从内容聚合的互联网时代,到沟通、娱乐及交易的全面在线化,数字身份不断演变,成为用户与企业之间信任的基石。用户的身份信息不仅仅是一串数据,更是建立信任、实现互动的重要桥梁。无论是频繁经历并购的大型企业,适应不断变革的中型企业,还是快速成长的初创公司,大多数企业 IT 团队都需要处理大量的身份治理工作,但这些任务并不仅仅是简单地创建或删除用户账户。面对纷繁复杂的信息系统和多样化的业务需求,如何高效且安全地管理用户身份成为企业亟待解决的核心难题。

01.身份治理的复杂性

多元化权限需求与角色变迁

多元化的权限需求与角色变迁是信息安全管理中的一大挑战。组织内通常拥有大量用户,每位用户的访问权限需求可能因其工作性质而异。财务部门的员工可能需要访问财务系统,而市场部门的员工则需访问营销工具。随着员工职位或角色的变化,原有的权限设置往往需要随之调整,以确保信息安全与高效运营。对于动态权限管理要求企业具备灵活且高效的身份和访问管理系统,以实时更新权限,避免潜在的安全隐患和操作失误,保障业务的顺利进行。

多系统协同难

随着企业业务的不断扩展和复杂化,涉及资源共建共享和跨部门协同协作等,许多组织依赖于多种不同的系统和应用程序来支持日常运营。这些系统各自拥有独特的身份验证和授权机制,使得统一管理身份信息变得复杂,难以快速处理。不同系统之间可能存在信息孤岛,导致用户在不同平台上需要重复注册或管理多个账户,增加了用户的负担和安全风险。企业中经常出现信息和数据更新的不同步甚至不一致,导致企业工作效率的降低和运营成本的上升。在处理敏感数据时,缺乏统一的身份管理策略可能使企业面临合规性挑战。

异构环境下治理难

随着云计算、混合云和本地部署环境的广泛应用,企业面临着日益复杂的身份治理挑战。在异构环境中,不同平台和技术栈可能使用各自独立的身份管理系统,身份信息的分散且难以整合。不仅增加了身份治理的复杂性,而且跨环境的合规性和安全性难以保障。异构环境下的数据流动性和动态变化要求企业能够实时监控和调整身份治理策略。然而,传统的身份管理往往无法满足这种需求,导致企业面临信息滞后和响应不及时的困境。企业需要借助先进的身份和访问管理解决方案,以实现跨平台的身份同步、集中控制和审计跟踪,有效降低安全风险并提升运营效率。

02.身份自动化治理成为企业首选

要解决这类复杂性难题,自动化治理是企业绕不开的选择。身份自动化(Identity Automation)是指通过技术手段,自动化地管理企业内部和外部用户的身份信息及相关权限,从而提升效率,确保数据的准确性和安全性,降低人为操作带来的风险。Authing 自动化具有强大的数据处理(ETL)能力和灵活的流程控制能力。企业可以像搭积木一样,根据场景需求自定义配置具备对数据处理的工作流,为用户提供用户身份和员工身份管理领域可开箱即用旅程配置模版,基于模版快速实现员工入、转、调、离全生命周期业务的灵活配置。目前包含以下形式:

Pipeline

Authing Pipeline 是一组运行在云端的用户自定义 JavaScript 代码,允许开发者在认证流程中灵活地插入自定义逻辑。Authing Pipeline 函数均为用户可自定义,同时我们还提供了丰富的函数模版,帮助开发者快速上手开发。开发者可以对用户的身份验证过程进行深度定制,满足特定的业务需求。在用户成功认证后,开发者可以使用 Pipeline 来生成和添加自定义的 id_token,以便在后续的请求中传递特定的信息。
同时 Pipeline 为一组函数,和普通 Hooks 的区别在于,Pipeline 整个流程中的函数数据可以相互传递,实现工业流水线一样的效果。这种设计模式,可以使得开发者的自定义函数更加模块化,便于管理。企业能够在复杂的业务场景中,实现更精细化的权限管理。Authing Pipeline 后端使用 serverless 架构,所有的用户自定义代码均运行在云端,保证不同租户之间的隔离性,能弹性伸缩,既保证了安全性,又提升了运行效率。


您可以根据不同的触发场景,选择相应的代码模板,一键生成定制化的 JavaScript 代码。Authing 的 Pipeline 功能允许您在用户身份验证和授权的各个环节中插入自定义代码,从而灵活地扩展系统的功能。在实际应用中,开发者只需选择适合的触发场景,如用户注册、登录或权限变更,根据业务需求进行代码定制。通过 Pipeline,企业可以轻松实现实时的数据处理和决策,确保用户体验的流畅性和安全性。这种自动化的代码生成方式,也大大减少了手动编码的错误风险,提高了整体系统的可靠性和可维护性。


应用场景
借助 Authing Pipeline,开发者可以实现以下功能:

白名单机制:如注册邮箱后缀白名单、注册 IP 白名单等。

事件通知:如用户注册之后发送群通知、用户登录 IP 异常通知等。

权限控制:如用户登录之后根据邮箱将其加入某用户组等。

扩展用户字段:如给该请求用户添加自定义 Metadata 等。

自定义 token:如往 token 中加入自定义字段等。

... 还有更多,想象空间是无穷的。

WebHook

WebHook 是基于事件驱动的方式,它能有效减少不必要的轮询请求,从而优化系统性能,降低带宽消耗,帮助企业更好地管理用户活动和数据流动。WebHook 允许你实时监听用户在系统中的重要行为,如注册、登录、密码重置、邮箱验证和用户信息更新等。当这些特定事件被触发时,系统会自动向你预先配置的自定义回调地址发送事件通知,帮助开发者能够迅速响应用户行为,进行自定义处理,比如更新数据库、发送通知、记录审计日志或触发其他业务逻辑。通过 WebHook,企业可以实现更高效的自动化工作流,提升用户体验并加强系统间的集成能力。


Authing 提供了数百个可自定义的触发事件,企业可以通过填写表单,根据自身的具体需求选择相应的 Webhook 事件。企业能够精确响应用户行为,实现个性化的事件处理和自动化流程。灵活的配置选项使得企业可以根据不同的业务需求调整 Webhook 的触发条件和处理逻辑,确保每个事件都能得到适当的响应和处理。无论是在客户关系管理、数据同步还是安全监控等场景中,Authing 的 Webhook 功能都为企业提供了强大的支持,确保触发事件顺利进行。

身份自动化

Authing 身份自动化平台是基于事件驱动的下一代身份领域业务策略和数据策略的可视化工作流编排平台。旨在满足客户侧多元的针对用户目录、组织架构、登录认证、安全管理等功能灵活性的配置需求,能够进一步以面向变化设计系统架构、敏捷迭代的原则,支撑客户纷繁复杂的身份和组织架构自动化管理需求。

Authing 身份自动化平台可以帮助企业免除身份和账号管理过程中繁杂的定制化开发过程,基于下一代「低代码、无代码」的设计理念和可视化、拖拉拽的配置方式,快速构建和管理您的身份管理工作流程,大幅降低企业内部身份管理成本及身份安全风险。平台为用户提供用户身份和员工身份管理领域可开箱即用旅程配置模版,你可以基于模版在编排画布中快速实现员工入、转、调、离全生命周期业务的灵活配置。例如:在员工入职时可以帮助员工自动化在应用程序中快速为员工创建身份、分配访问权限及通知相关方。并且可以在员工离职时自动化进行账号的锁定、冻结或者删除。

03.最佳实践:某知名企业

需求挑战

  • 企业正处于快速发展阶段,为了确保研发实验室的数据安全、网络安全、员工身份安全以及通信安全,企业迫切需要一套集成化平台。这套平台不仅要整合各种企业应用,还需集中管理员工数字身份、授权管理以及 IT 审计合规等关键功能。
  • 企业依赖于传统手动运维。每次员工调动都需要在多个系统和部门中手动调整权限、账号等信息,甚至一次组织架构调整也需花费长时间协调。一次组织架构调整可能需要多个部门长时间协调配合,低效且耗时耗力。
  • 现有的 SaaS 应用无法满足企业对数据安全的高标准要求,尤其是在研发实验室等关键领域,缺乏有效的控制措施,容易导致数据泄露或损失。

解决方案

  • 通过将其他业务平台统一集成至 Welink 业务工作台,实现基于 Welink 身份的免登功能,简化员工的日常办公流程。并且将各个系统的关键(模块如请假、打卡、审批、招聘、采购申请等)嵌入 Welink工作台,可在一个平台上轻松访问员工所有业务功能。
  • 管理员可以通过身份自动化功能,在员工入职时可以帮助员工自动化在应用程序中快速为员工创建身份、分配访问权限及通知相关方。并且可以在员工离职时自动化进行账号的锁定、冻结或者删除,代替企业内部 IT 系统在身份和账号权限管理过程中高成本易出错的人工操作过程,支撑客户纷繁复杂的身份和组织架构自动化管理需求。
  • 企业通过搭建自定义身份自动化工作流,根据自身特定的业务场景和安全标准来构建专属工作流。企业可以选择启用或禁用特定功能模块,并在触发特定事件时,使用 Webhook 自动向指定地址发送通知,确保相关人员及时获取信息,减少人工操作,提高检索效率,降低数据泄露风险。