决方案中挑挑拣拣，从而间接地将您锁定在某
个供应商。例如，微软、NetSuite、Salesforce 和 Zoho(注意，
我们没有按照列出它们的顺序来选择它们——它们是按字母顺序
排列的！)都提供出色的客户关系管理(CRM)软件，并且都相互竞
争。现代的 IDaaS 解决方案需要在任何给定的类别中支持尽可能
多的流行软件选项。
在现代 IDaaS 提供商中寻找以下中立标志:
一个广泛的生态系统(至少 5，000 个)的本地 IT 集成

系统和软件
深度集成，甚至与来自
提供特定解决方案的供应商
对开放行业标准的广泛支持
Okta 支持上列出的各种供应商和解决方案
https://www.okta.com/oin/。
安全性和隐私
安全性和隐私是每个组织最关心的问题
今天，您的现代 IDaaS 提供商并没有什么不同。看
在您的 IDaaS 提供商中获得以下安全性和隐私保证:
他们的安全文件(即，机密性，
完整性和可用性)控制。
支持云共享责任模型，明确列出他们和您各自的责任。
帮助您保护服务实例的文档、最佳实践和产品功能。
在安全和隐私方面有可靠记录的证据。您的 IDaaS 供应商应该提
供工具和证据，如信任门户、公共 bug 奖励计划和自动化
安全测试。
有权测试他们的 IDaaS 平台和解决方案的安全性。
云安全联盟(CSA)安全信任保证和风险(STAR)、联邦风险和授权管
理计划(FedRAMP)、国际组织等认证
标准化(ISO) 27001 和系统和组织控制(SOC) 2 类型 2。
有关 Okta 服务安全性的信息，请查看白皮书 https://
www.okta.com/resources/whitepaper-okta-security-
technical-white-paper。
服从
不同行业的组织有不同的法规遵从性要求。确保您的 IDaaS 解决
方案符合可能适用于您的组织的任何法规要求或行业标准。例
如，这些可能包括通用数据保护法规(GDPR)、加州消费者隐私法
案(CCPA)、萨班斯-奥克斯利法案(SOX)、健康保险便携性和责任
法案(HIPAA)等。相关标准可能包括支付卡行业(PCI)数据安全标
准(DSS)和国际标准化组织(ISO) 27001 标准。
您可以通过以下网址了解 Okta 的合规方法和认证 https://
trust.okta.com/compliance。
一个 IDAAS 示例:
OKTA 是怎么做到的
Okta 身份云是由 Okta 构建和维护的 IDaaS 平台。作为一项真正的云
原生服务——100%在云中诞生和构建，Okta 提供了主要优势，包括:
• 它全球可用，100%多租户，无状态和冗余。
• 它会定期更新安全性增强和新功能。
• 它的计划停机时间为零；Okta 更新了平台-
飞行，不安排停机维护。
• 它大大减少了操作任务以及设置和维护成本。
• 它基于订阅，成本灵活。
这些优势很少出现在内部软件、托管云服务或者将原有内部软件移
植到云的供应商那里。
身份云平台功能包括员工和客户身份产品。
劳动力身份
员工身份产品面向 IT 和安全领导者。在很高的层面上，它们简化了人
们连接到企业技术的方式，同时提高了效率并有助于保持 IT 环境的安
全。这些解决方案包括:
• 通用目录:通过这种灵活的基于云的用户存储，自定义、组织和管
理来自多个身份源的任何用户属性集。
• 单点登录:把你的人从多重密码的束缚中解放出来。一套凭证使他们
能够访问云中、内部和移动设备上的企业应用程序。
• 生命周期管理:通过确保目录(如 Active Directory 和 LDAP)与云
应用(如 Workday、SuccessFactors、Office 365 和 RingCentral)
之间的无缝通信，实现用户的自动登录和注销。
• 自适应多因素身份认证:利用强大的策略框架保护您的应用和虚拟
专用网络(VPN)
一套全面的现代验证因素，以及与您的所有应用和基础架构集
成的自适应、基于风险的身份认证。
借助员工身份，IT 部门可以在一个中心位置进行基于策略的管理，
控制哪些用户可以访问支持核心业务流程的任务关键型应用和数
据。
员工受益于单点登录主页，这简化了他们的生活，降低了“密码疲
劳”带来的安全风险有了 Okta，他们不再采取冒险的做法来记忆密码
——例如，选择明显的或重复使用的密码，将密码写在便利贴上，或
在笔记本电脑上保存在 Excel 文件中。
客户身份
客户身份产品允许您嵌入 Okta 作为身份

应用程序层或自定义 Okta，以便:
• 提供可定制的用户体验:利用 Okta APIs 和小部件创建全品牌登录流

或最终用户门户。您甚至可以使用 Okta 的 API 来构建定制的管理体
验，客户或部门经理可以在其中管理他们的用户。
• 将 Okta 扩展到任何用例:利用 Okta 广泛的 API 解决任何复杂的身

份集成、数据或自动化挑战。运行脚本来修改用户数据，自动集
成应用程序，或与自定义工作流集成。
• 利用一流的客户 IAM (CIAM)解决方案:解放您的开发人员，让他们

专注于客户体验，而将身份留给 Okta。利用 Okta 作为所有应用程
序开发项目的“身份 with Okta 处理认证、授权和用户管理。
客户身份产品提供了对 Okta 身份云的编程访问，使您的开发人员能够

构建出色的用户体验，并以您可以想象的任何方式扩展 Okta。通过为
您的数字业务提供客户身份，Okta 可以解决您最复杂的企业架构挑
战。
采用 Okta 服务的企业通过使用云服务、内部应用程序、VPN、防火墙或
自定义应用程序，显著提高了用户与其应用程序交互的安全性和体
验，无论他们是员工、承包商还是客户。
有效性
IDaaS 提供商必须确保服务始终可用，以确保您组织的员工和客
户可以随时随地通过任何设备登录。
寻找一家 IDaaS 提供商，该提供商拥有强大的云架构、满足您业

务需求的全面服务级别协议(SLA ),以及包含服务实时监控和状
态信息的公共控制面板。
Okta 在以下网站实时发布服务可用性 https://trust.okta.com。
在本章中
从零到零信任
利用区块链技术
探索物联网 (IoT) 的身份挑战和解决方案
解决隐私问题
关注同类最佳的应用程序
第四章
向近处看
身份的未来
我
在这一章中，你将看到在不久的将来身份是什么样的，以及现
代身份如何帮助你跟上即将到来的创新。
零信任
移动和云计算的无处不在使得网络边界的概念——一个“可信
的”内部网络和一个“不可信的”外部网络——几乎过时了。在
这种新的现实情况下，组织必须安全地支持其用户的访问，无论
其位置、设备或网络如何。
为了解决这些挑战， John Kindervag 于 2010 年在 Forrester

Research 创建了零信任安全框架。零信任基于“永远不信任，
永远验证”的原则，这意味着适当的人在适当的环境中拥有对适
当资源的适当级别的访问权限，并且这种访问权限会被持续评
估。因此，身份和访问管理(IAM)是零信任框架中的核心技术和
关键，应该是实施零信任架构的组织的起点。
第 4 章展望身份的未来 37
Forrester Research 在其报告“Forrester Wave:零信任扩展生
态系统平台提供商， 2019 年第四季度”中将 Okta 评为“领导
者”俄克拉荷马州在一半的评估标准中获得了最高分。
分散 / 自我主权身份
在一个分散的或自我主权的身份模型中，个人自己管理他们的数
字身份。这种模式赋予个人对其账户和数据更大的控制权。自我
主权身份有三个组成部分:一个要求，其中个人坚持自己的身
份；证明——如区块链中的木块——用于提供主张有效的证据；
以及证明，其中系统基于所呈现的证据来确认声明。
今天，自我主权身份的一个常见例子是苹果 FaceID ，它在
iphone 上用于访问手机，在线购物，以及登录各种应用程序。
当最初为 iPhone 所有者设置 FaceID 时，索赔存储在本地设备
上。证据是用户的一组独特的面部特征，这些特征之前已经作为
设置过程的一部分与索赔一起注册，证明是 FaceID 软件对索赔
和证据的自动验证。
物联网
物联网(IoT)是指嵌入了电子设备、软件、传感器和网络连接以
实现高级功能和特性的“智能”设备网络。尽管物联网带来了许
多创新，但它也给访问控制和数据带来了更大的风险。
那么，物联网对我来说意味着什么？显然，物联网设备需要得到
正确的识别和认证，而云是唯一能够提供支持全球数百亿设备的
目录服务和访问控制所需的强大可扩展性的平台。
事实证明，物联网也可以成为解决方案的一部分。 IDaaS 解决方

案可以利用 Apple Watch 等可穿戴设备作为一个因素
在自适应多因素身份验证(MFA)中，提供推送通知来验证访问请
求。
全球范围的隐私
欧盟(EU)通用数据保护条例(GDPR)、加州消费者隐私法(CCPA)和
澳大利亚隐私原则(APP)等隐私法规为个人定义了更大的隐私权
利，并为全球组织带来了越来越多的法律和合规性挑战。
许多隐私法规的一个方面是要求同意数据(如法律协议和营销信
息)由消费者收集、定期审查和重新确认，并提供用于特定的处
理目的。此外，在获得同意后，组织必须确保仅收集所需的最少
数据，并且仅用于合法和授权的处理目的。更为复杂的是，一些
同意(如营销请求)可以被用户撤销，而其他的，如法律协议，则
不能。
管理许可要求组织跟踪记录在多个系统和数据库中的多项法规和
客户数据。客户数据平台(CDP)和 IDaaS 等解决方案有助于聚合
客户数据，并简化跨多个子处理器和系统的同意处理。
随着越来越多的国家提高其同意要求，同意管理将需要在全球范
围内支持隐私的解决方案。
身份自由
随着企业软件生态系统的增长和变得更加异构，企业正在寻找最
佳的应用程序来支持他们的工作人员和提高效率，同时保持控制
和安全性。组织越来越多地部署同类最佳的应用程序，如 Slack
和 Zoom，以及完整的应用程序套件，如 Office 365，即使它们
的功能重叠。
截至 2019 年 6 月，超过 77%的 with Office 365 客户也采用了同
类最佳的应用程序，如 Slack、Zoom、Box、AWS、Salesforce 或
G-Suite，这些数量一直在稳步增长。在 2018 年 10 月至 2019 年
6 月期间，Zoom 发现采用其解决方案的 Office 365 客户增加了
25%，这是 Okta 客户群中分析的最佳应用中最多的。 Slack 在
Office 365 客户中的增长也达到了两位数，从 11%上升到 31%，
这表明企业中最佳协作应用的竞争已经开始。
尽管组织内的用户通常会很快采用同类最佳的应用程序，但一个
重要的阻碍因素可能是身份和访问。为了推广同类最佳产品并避
免供应商锁定，用户需要一个 IDaaS 解决方案来保护对任何应用
程序的访问，而不考虑供应商或提供商。
IDaaS 如何与这些趋势相关联
世界处于不断变化的状态，但每个人都知道的一件事是，新的
IT 创新、威胁和保护身份的方法将继续发展。IDaaS 是为支持现
在和未来的变化而从头开始构建的。与传统身份和访问管理解决
方案不同，IDaaS:
通过保护用户的访问不受位置、设备或网络的限制，实现零信
任
支持开放标准并连接到提供自主身份的系统
保护和授权对智能设备使用的应用编程接口(API)的访问，并根
据物联网需求进行扩展
汇总客户数据并简化许可处理
跨多个子处理器和系统
提供身份自由，因此组织可以采用一流的技术，避免供
应商锁定
借助 IDaaS，您可以获得一个灵活的关键点，您可以轻松地连接
到它，并为您的组织在现在和未来部署新的创新。
个人资本管理其云环境
个人资本提供了一种“高科技、高接触性的个人投资方式”，通过
智能技术和智能人的联合力量带来财务透明度和信心。截至 2019 年
2 月，该公司管理着超过 90 亿美元的资产和超过 200 万个客户用户
账户。
为了支持业务的增长和规模，同时保持财务数据的安全，Personal
Capital 运营着一个强大的云架构。首席信息安全官 Maxime
Rousseau 表示，最初，该公司的身份管理策略过于复杂。
解决零信任基础架构访问
个人资本在亚马逊网络服务(AWS)上运行面向客户的应用程序和后端
服务。成功部署 Okta 后，下一步是保护对云基础设施的访问。
该团队致力于 Forrester 零信任模型，根据动态、实时的用户和设

备条件授予访问权限。Rousseau 说:“我们是一个现代的、云优先
的组织，没有传统的时间限制，这就是我们认为安全应该发挥作用
的方式。
然而，提供这种程度的监督并非易事。Rousseau 说:“动态地提供
正确的身份、角色、组和相关的公共安全外壳(SSH)密钥，同时不断
扩展不可迁移的基础架构，这是一项挑战。如果没有统一的访问控
制层，团队必须要么构建自己的连接组织，要么在其上添加附加访
问技术，这将带来采用、兼容性和可伸缩性问题。
一次幸运而及时的收购
为了利用 Okta 的认证堆栈，Personal Capital 团队选择了 ScaleFT 及

其零信任服务器访问产品，该产品与 Okta 集成在一起，提供了动态配
置功能。
ScaleFT 为 Personal Capital 的运营、安全、数据科学和工程团队提供了
一种无缝、安全的方式来访问关键的 AWS 基础设施。
当时，ScaleFT 正在经历验证其 Okta 集成的正式流程，该公司需要一

个 Okta 和 ScaleFT 的联合
(续)
(续)
客户确认集成按照记录运行。个人资本自愿成为共同客户，并帮助完
成了 ScaleFT 的 Okta 验证。“我们是当事人之间的第一个客户桥梁之
一，”Rousseau 说。
经过验证，Okta 进一步发展了合作伙伴关系，并于 2018 年 7 月宣

布，该公司将收购 ScaleFT，以将身份扩展到基础设施资源，并加速
其零信任平台的路线图。
这个声明对个人资本的团队来说是个好消息。今天，ScaleFT 服务器
访问产品被称为 Okta 高级服务器访问。它通过 SSH 和微软的远程桌面
协议(RDP)简化了 Linux 和 Windows 服务器的核心 Okta 认证工作流。
零信任—友好且安全
Rousseau 说:“Okta 高级服务器访问是个人资本的正确选择，因为

它简化了安全的服务器访问，同时消除了对额外技术、手动集成和
静态密钥的需求。通过用一种技术解决所有策略需求，个人资本避
免了脆弱的手动集成。
高级服务器访问提供零信任架构，保护个人资本的关键基础设
施。“就像个人资本一样，Okta 将一切与身份联系在一起，”卢
梭说。“高级服务器访问将用户设备绑定到经过身份验证的会
话，因此我们增加了在每个时间点每个设备和员工都值得信任的
保证。”
高级服务器访问消除了基础架构带来的大量传统运营负
担。Rousseau 说:“我们不需要担心账户同步，也不需要担心会被
窃取和/或滥用的静态凭证。”"我们可以看到谁在什么时候从哪台
机器访问了什么."
随着个人资本继续以先进的技术引领数字财富管理领域，Rousseau
对公司的基础设施准备就绪充满信心。“Okta 涵盖了身份和访问
管理，我们有了一个安全、可扩展的发展基础，”他说。“奥克塔
对我们来说是正确的选择。”
在本章中
保持简单的身份。。。和供应商
中立的
不仅仅是访问控制
用户
利用云服务模式
用可扩展、安全且用户友好的解决方案取代传统产
为未来做准备
第五章
的十项关键能力
现代身份即服务(IDaaS)
以下是的十项重要功能和业务优势
现代身份即服务(IDaaS)解决方案:
H
部署和使用都很简单。借助基于云的身份即服务(IDaaS)解决
方案，您可以在数小时内部署身份和访问管理(IAM ),并
与
申请只需几分钟，而不是几周。当您订阅服务时，解决方
案已经启动并运行了。不需要安装服务器。
它与供应商无关。IDaaS 普遍与应用程序集成。它通过超过
6，000 个目录支持云和本地应用、自定义应用、移动应
用、服务器和 API
预先构建的集成，防止供应商锁定。
第 5 章现代身份即服务(IDaaS)的十大关键功能 43
它超越了访问控制。IDaaS 在一个解决方案中提供多种服
务。这包括存储用户数据、提供自助帐户恢复和访问请
求，
自动化帐户供应和切断，实施工作流，并简化安全审计。
这些能力消除了 IT 人员执行的手动任务，降低了总体成
本。
它支持所有用户。IDaaS 可以在一个平台中管理所有用户。它减
少了所需的系统和供应商
安全身份和应用程序支持所有用户所需的集成数量。
它支持随用随付。IDaaS 是基于订阅的。您随着增长而付费。随
着业务的变化，您可以快速更改所需的许可证数量，从而降
低成本
灵活性。
它总是开着的，是最新的。IDaaS 由服务提供商定期更新，提供
安全改进和新的
功能，没有中断或停机时间。该服务还在实时仪表板上提供
实时可用性，使您能够专注于战略性项目，而不是手动修补
系统。
这是摆脱传统解决方案的一种方式。IDaaS 取代了来自
LDAP、Microsoft Active 的多个传统身份解决方案
目录，以及本地 SSO 和 MFA 服务器的活动目录联合服务(AD
FS)。用统一的服务替换这些系统，可以节省与供应商管
理、采购、手动集成、补丁、维护和支持相关的时间和资
金。
它具有可扩展性和灵活性。IDaaS 可根据需求动态扩展，
因此您无需为公司未来的增长预测、安装和修补基础
架构
几年。
很人性化。用户可以通过浏览器或移动应用程序从单个控制面
板访问系统，而无需使用多个凭据或虚拟专用网等附加系
统
网络(虚拟专用网)。
它经得起未来的考验。身份是许多创新的重要组成部分，包
括零信任、物联网(IoT)、隐私和自由以及许多其他创新
(了解更多信息，请访问
第四章)。如果没有一个能够解决未来可能存在的任何不确
定性的 IDaaS 平台，您的企业就无法启动这些计划。
这些材料是 2020 约翰威利父子公司。任何传播，分发或未经授权的使用是严格禁止的。
WILEY 最终用户许可协议
去…www.wiley.com/go/eula 访问威利的电子书 E U L A 。

Identity As A Service For Dummies Okta SpecialEdition

Uploaded by

Copyright:

Available Formats

Identity As A Service For Dummies Okta SpecialEdition

Uploaded by

Document Information

Original Title

Copyright

Available Formats

Share this document

Share or Embed Document

Sharing Options

Did you find this document useful?

Is this content inappropriate?

Copyright:

Available Formats

Identity As A Service For Dummies Okta SpecialEdition

Uploaded by

Copyright:

Available Formats

These materials are © 2020 John Wiley & Sons, Inc.

Any dissemination, distribution, or unauthorized use is strictly prohibited.

Understanding Identity and Why It Matters3

The Modern Identity13

The Building Blocks21

希腊字母的第 4 个字母身份即服务(IDaaS)的假人，Okta 特别版

为了大规模利用 IAM 服务和安全性，大多数组织正在采用来自云

图 1-1:身份和 IT 一直走在一起。随着 IT 的发展，将人和物与技术安全连接的需

后来，人们有了 iPhones 和笔记本电脑，开始更加动态地工作和

IAM 是身份识别的基础技术。IAM 执行以下重要的身份识别功能:

PAM 用一个中级跳马来补充 IAM。这个保险库保持共享帐户与超级用

为了支持其中的一些需求，组织可以在他们的 IAM 中增加身份治

面对所有这些趋势和挑战，AD 和本地 SSO 等传统身份解决方案无

将整个创意工作流程置于云端从根本上改变了 Adobe 的业务。几乎是一夜

它还改变了 Adobe 的身份和访问需求。Creative Cloud 的第一个版

对于 Adobe 来说，定制一种可扩展的方式来创建 Creative Cloud 和企业

Adobe 的产品团队并不是唯一一个处理认证问题的团队。到 2014 年

IT 服务高级经理 Den Jones 说，幸运的是，大约在这个时候，团队

在审查了他们的选项和 Okta 在行业中的记录后，Adobe IT 部门决定

在与 Okta 合作保护员工对云应用程序的访问后，Adobe IT 非常清楚

今天，Adobe 使用 Okta 为其所有企业客户提供全面的身份管理层，

为了让 Creative Cloud 用户获得成功(并让客户的 IT 部门满

• 与客户的企业身份系统(如 AD 或 LDAP)连接，这样 IT 管理员就不

• 将 Okta 功能集成到 Adobe Creative Cloud 的现有代码中

• 顶上有 Adobe 的商标

通过采用 SaaS 解决方案，如 IDaaS、组织和 IT

IDaaS 的目标与 IAM 相同:确保用户是他们所声称的那个人，并在

例 如 ， 考 虑 如 何 使 用 传 统 的 内 部 IAM( 如 Microsoft Active

图 2-1:IDaaS 如何与现代 IT 协同工作，以及它的好处。

IDaaS 解决了当今组织必须解决的许多身份挑战。 IDaaS 通过利

利用自适应 MFA(在第 3 章中讨论)和集中式 IAM 等功能改善组织

IDaaS 支持许多常见的身份管理业务用例(参见图 2-2 ),例如员

根据 Workday 和 SuccessFactors 等人力资源管理系统提供的

提供无缝体验:与合作伙伴的 IAM 解决方案进行本机集成，允许

比如你正在亚马逊上购物，或者在 Ins- tagram 上查看照片。在

此外，IDaaS 不是托管服务提供商(MSP)解决方案。MSP 通常代表您运行传统

在采用现代 IDaaS 堆栈时，许多组织会考虑淘汰其内部目录。在

例如，通过使用具有内置目录和配置的 IDaaS 解决方案，您可以

MFA: MFA 被认为是 SSO 最好的朋友。MFA 的使用提高了单点登

阅读 Okta 打破神话系列，了解有关 SSO 的更多信息，请访问

MFA 需要两个或更多因素来验证身份。例如，MFA 可能要求用户

MFA 的缺点是每次用户登录时都需要它会导致 MFA 疲劳。MFA 给

为了平衡安全性、成本和可用性，IDaaS 为不同的 MFA 因素提供

为了在不增加摩擦的情况下提高安全性， IDaaS 实现了自适应

借助资源调配，组织不仅可以使用 IDaaS 控制对系统的访问，还

工作流是一种 IDaaS 功能，它提供了超越帐户配置的自动化，允

IDaaS 将 IAM 的所有构建模块(目录、SSO、自适应 MFA 以及配置

Okta 目前有超过 6000 个预建的应用集成。

您可以使用相同的 IDaaS 解决方案来保护您的所有系统，从地面

IDaaS 以 软 件开 发 套 件 (SDK) 和 API 的 形式 提 供内 置 的 s so 和

此外，作为一个组织，您可以加入 API 经济:构建自己的 API，提

现代 IDaaS 解决方案保护和授权对 API 的访问，利用开放授权

Okta 在以下网站发布其应用程序目录 https://www.okta.com/

在现代 IDaaS 提供商中寻找以下中立标志:

一个广泛的生态系统(至少 5，000 个)的本地 IT 集成

客户身份产品允许您嵌入 Okta 作为身份

• 提供可定制的用户体验:利用 Okta APIs 和小部件创建全品牌登录流

• 将 Okta 扩展到任何用例:利用 Okta 广泛的 API 解决任何复杂的身

• 利用一流的客户 IAM (CIAM)解决方案:解放您的开发人员，让他们

例如，考虑如何使用传统的内部 IAM( 如 Microsoft Active

IDaaS 以软件开发套件 (SDK) 和 API 的形式提供内置的 s so 和

为了解决这些挑战， John Kindervag 于 2010 年在 Forrester