日期 : 2020-07-29 22:24:00作者 : 中原锦绣

注册和认证是用户享受数字化服务的第一步。如果这些步骤不能满足用户的要求与希望，用户对服务的接受和认可度就会降低，从而威胁到整个数字商业的命运。身份 API 平台帮助企业建立一套标准化的解决方案，向企业提供统一身份验证服务。这样的平台是想要在数字时代取得成功的关键。

01 介绍

20 多年来，商业日益数字化，所有的数字服务本质上都是消费者和企业之间的接口，而这种关系的前提是：消费者最终将成为数字客户。

此时，企业面临的挑战来自于对未来客户身份的验证，以及完成一个注册过程，并在注册过程中避免客户的流失，提高付费客户留存率。

由于开发团队缺乏标准化身份管理解决方案，企业会在应用和服务中遇到复杂而麻烦的客户。如果开发人员在构建数字服务时自己创建注册流程，他们很少能够将必要的流程与良好的客户旅程结合起来。

为了简化这个过程，企业转向了标准化的身份管理解决方案。这样的服务层和系统通常称为身份平台或身份 API 平台。API 代表应用程序编程接口，也就是开发者可以用来调用核心服务的技术接口，比如用户认证、注册或其他与管理身份和客户旅程相关的任务。

虽然核心服务并不局限于身份管理，但身份 API 平台是高效、快速交付数字服务的基石。身份 API 平台结合了 IAM 、CIAM 和 IDaaS 功能，并通过 API 提供这些功能。

使用身份 API 平台的结果好处是显而易见的: 它们可以提供跨平台的身份管理。由于它们对开发人员友好，易于理解并适用于数字服务。

身份验证是个人与企业关系的中心，正确对待它是成功的关键。身份 API 平台必须成为组织 IT 战略的一部分，该战略统一了客户和其他实体的身份验证。仅仅使用身份作为一个点解决方案，或与数字服务形成 1:1 的关系是远远不够的；只有当所有数字服务使用相同的身份平台时，才能实现其方案的价值。

北京蒸汽记忆科技有限公司坐落于北京五道口，公司背靠清华北大，研发团队均来自于阿 里、字节跳动、滴滴等头部公司。我们的 Authing 是国内唯一同时拥有内、外部身份管理 IDaaS 的公司(CIAM + EIAM)。作为企业级的身份管理服务，Authing 不仅是软件商，更是政企的业务咨询伙伴，专注于客户成功。使用 Authing，组织 IT 管理员可以管理任何应用程序、人员或设备的访问。无论是顾客、员工或是合作伙伴，无论是在云上、本地或是在移动设备上，客户们相信 Authing 在帮助他们的 IT 变得更加安全，提高人员生产力并保持合规性。

02 注意

• 身份对数字商业服务和应用程序成功的核心作用
• 需要简化业务流程：从注册到认证，再到充实个人资料
• 身份识别 API 平台如何为应用程序提供标准化的身份识别方法
• 为什么身份 API 平台是数字基础设施中的战略性服务
• 选择身份 API 平台的最佳实践建议
• 身份 API 平台有许多好处
• Authing 方法，提供身份 API 平台
• 走向身份战略方法的行动计划

03 身份无处不在

创建数字服务始终围绕着管理消费者、客户和业务合作伙伴的数字身份。因为这是用户进入所有服务的入口，管理这些数字身份的能力是企业成功的关键因素。

20 多年来，商业日益数字化，远在这个词被广泛使用之前，数字转型就开始了。所有数字服务的本质都是将消费者、客户和合作伙伴与企业联系起来。企业试图与这些受众尽可能紧密地互动，向他们提供数字服务，并从传统的实体销售点转移到数字销售。

消费者最终将成为数字客户是一个转折点：从一个匿名的消费者变为一个已知的消费者，是数字身份生活的开端，也是真正商业关系的开端。

注册：数字服务的开端

此时，企业面临的挑战来自于对未来客户身份的验证与注册流程，在此过程中还需要避免客户的流失，提高付费客户的存量。无论是否使用应用程序或浏览器，绝大多数的案例仍然需要身份验证和注册流程——即使只是将外部身份映射到内部客户账户并添加一些数据，例如充实个人资料。

对于个人客户来说，这将导致重复注册，通常在一年内需要注册数十次来获得所需的数字服务。没人会喜欢这种恼人的方法，这就是为什么企业需要意识到、并努力去提供良好的用户体验。

减少重复注册和简化注册的工作十分复杂，然而这还不是全部的挑战。许多企业在数字化转型的过程中，往往会以一种不协调的方式创建各种各样的数字服务。而结果可能是许多服务并没有得到广泛应用。更糟糕的是，它可能会导致用户的重复注册，因为客户不能使用他已经获得的数字身份。

控制客户的身份信息

从一个匿名消费者到一个已知的、高频率消费者的过程是充满挑战的，原因有很多。其一，许多企业认为他们必须掌握客户的全部行踪，而这在当今的互联数字生态系统中是不现实的。

让我们来看看一个基本的客户行踪: 首先，一个人对其设备 (如智能手机) 进行身份验证。这款智能手机还可以用作访问应用和服务的身份验证器。身份验证由身份提供者 (IdP) 处理，它可以是内部身份系统，但也可以是外部。如果使用外部 IdP，则该标识将映射到由企业管理的标识记录，其中可能包括额外跟踪数据，以更好地掌握客户的行为。最后，还有在 ERP 和 CRM 系统中保存的客户记录。

有很多方法可以打造客户的上网旅程，让他们选择如何进行身份验证是成功的关键。如果身份验证的过程过于繁琐，人们就会放弃它。今天的标准和服务提供允许选择——设备的选择和身份验证者的选择。

复杂而麻烦的客户管理的另一个原因是，缺乏可以轻松使用的标准化身份管理解决方案。通常，开发人员不是身份识别方面的专家，并且面临着构建整个应用的巨大压力。这意味着良好用户体验、安全性或其他关键元素要么被忽视，要么被牺牲，这将给业务带来风险。

当没有标准的、容易使用的解决方案时，身份验证对数字服务的快捷开发是一个挑战。由于身份对每项数字服务都至关重要，因此提供在标准化平台上运行的身份服务是每项数字业务的必备条件。

04 从点解决方案转变为战略身份平台

身份 API 平台是现代 IT 和 IAM 基础设施中必不可少的战略性服务，它可以通过 API 层公开标准服务，并且将身份从单个应用中解放出来。

身份管理的核心系统通常称为身份平台或身份 API 平台。API 代表应用程序编程接口，也就是开发者可以用来调用核心服务的技术接口，比如用户认证、注册或其他与管理身份和客户旅程相关的任务。

下列展示了在现代数字化商业中身份验证的三个基本范式的一部分服务:

1. 微服务和容器: 具有价值和功能的微服务是软件结构体系的核心。这不仅包括用于业务功能的服务，还包括底层功能，如身份验证、用户管理、加密或其他身份和安全服务。对于现代应用程序，应该作为跨多个应用程序的标准组件交付。对微服务的依赖不仅允许提供标准服务，例如身份认证，而且还允许在各种部署模型中实现高效交付，并基于容器，甚至无服务器的基础设施进行扩展。
2. 隔离验证、应用程序和数据: 身份信息不能只存在于单个的应用中，其数据也应该进行隔离，以便多个应用程序和服务可以都可以使用；这种隔离会自动产生单独的身份验证服务。
3. 身份 API 层和平台: 这种架构需要身份后端服务，即身份 API 平台，它们将其服务以 API 的形式公开。然后，应用程序可以使用这些服务，而不是重新自建身份服务。

以敏捷的方式交付数字服务依赖于遵循这些范例。敏捷开发需要强大的应用程序体系结构和经过深思熟虑的核心服务的已建立的框架。

敏捷开发需要强大的应用程序架构和经过深思熟虑的核心服务的已建立的框架——以身份解决方案为中心

虽然核心服务并不局限于身份管理，但身份 API 平台是实现高效、快速交付数字服务的基石。因此，身份识别应该被视为支撑所有 IT 基础设施的战略服务。

05 数字转型和身份 API 平台的好处

身份 API 平台帮助开发人员构建既安全又用户友好的应用程序，所以需要为他们提供强大又精美的 API 。

各种各样的因素推动着当今市场的数字化转型。其中一个因素是，企业与消费者交互方式逐渐发生了变化，因此企业就需要变更他们所提供的服务。另一个因素是技术进步，创造出了一批新的数字应用程序和服务。在数字化的背景下，不同的环境和需求存在许多集成点，使得新型应用程序和服务更为复杂。数字化转型推动了对公开 API 的需求。API 能够使开发团队创新业务模式，与合作伙伴和客户保持良好合作沟通，同时通过将系统和服务更好地耦合在一起从而给用户提供无缝体验。

于是，API 平台逐渐进入人们的视线，满足了数字企业新出现的 IT 需求，比如支持管理身份、与 IDP 进行联合，以及支持所有不同用户、不同功能的需求。API 可以支持跨环境的工作流和定制能力，自动化系统也能更好地支持 DevOps 。身份 API 平台的另一个关键特征是他们致力于给开发人员提供更加方便快捷的构建块。简而言之，IAM 正在不断发展，以满足日益增长的 IAM 需求。

身份 API 平台拥有与其他身份细分市场中相似的功能，如 IAM (身份和访问管理)、CIAM (消费者 IAM)、IDaaS (身份-as-a -ervice)和自适应身份验证 /消费者身份验证。事实上，如今市场上的许多产品都是服务于多个细分市场。尽管这些部分之间有交叉功能，但身份 API 平台的必要功能是身份和用户管理、身份验证、授权和审计支持等基本功能，其他功能可以根据目标市场用例添加到平台上。例如，一个用例可能需要用户授权管理 (在 CIAM 中)、联邦 (在 IDaaS 中) 和更智能的身份验证 (在 Adaptive authentication 中)，以及对遵从性和访问治理的支持 (在 IGA 解决方案中)。除了这些功能之外，还考虑了不断变化的需求，如物联网、工作流和定制、DevOps 和 API 安全功能。

身份 API 平台与过去提供的 COTS (商用现货) 解决方案不同的地方是由它们的用例定义的。身份 API 平台用例关注的用例是：客户通过 API (无论是在本地、云还是在混合环境中) 为已经存在的服务构建身份解决方案。同样，传统钥匙的 COTS 主要是由 UI 驱动的，身份验证 API 平台用例提供可定制的解决方案，并且能够提供 COTS API 工具包，比如小部件和 SDK，它们可以促进 API 平台的快速开发。

身份 API 平台的一个关键特征是它们专注于对开发人员友好，其关键功能包括:

• 身份和用户管理 API：提供管理身份和用户帐户的 API，包括关联的目录服务和数据库。
• 身份验证 API：用户名 /密码 /生物识别等范围内的 API 身份验证方法；还要考虑 SSO 和会话管理可用性
• 授权 API：控制用户或管理员对资源的权限 /访问权限的 API，如策略管理、基于角色的访问控制 (RBAC) 或动态授权。
• 审计和合规 API：监视用户对资源的访问或管理员对系统的更改的 API，以及提供审计和取证功能以帮助用例符合行业规定和安全事件分析的 API 。
• 工作流和定制 API : 允许工作流自动化的 API，例如访问请求、用户自注册或用户同意，或多个工作流或活动的定制。
• API 安全性解决方案：使用加密、速率限制、内容过滤和模式验证等方法保护 API 不受网络攻击和其他威胁的能力。
• 为开发人员和操作团队提供 IT 环境的 API，并且为他们提供工具、自动化和持续集成。
• API 开发者允许厂商通过文档、教程、工具以及知识库、社区支持 /平台来提高开发者使用的 API 的能力与效率 。 依赖身份 API 平台的结果好处是显而易见的: 它们允许所有不同数字平台和服务可以实现跨平台的身份服务；提高开发人员的开发效率，减轻他们的负担；保证身份服务的安全与高效。

06 Authing：身份 API 平台

Authing 是身份 API 平台的主要供应商之一，它是基于云的产品，提供广泛的 API 支持，特别是围绕用户的身份验证和授权。

Authing 的 API 主要是 REST/JSON 。唯一的是，Authing 使用管理 API 为几乎整个管理框架提供了 RESTful 接口，这使客户能够管理 Authing 帐户的各个方面。大多数客户通过 DeployCLI 访问 Authing 的管理 API 。

默认情况下，Authing 将用户凭据存储在数据库中，不过客户可以使用自己的用户存储库。Authing 支持微软 Azure 现成的 AD，以及对 MS AD 、LDAP 和集成 Windows 身份验证 (Kerberos) 进行身份验证的能力。Authing 可以使用 API 对任何身份提供者的用户进行身份验证。

身份提供程序连接用于身份联合，包括社交、企业、数据库和无密码连接。Authing 支持 OIDC 、OAuth 、SAML 和 WSFederation 。它们的联合身份连接提供允许用户进行身份验证的 SSO 功能。只提供使用特定云服务 API (如 Azure AD) 与其他云服务之间的供应。身份验证 API 得到了最流行的表单和标准的良好支持，但也有一些例外，比如 FIDO UAF & U2F 。Authing 还支持广泛的社会网络登录，用于联合身份验证。

Authing 平台有一个内置工具来检测异常以防止攻击，以及使用规则来扩展内置工具功能的能力。Authing 还提供蛮力保护和违反密码检测。Authing 最大的优势之一是它的开发工具、在线支持和整体的生态系统。

Authing 平台的关键功能包括：

• 单点登录:在使用 Authing 平台的所有服务和应用程序之间启用单点登录 (SSO)。
• 通用登录: Authing 最新的登录流程实现，使开发人员能够快速和集中地完全定制他们的品牌认证体验，而无需考虑他们需要的认证和授权功能，如社会联系、多因素认证 (MFA)、异常检测等。
• 密码安全和无密码:虽然密码是受支持和安全的，但也广泛支持无密码身份验证。
• 多因素身份验证: 根据风险和安全角度的需求，MFA 也通过多种方法得到支持，包括 SMS 、一次性密码、第三方身份验证器和推送通知。
• 基于 API 的访问: 虽然仍然有很多访问是通过 web 站点进行的，但越来越多的访问来自应用程序、应用程序或通过 API 的服务。Authing 很好地支持这一点。
• 用户管理: 最后，还有用于管理用户及其客户旅程的功能，包括通过第三方集成的渐进式分析、帐户链接和配置文件

07 身份验证 API 平台的行动计划

正如本文所讨论的，身份 API 平台存在切实的业务需求。在数字应用和服务快捷开发部署中，它成为了的每个基础设施的基石；并且还支持与业务伙伴和客户之间的交互。

许多企业已经有了管理合作伙伴和客户身份的特定解决方案。然而，许多此类解决方案并不是由业务战略驱动的，而是在开发人员自己构建身份或寻找快速解决方案时“碰巧发生”的。

从战术到战略:

了解已经有哪些方法和工具 /服务可以管理消费者、客户和业务合作伙伴的身份。 让你的架构师、开发人员、产品管理人员、IT 安全人员、你的 IAM 团队，甚至是你的市场营销团队都加入进来，携手合作。 重点关注基于身份需求的新解决方案，并拥有常见需求 (如用户注册或密码重置) 的附加组件。 从战略方法 (下面) 中添加所有缺失的东西。 强制使用身份 API 平台。

从战略到战术

让您的架构师、开发人员、产品管理人员、IT 安全人员、您的 IAM 团队，甚至是您的营销团队都加入进来，携手合作。 定义使用身份 API 平台的方法，例如，什么时候使用 API，哪里需要注册或密码重置之类的小部件，谁拥有所有权，需要进行哪些集成，等等。 定义您的需求并选择所选的解决方案。 使用身份 API，并使它与您的 DevOps 方法和客户旅程保持一致。