Authing中国信通院：2024云原生身份云 IDaaS 技术发展与应用白皮书

参编单位：北京经济技术开发区管委会、浙江省教育厅、高等教育出版社、万翼科技有限公司、长鑫存储技术有限公司、上海迈望信息技术有限公司、上海恺跃科技有限谢扬、郑凌、王辰凯、韩磊、仇保琪、杜岚、付哲、曾卫民、章俊杰、杨京峰、邓超、了前所未有的潜能。其中，云原生身份云服务（ 3 4 1 1 1 4 4 5 6 6 7 8 10 14 14 16 18 22 22 24 34 36 38 40 43 43 44 1一、全球云原生身份云市场发展概述（一）各国加速推进身份云战略，增大IDaaS建设投入美国发布一系列标准和规范，推动身份管理技术普惠化、标准化发展。美的标准指导了如何规划、实施和管理数字身份系统，确保身份管理的安全性和《欧盟电子身份和信任服务框架（eIDAS）》法规，促进了成员国之间的电子身份互认。通过eIDAS，欧盟各国可以使用统一的数字身份标准，实现跨国界字化水平。韩国政府通过与国内外领先的IDaaS提供商合作，实现了多因素认了“数字政府行动计划”，通过IDaaS技术实现了政府服务的数字化转型。日本的“我的号码”系统为公民提供了统一的数字身份，方便公民通过一个身份（二）云计算快速发展，全球身份云市场需求渐增长理已在全球范围内受到广泛关注，同时，随着大模型等技术的2来源：BusinessResearchInsights图1全球身份管理市场规模及预测（亿美元）3率高达四十三个百分点，Auth0的总收入4二、我国云原生身份云市场发展概述（一）政策指引云计算创新发展，IDaaS成为身份管理市场主流选择政策名称发布时间发布机构内容解读《“十四五”规划》2023年2月中共中央、国务院到2025年，数字经济迈向全面扩展期，数字经济核心产业增加值占GDP比重达到10%，数字化创新引领发展能力大幅提升，智能化水平明显增强，数字技术与实体经济融合取得显著成效，数字经济治理体系更加完善，我国数字经济竞争力和影响力稳步提升。《党的二十大报告》2022年10月全国人大推动战略性新兴产业融合集群发展，构建新一代信息技术等一批新的增长引擎。云计算作为新型数字基础设施，已成为新一代信息技术的核心引擎。《数字中国建设整体布局规划》2023年2月中共中央、国务院加强整体布局，按照夯实基础、赋能全局、强化能力、优化环境的战略路径，全面提升数字中国建设的整体性、系统性、协同性，促进数字经济和实体经济深度融合。《网络安全法》修订版2022年9月中共中央、国务院该法的修订版强调了网络安全和数据保护的重要性，包括对网络产品和服务的安全审查，以及对数据出境的安全评估等《个人信息保护2021年8月全国人大该法规定了个人信息的处理、存储和使用的5法》规则，以及个人在个人信息处理活动中的权利，如知悉、同意和撤回同意等。《移动互联网应用程序个人信息保护管理办法》2021年4月国家互联网信息办公室该办法规定了移动互联网应用程序（App）处理个人信息的规则，包括获取用户同意、处理个人信息的范围和方式等。（二）需求推动产业发展，我国IDaaS市场潜力巨大要求。其次，员工远程工作和自带设备策略的兴起，使得企业能力对于现代企业来说尤为重要。此外，日益扩大的网络安全时访问监控等高级安全功能，可以帮助企业抵御日趋复杂的网业对安全性和合规性的需求不断增长，以及云原生技术的广泛6（一）身份云技术落地方式多元化发展(SaaS)、平台即服务(PaaS)、基础设施即服务7（二）IDaaS向智能身份云不断演进2010年后，为了实现灵活的身份管理服务，各大厂商逐步开始向IAMSaaS化权相对较低。在此期间，随着云原生等技术的不断发展，PaaS化的IDaaS得以应运而生。PaaS化的IDaaS实现了身份云服务的容器化部署，实现了高可编排8制化开发和私有协议，逐步过渡到标准化、云端化，并最终实提供更加精细化和智能化的服务，支持更加广泛的应用场景，（三）多样化需求推动IDaaS功能愈加丰富一个现代化的IDaaS平台应具备广泛的功能覆盖和灵活的扩展能力。它不仅需要满足用户的基本的身份需求，还要确保系统的安全性和可靠性。通过可配置化、自动化和智能化的设计，IDaaS平台能够大幅提升身份管理的效率和灵活身份管理的关键工具，身份认证与授权管理、用户管理与自主服务、安全与合规管理、平台扩展与集成能力是现代IDaaS的核心功能。其核心功能具体9功能性：实现基于角色（RBAC）和基于属性（功能性：记录用户和管理员活动以及系统事件的详细日志，支持安全审计和合灵活管理：提供灵活的配置和管理工具，支持多租户环境下的统一管理和监控。快速响应：第三方系统可以快速检测和响应IDaaS业务事件，提升系统资源利功能性：通过低代码和可视化的工作流配置，实现用户生命周期的自动化处理。功能性：通过应用网关提供统一的入口控制和流量管理，实现老旧应用的免改（四）IDaaS助力企业各部门效能提升云原生架构在IDaaS中的应用，通过开发者友好、低可扩展、可编排、事件驱动和微服务化的特点，为不同企业部门带来了显著的用户体验和业务价值提升，帮助企业落地数智化转型，共同推动企业更高效、对核心业务部门的价值：云原生IDaaS平台提供便捷的权限管理，通过直观的低代码配置和用户自助服务能力，核心业务部门可以快速管理和调整用户权限，灵活应对变化需求。通过快速配置和自动化工作流，确保核心业务部门能够高效运行，减少等待时间。云平台支持业务扩展通过灵活的权限管理和实时资源调整，支持新业务和项目的快速上线和扩展。通过提供一致和安全的用代码/无代码平台，允许开发者通过拖拽组件和配置表单快速创建身份管理流程。在业务价值方面，IDaaS能够快速响应需求，开发和部署新的身份管理功能，响应业务需求变化，缩短交付周期。云原生IDaaS平台的灵活性和适应性使得开发者能够快速响应业务需求变化，进行功能扩展和调整，从而提高生产力，对安全部门的价值：云原生IDaaS平台提供可编排的安全策略，安全团队可以利用可视化的工作流工具轻松配置和调整身份验证和访问控制策略。通过统一的身份标识，安全策略能够覆盖所有用户和应用，确保策略的一致性和可操作性。安全团队可以快速定义、测试和部署安全策略，实时响应安全需求。实时事件驱动功能支持实时安全监控和响应，确保所有基于身份的操作都能被实时检测和处理。通过统一的身份标识，系统能够实时监控用户的登录、权限变更、资源访问等操作，及时发现异常行为。安全团队可以设置自动化的响应机制，例如锁定账户、强制多因素认证（MFA以快速应对潜在的安全威胁。对人力资源部门的价值：在用户体验方面，云原生的低代码身份管理使得HR人员可以通过直观的界面管理用户身份和权限户提供员工自助服务功能，简化用户注册和身份验证流程。在业务价值方面，动操作和错误。自助服务和单点登录功能提升了员工的工作体验和效率。自动化流程降低了行政负担，使HR人员能够集中精力于核心业务。过这些云原生能力，IDaaS平台不仅提升了HR部门的管理效对法律和合规部门的价值：在用户体验方面，云平台透明的合规管理通过详细的合规报告和审核日志，使法律和合规部门可以实时监控和分析身份管理服务的合规性。自动化合规检查支持自动化的合规检查和提醒功能，确保企业通过自动化合规流程和实时监控，降低因人为错误导致的合规风险。全面的审计日志和报告功能提高了审核效率，简化了合规审核和内部审计流程。详细的合规记录和证据增强了法律保障。通过这些云原生能力，IDaaS平台不仅提升了法律和合规部门的管理效率，还有效降低了合规风险，增强了企业在法律和l从单一身份场景到多元身份场景：伴随着企业业务规模的变化和l增强的安全性和合规性：IDaaS采用强微软AD域服务是传统身份管理平台的典型代表，在本地化IT架构时代拥有较高的竞争优势和市场占有率。但伴随着杂化，基于云原生架构的IDaaS相较于传统目录服务（如微软AD）在开放微软AD：尽管微软AD提供了一定的开放性，但其生态系IDaaS：采用云原生架构，具备强大的扩展性。可以根据微软AD：扩展性相对有限，特别是在大规模环境下需要复杂的配置和管微软AD：性能在小规模和中等规模环境中表现良好，但微软AD：前期部署成本较高，包括服务器硬件、软件许可和配置管理。为现代企业身份管理的理想选择。相比之下，微软AD更适合以微软生态系统四、IDaaS核心技术概述（一）身份协议技术的演进历史步和用户需求变化，都推动了身份协议技术的创新和改进，也同步推动着在PC时代，身份管理主要集中在本地设备和局域网内，依赖于AD和LDAP等协议。这一时期的身份管理以内部网络为主，强调局域网内的安全和跨应用的访问需求不断增加。为适应这一变化，OAuth2.0和OpenIDConnect（OIDC）等协议应运而生。这些协议使得用户可以在不同的应用和服务之间实现单点登录和授权访问，极大地提升了用户体验和身份管理的效率。进入移动随之进一步发展。系统跨域身份管理（SCIM）标准简化了用户身份信息在不同系统之间的同步和管理。去中心化身份（DID）技术通过区块链赋予用户对其身份数据的完全控制权，增强了身份管理的安全性和隐私性。同时，无密码认证（FIDO）技术的推广，使得用户可以通过生物识别等无密码方式进行身份验身份协议技术的不断发展不仅提升了身份管理的安全性、灵活性和用户体灵活性、扩展性和可靠性，是IDaaS平台技术演进的趋势。开发者友好与低代码可配置化使得开发者能够在熟悉的环境中高效开发，降低了学习成本并加快了开发进程。可嵌入化与可扩展设计确保系统能够灵活集成各种第三方应用，支持业务的快速扩展和个性化需求。可编排与事件驱动架构提升了业务流程的灵活性和响应速度，确保系统能够实时处理和响应各类事件。微服务化与易部署设计简化了系统的部署和运维过程，提高了资源利用率和系统的适应性。高可用性设计则提供易用、文档齐全、示例代码丰富的API/SDK，符合RESTful或的开发文档、教程和支持渠道。集成常用的开发工具、IDE插件和框架，支持提供直观的拖拽式配置界面和常见配置模板，简化认证流程、账号数据同步、安全规则等配置过程。集成可视化规则引擎，允许管理员通过简单的条件和动作配置复杂的业务规则。实时预览和反馈功能、版本控制和回滚功能，帮设计灵活的插件架构，集成脚本引擎，提供自定义界面和工作流程的能力。支持与第三方业务系统的集成和数据交换，通过配置文件和模板进行系统定制。采用水平扩展架构、分布式数据库和文件系统，利用缓存和消息队列提高系统性能。容器化和微服务架构确保功能模块化，自动化监控工具和弹性伸缩策略采用工作流编排调度引擎实现业务流程的可编排和可调度管理，提供直观的可视化配置界面。支持拖拽式操作，模块化管理业务流程和数据流程，集成采用事件总线和消息队列机制确保事件的可靠传递和处理，集成事件持久化和重试机制。实时监控和告警系统，根据事件流量和负载情况动态调整事件Kubernetes等编排工具管理和调度微服务。集成服务注册与发现机制，使用API网关进行请求路由和负载均衡，采用轻量级的通信协议和消息队列。集成监控使用容器化技术、自动化部署工具和CI/CD管道，确保应用在不的一致性和可移植性。采用基础设施即代码（IaC）工具，通过代码管理基础设施配置。集成自动化监控工具和告警系统，建立备份和恢复机制，确保系统的通过冗余设计和多区域部署、负载均衡和自动化故障恢复、分布式架构和容器编排，实现系统的高可用性和容灾能力。集成自动化监控工具和告警系统，定期备份和灾备演练，持续优化和测试系统性能和稳定性，确保系统在高负载通用IDaaS核心技术架构是一个多层级的架构，旨在为企业提供安全可靠的身份管理解决方案。它涵盖了基础设施、中间件、应用管理、统一身份管理、中间件层包括数据库、消息队列、缓存等组件，为上层应用提供数据存储、消息传递和缓存等功能。应用管理平台负责管理IDaaS应用的部署、运行和监控。统一身份管理负责管理用户身份信息，包括注册、认证、授权等功能。应用集成负责将IDaaS与其他应用系统进行集成，实现统一身份认证和授权。网关管理负责对用户访问进行控制和防护，确保系统的安全性和稳定性。研运一体化包括DevOps、持续集成、持续交付等工具和流程，帮助企业快速开发和部署IDaaS应用。身份自动化负责自动化身份管理流程，提高工作效率并降低安全租户共享、分级分权管理、基于API/SDK的快速接入、租户个性化管理和独立租户间隔离：确保不同租户的数据和操作完全隔离，防止信息泄露和数据跨租户共享：在确保隔离的前提下，支持母公司与子公司之间共享通用资分级分权管理：实现多层次、多角色的权限分配和管理，确保权限管理的租户个性化管理：允许租户根据自身需求，自定义管理和配置其身份体系，独立管理后台：为每个租户提供独立的管理后台，租户管理员可自主管理4.服务和数据的物理隔离：在每个租户的命名空间中，认证服五、现代化IDaaS身份云落地建设方法论（一）身份云平台赋能多场景下身份管理Directory等）也是重要的一步，并考统提供的功能和服务，包括身份认证、访问控制、单点登录、计和报告等。同时，需要评估现有系统的性能、稳定性和扩展目标和优先级，例如提升安全性、简化管理、支持云原生应用动化数据同步，包括API接口，数据库，LDAP协议，自动化脚本等多种案。首先，需要评估现有AD/LDAP环境，进行功能和使用情况分析，确定当迁移至IDaaS的主要目标，如是否和现有的A统对于AD的依赖性较强，除了身份及设备管理相关功能外，还包括组策通过以上步骤和考虑因素，您可以有效地从传统的AD/LDAP环境迁移到（四）云原生IDaaS平台建设误区与难点在构建云原生IDaaS平台时，过度定制化的功能设计往往会针对用户不同业务需求和功能需求进行过度定制，导致系统架构复杂，增加集成和维护难度，进而增加开发和测试成本，降低系统的可靠性和稳定性。过度定制化可能带来高昂的维护成本，特别是在更新和升级时需要额外的资源和努力，难以及时修复和更新可能导致的安全漏洞或性能问题。此外，过度定制化还可能导致技术债务积累，影响平台的长期可维护性和扩展性。为了避免这些问题，建议在设计阶段进行详细的需求分析与权衡，确保定制化功能具备明确的业务价值和回报预期，同时采用模块化设计、严格的开发和测试策略，并始终考虑安全和合同时，构建云原生IDaaS平台时，忽视老旧应展性的架构设计、忽视身份平台基础设施的重要性、忽视用户体验与自助服务、忽视与企业业务流程的融合以及忽视安全性与稳定性，都会导致一系列误区和难点。面对老旧应用的集成需要全面的现状评估和定制化的集成方案，设计一数据流动和安全性等方面。采用模块化和微服务架构、弹性计算和自动化运维，的长期扩展性。将身份管理平台视为企业基础设施的核心组成部分，采用最佳的安全实践和技术解决方案，并实施高可用性、容错性和自动化恢复能力的架构，确保系统在面对故障或攻击时能够快速恢复和保持稳定。通过深入分析和理解企业业务流程需求，确保平台能够与之紧密融合，提供定制化的身份管理解决方案，支持灵活的配置和管理，并定期收集用户反馈和业务变化需求，持续优化平台功能和性能。最终，确保平台设计和运营符合相关的法律法规和行业标准，进行定期的安全审计和合规性检查，加强对安全措施和最佳实践的理解和执行，从而有效应对云原生IDaaS平台建设中可能出现的误区和难点，确六、行业实