官方公众号企业安全新浪微博
FreeBuf.COM网络安全行业门户,每日发布专业的安全资讯、技术剖析。
FreeBuf+小程序
- 关注
账号密码
除了一些官方宣传网站可以直接访问而无需登录外,日常人们能接触到的各类 APP、应用系统无不需要通过账号+密码的认证方式登录之后方可正常使用。围绕这一小小的账号,就有无比丰富而热闹的商业生态。其中不乏像 Okta 这样的百亿美金市值巨头,也有还未上市但估值几十亿美金的新秀,如 1Password 和 Lastpass。
这里提到几家都是国外的账号服务类企业,国内也有不少,以竹云、派拉、Authing 等为代表,都还在追赶国外同行的路上。虽然大家都算是在账号这一大的赛道里,各自面临的商业环境,针对的客户人群,解决的痛点都还有差异,最终是否能殊途同归,取决于各自商业化的进程和效率,现在还无法给出确切的判断。
企业名称 | 公司归属地 | 官网 | 主要客群 | 定位 | 定位 |
|---|---|---|---|---|---|
Okta | 国外 | https://www.okta.com/ | 2B | IAM | 企业账号权限管理,无密码登录 |
1Password | 国外 | https://1password.com/ | 2C、2B | Password Manager | 账号密码高效管理,有密码登录 |
LastPass | 国外 | https://www.lastpass.com/ | 2C、2B | Password Manager | 账号密码高效管理,有密码登录 |
竹云 | 中国 | https://www.bamboocloud.com/ | 2B | IAM | 企业账号权限管理,无密码登录 |
派拉 | 中国 | https://www.sso360.cn/ | 2B | IAM | 企业账号权限管理,无密码登录 |
Authing | 中国 | https://www.authing.cn/ | 2B | IAM | 企业账号权限管理,无密码登录 |
账号类服务的差异化定位
从上面的表里很难看出不同账号管理类产品之间的差异,都定位是企业服务,都叫 IAM,但现实是各自的真实落脚点差异巨大。要理解账号管理类服务的差异,得先回到账号附属于的应用本身,才能窥见实质。
依照应用本身账号的实现方式,和应用开发者的角色两个维度进行区分,我们分成下面这三类。
第三方的含义
专业的应用开发商,开发了一款应用,卖个其它企业使用。如阿里巴巴作为第三方,开发了钉钉这样的产品,卖给其它企业使用。市面上常见的各种 CRM、ERP、在线文档、IM 等都是面向 B 端的应用,站在 B 端企业的角度来讲,这些都是第三方应用。
自研应用
企业自己投入研发资源开发出来,或者采购第三方应用来本地化部署在企业内部,给自己内部团队使用的系统,比如常见的内部运维系统等等。
标准应用
应用账号认证是个很常见的操作,几乎所有应用都需要实现这个功能,因此行业内有专门为账号认证制定标准的一些协议,只要应用本身按照标准的协议来实现自身的账号认证的功能,这样的应用这里就叫做标准应用。常见的张账号认证协议有 LDAP、CAS、OIDC(基于 Oauth2.0)、SAML,以及 Kerberos。有一点易于判断某个应用是否支持了标准账号认证协议的表现,就是看其是否支持了主流的一些大账号认证,如国外的Google,Microsoft,Apple账号,国内的钉钉、企业微信账号。
非标应用
相对于标准应用,那些不支持标准账号认证协议的就是非标应用,通常只支持自己创建的账号密码认证。
国外的 IAM 很幸福,国内的很苦逼
各个账号服务类产品,落地的市场的情况,参考下图(非技术视角,而是大致的市场现状)。OKTA 在海外市场,占据了第三方标准应用和企业自研应用的接入场景,撑起了100亿美金的市值。
国内的各家 IAM 服务,基本蜷缩在企业内部应用场景,这里大家肯定要质疑了,技术都差不多,凭什么国内的 IAM 反而没有占据第三方标准应用的账号接入市场呢?
这就要说到国外(欧美代表)与中国的实际市场环境差异了,欧美市场的各类应用服务,账号标准化程度很高,普及率大,就如同上面的 Evernote,基本都支持 Google、Microsoft、Apple几大账号,通过 OKTA 进行集成的时候,只需要在后台简单配置即可,真正做到了零代码开发完成账号对接和集成。反观国内的各大应用,自身应用账号认证的实现,几乎都不参考标准协议,自研一套做法,导致无法被第三方集成。这就导致了国内的 IAM 产品,即使技术方案是具备的,但并无第三方应用可接,只能缩回到企业内部,帮助企业去改造内部系统,以 SDK 的形式进行改造系统。
极具中国特色的钉钉、企微账号
我们先尝试站在欧美企业用户的视角感受一下应用生态的体验,假设我是一个普通的企业员工,我同时使用了Office365、Dropbox、Slack、Salesforce,所有应用里都集成和使用了Office在线文档的能力,我的体验是一个Office365的账号走天下,只需登录一次就可以在所有应用里方便的免密授权享受在线文档的功能,我能在Office365的办公空间里直接编辑和查看Dropbox的文件,可以在Dropbox的应用里直接启用Office,账号都是通的,数据都是共享的。这就是统一认证和授权的一大好处。
有人要问了,咱们国内的各大应用不是也都支持了钉钉,企微的账号登录吗,就比如纷享销客:
使用过的企业应该特别清楚,国外的一个企业服务相对纯粹,比如网盘内的Dropbox,不管在哪个应用里打开,都是这个Dropbox。但是国内的企业面对的是 SaaS版本纷享销客、钉钉版本纷享销客、企微版本纷享销客,未来可能还有更多版本的纷享销客。
这三者之间可以说是完全不同的服务,账号与数据均不打通。这当然不是纷享销客的锅,其实他也是受害者而已。阿里,腾讯以及未来别的大平台,以自身大流量为资本,大有挟天子以令诸侯的味道,要求各个服务商在自己的生态里闭环数据和服务。表面上看起来应用都支持了这些标准账号,实质只是来区分不同版本服务而已,通用的 IAM 产品根本不能如同国外 OKTA 一般轻易完成应用的账号集成支持。
1Password、Lastpass
上面图中看似 1Password 的实用性更强,所有场景都用得上,怎么还比不上 Okta 的市值和影响力呢。这其实还是产品定位问题,1Password 只是帮人记住密码,登录的时候自动填写(代填)或者由用户自己把密码拷贝出来再去登录应用。本质上解决的是个人多应用账密管理的效率和密码安全,主要面对的还是 C 端个人用户,收费也较企业客户低得多。Okta 作为 IAM 产品,除了账号认证和管理外,还提供了其它很多应用级的功能,比如功能权限,应用分析,应用安全等,面向的也是付费能力更大的企业。
账号管理解决的是安全还是效率问题
针对企业的第三方账号管理类产品服务,核心解决的是企业的数据安全问题,还是办公效率问题,还是数据打通的问题。这几个维度之间的关系很巧妙,作为账号服务提供者多数打着安全的名义,但站在企业的角度,真正关心的顺序其实更倾向于 效率 > 数据 > 安全 。至于真正的安全问题,排在末尾,因为只要还有密码存在,那么安全并不能被有效解决,除非在账号类服务之外,企业再去叠加准入、设备绑定、用户行为分析等等安全措施。
- 0 文章数
- 0 关注者