都想做Okta?“九州云腾”要做国内最像的追随者
据了解,2016年我国信息安全产业收入达800亿元人民币,而身份认证领域已超过整体安全市场15%,即市场规模可达120亿元。并且根据预测,作为移动安全的入口,身份认证占比将超过20%,未来会达300亿元,也就是说,年收入超过50亿的大型身份认证安全公司将指日可待。
“九州云腾”是身份认证赛道上的玩家之一。
在身份认证领域,国外最强的是OKTA、Ping、Onelogin三家,其中跑在最前面的Okta已于2017年4月8日在纳斯达克上市,开盘当日股票大涨38.29%,市值总额达到21.4亿美元。 Okta在做的事情有两重属性:第一层是安全,判别“我是我”;第二层是权限管理,让“我”集中访问权限内系统。其中,单点登录技术(SSO)是技术核心,可以让用户一次性集中到一个中央应用进行身份认证,并自动认证其他的应用和系统。厂商将这项技术服务放到云端,也就是身份认证即服务(IDaaS)。
同样的,此前员工需要输入密码登录系统,而“九州云腾”上,用户通过九州云腾的统一入口,在手机端用指纹可激活数字证书,认证完成后员工不必再输密码,就能访问权限内的其他系统。在这个过程中,九州云腾先针对每个用户生成一对公私钥,还有IP、环境等维度的动态因子,“私钥+动态因子”组合即成为身份字符串,一次一密,然后再通过指纹触发到云端比对。而生成动态密钥的算法是每个企业不同之处,这方面, 九州云腾支持的是国密、google+等算法。
要实现如上功能,九州云腾还得做好的前期功课——对接企业各系统,但我们知道,除了市面上SaaS产品众多,企业内部很多应用都是定制的,对接起来不是易事。九州云腾CEO尚红林告知,对于SaaS产品,他们提供相对标准化的模版,企业只需要设置3-5个参数即可,对于定制软件,九州则有开发者平台来负责对接。
并且,各应用之间的还存在跳转、数据调用的请求,所以九州云腾针对需求提供了API的统一认证,即STS技术。例如,阿里云上的接口查询就是跟九州云腾合作的,通过阿里云的一个账户可以查各种接口数据,像开发者调用个人身份证号、企业工商信息等等,这种情况下是没有产品界面的,通过代码实现。
而在应用权限方面,分两种情况:“一级授权”决定用户在登陆后是否可以看到应用;“二级授权”决定用户在应用内的操作,是否能读取、删除文件模块之类。 拿到各应用的一级授权,只需要对接API接口就好,相当于把登陆页面转移,要拿到二级授权,则需要开发者在九州云腾平台上提前设置好,平台提供插件,当用户发送应用内请求时,会先去平台上询问一下。九州云腾目前大部分是一级授权,应部分客户需要也会做到二级。
尚红林举例,像快递企业,每个应用上线使用的时间不同,开发情况良莠不齐,导致前台人员都能看到数据甚至有人拿出去售卖,企业老板很头疼,这时候用九州云腾就可以做到统一的权限管理。不过,由于二级授权需要应用跟九州之间做深度集成,所以对已经开发完的应用不太适用,若开发新应用则会很快。
这样一来,企业主方面,通过身份认证管理能够有效保证跨多系统的用户身份一致性,并保证员工只访问自己权限以内的数据。而对各ISV来说也有好处,通常情况下应用开发商更关注业务逻辑,对安全等方面的处理相对粗糙,用IDaaS平台进行服务,一定程度上等于是外包了应用的安全、认证功能。“这也是国外的IDaaS这几年主要发展的方向,Okta收购Stormpath就是比较好的证明 ,”尚红林分享。
说到这里,继续来看身份认证做成的前提条件,拿Okta来说:第一,需要有成熟的SaaS市场,在美国企业有几十个内部系统是常态,这样做管理平台才有意义;第二,要分别跟供应商做对接,试想,各ISV系统复杂,在权限等级不同的情况下,要统一对接好在一个平台做管理肯定相当麻烦,但能做成便为壁垒。
相比之下,市场还在早期,Okta平台上接入了10000多应用,其中2000多SaaS产品,8000多私有部署,而现在只有2000多厂商在做软件,300多款SaaS产品。早期意味着机会,同时也存在风险。
而从对接平台的角度看,“钉钉”类产品貌似是最大的威胁。