九游老哥

English

清静产品与计划
行业解决计划
清静服务与运营
清静研究
相助同伴
手艺支持

基础设施清静
数据清静
云盘算清静
工业互联网清静
物联网清静
信息手艺应用立异
所有产品
所有解决计划

基础设施清静

网络清静

清静治理

应用清静

终端清静

身份与会见治理

解决计划

CH

EN

清静产品与计划

基础设施清静网络清静清静治理应用清静终端清静身份与会见治理解决计划数据清静数据清静产品解决计划云盘算清静云盘算清静产品解决计划工业互联网清静工业互联网清静产品解决计划物联网清静物联网清静产品解决计划信息手艺应用立异信创类清静产品
行业解决计划

政府运营商金融能源交通企业科教文卫
清静服务与运营

基础服务清静咨询清静测试清静运维应急响应清静开发场景服务红蓝对抗重保支持数据清静服务DSS 勒索评估服务RPG 企业清静运营中心建设SOC 蓝军一体化平台NICP 自动化渗透测试工具EZ 清静运营服务九游老哥网站清静监测服务Websafe 九游老哥黑洞云洗濯服务 CCSS 九游老哥网站云防护服务 WCP 九游老哥威胁情报中心NTI 九游老哥科技威胁情报云端解决计划九游老哥科技威胁情报外地解决计划九游老哥威胁检测与响应服务MDR 九游老哥外部攻击面治理服务EASM 九游老哥轻量化渗透测试服务PTaaS 智慧都会清静运营智慧都会清静运营九游老哥云九游老哥云
清静研究

八大实验室星云实验室格物实验室伏影实验室天机实验室天枢实验室天元实验室平行实验室威胁情报实验室研究领域研究领域研究报告研究报告 2024年度报告清静通告威胁通告
相助同伴

相助同伴相助同伴动态成为相助同伴申请成为相助同伴
手艺支持

服务支持服务热线盟管家服务维保服务产品支持产品清静产品手册常见问题产品生命周期通告软件升级北京九游老哥公益基金会鲲鹏基金产品清静软件升级

返回列表

RSA立异沙盒盘货 |STRATA——漫衍式多云身份识别

2021-05-14

RSAConference2021将于旧金山时间5月17日召开，这将是RSA大会有史以来第一次接纳网络虚拟聚会的形式举行。大会的Innovation Sandbox（沙盒）大赛作为“清静圈的奥斯卡”，每年都备受瞩目，成为全球网络清静行业手艺立异和投资的风向标。

前不久，RSA官方宣布了最终入选立异沙盒的十强首创公司：WABBI、Satori、Abnormal Security、Apiiro、Axis Security、Cape Privacy、Deduce、Open Raven、STARATA、WIZ。

九游老哥君将通过配景先容、产品特点、点评剖析等，带各人相识入围的十强厂商。今天，我们要先容的是厂商是： STRATA。

随着云手艺的生长，企业越来越多的将应用安排在云端。目今，企业主要使用的云服务包括微软的Azure Active Directory，亚马逊的Amazon Web Services (AWS)和谷歌的Google Cloud Platform (GCP)等。若是应用程序运行在差别的云上，每个云都有自己的身份识别系统，再加受骗地的旧版应用程序，导致企业面临漫衍式的身份治理问题。若是将古板的应用迁徙到云上，并且手动重写每个应用以适配云端的身份识别将消耗大宗的资源，关于那些有着成百上千的应用的企业来说更是云云。而STRATA为该问题提供了一个解决计划：Maverics Identity Orchestration Platform（身份编排平台）。

公司官网：https://www.strata.io/

一、九游老哥简介

STRATA的治理团队成员包括Eric Olden，Topher Marie和Eric Leach，拥有总共110年的身份治理履历。STRATA获得1150万美元的融资，其中，种子融资在2019年8月，为50万美元，A轮融资在2021年2月，为1100万美元。由Menlo Ventures牵头，旨在推动多云身份识别手艺的厘革。通过天下上第一个身份编排平台——Maverics，能够简朴、清静、快速的构建身份编排。使用预构建的能够快速安排的身份编排机制在Maverics平台上构建身份编排，而不需要重写应用程序。

STRATA提供了一个身份编排和多云身份治理平台，专门为混淆和多云情形构建，通过该平台可跨多个云、外地和混淆云轻松地治理漫衍式身份识别系统。通过将应用程序与身份系统疏散，Strata的身份结构突破了锁定，以是你可以轻松地在云端和身份提供者之间移动。这种要领确保了一种混淆的云战略和多云战略，既节约了本钱，又可以凭证企业的需求举行扩展。

二、基于统一战略的身份治理服务

Maverics接纳多种手艺实现应用程序身份认证向云端的迁徙，如图 1所示。

九游老哥·(中国)俱乐部官方网站

图 1. Maverics的统一身份战略

Maverics将焦点身份治理服务笼统到一个集成的身份结构中，该结构支持身份编排和用户流。以下先容其事情原理。

三、事情原理

Maverics的身份编排是运行时用户流，它从登录、多因素、授权、属性和其他身份服务对用户会话举行编排。Maverics的计划，例如应用程序+身份迁徙，自助应用程序请求等，都不需要重写应用程序。Maverics的事情流程如图 2所示，其中：

九游老哥·(中国)俱乐部官方网站

图 2. Maverics的身份编排流程

1. 决议用户最初应该在那里举行身份验证。

2. 通过云身份系统对用户举行认证。

3. 审查会见控制。通常这是由应用程序自己的身份认证系统完成的。这里Maverics提供了一个署理（proxy）的角色，下文会进一步先容。

4. 强制举行有条件的身份认证，并凭证MFA（多因子身份认证）解决计划对用户举行进一步认证。

5. 从外地侧的LDAP服务检索用户的属性。

6. 凭证5中的属性，从授权系统获得授权战略。

7. 若是获得授权，则挪用一个web服务，在应用程序中启动另一个事情流。

8. 若有须要，将会话token从一种名堂转换为另一种名堂，例如将SAML标记转换为HTTP头。

9. 为了实现个性化，Maverics将用户的会话数据打包，并将属性转达到应用程序中。

10. 最终提供了对应用程序的会见。

为了实现以上的流程，Maverics需要用到两项焦点手艺，即应用程序+身份迁徙和自助应用程序请求。以下划分先容。

3.1 应用程序/身份迁徙：不需要重写代码，即可将应用从外地身份迁徙到云身份。

从旧版身份系统(如SiteMinder、Oracle Access Manager、RSA ClearTrust、IBM、Ping和Active Directory)迁徙应用程序是一项重大、耗时的事情。重新编写每个旧版应用程序以顺应基于标准的现代云身份是不现实的。有了Maverics，用户不必重写旧的应用程序就可以使用云身份。这内里包括了两部分：应用身份迁徙与用户身份迁徙。

应用身份迁徙

这部分的作用是将应用的身份迁徙到云端。使用身份编排对应用程序举行身份迁徙的流程如图 3所示。

九游老哥·(中国)俱乐部官方网站

图 3. 使用身份编排对应用程序举行身份迁徙

1. 针对旧版身份系统运行服务发明，用来发明需要向云端迁徙的应用程序。

2. 剖析应用程序，旧版的战略被提取并自动转换为云身份战略。

3. 旧版的应用程序及其SSO代码被“提升和转移（lifted-and-shifted）”到云平台。

4. 指导用户凭证云身份系统举行身份验证，然后使用OIDC或SAML为用户建设一个会话。

5. 由于应用程序没有被重写，以是其自己仍然在使用旧版的令牌名堂。Maverics将OIDC令牌从云身份识别系统转换为应用程序需要的旧版令牌名堂，用于应用程序举行身份认证。也就是说，Maverics在这里提供了一个类似于署理（proxy）的服务。

6. 数据被打包到用户会话的HTTP头中，以供应用程序使用，无需任何更改。同时，MFA检查隶属性提供者、应用程序和其他身份系统网络的特殊用户数据(可选)。

7. 应用程序身份认证迁徙到云端。

8. 验证迁徙的应用程序是否如预期的那样事情，然后自动化举行QA测试和认证(可选)。

重复上述办法，直到迁徙所有应用程序。

用户身份迁徙

完成了应用身份向云端的迁徙，Maverics还需要对用户身份举行迁徙。使用身份编排对用户举行身份迁徙的流程如图 4所示。

九游老哥·(中国)俱乐部官方网站

图 4. 使用身份编排对用户举行身份迁徙

1. Maverics在旧版的WAM（Web Access Management）中验证用户。

2. 云身份设置文件包括由Maverics检索到的LDAP属性。

3. 凭证恶意账户情报数据库对账户举行检查。

4. Maverics在云身份系统中建设一个用户帐户，资助用户完成身份认证向云端的迁徙。

5. 当用户以后再次登录时，Maverics会检测用户认证的迁徙情形。

6. Maverics检测到用户已经迁徙，并使用云身份举行认证。

以上完成了应用程序和用户的身份迁徙。用户在使用应用程序时，Maverics系统会自动资助用户完成云端的身份识别。

3.2 自助应用程序请求：使用Maverics身份编排构建即时应用请求。

应用无处不在——在云端，在外地，或者以SaaS的形式交付。这意味着需要�；ご笞诿舾惺�。会见战略横跨在旧版系统和SaaS之间，IT团队无法有用处置惩罚这些碎片化的会见控制战略。使用这个Maverics身份编排最佳实践配计划可以为应用程序提供即时的会见。其事情流程如所示。

九游老哥·(中国)俱乐部官方网站

图 5. 使用身份编排来构建即时会见请求

1. Maverics署理用户请求，并指导用户在云身份系统上举行身份验证。

2. 用户登录到门户并使用Azure AD举行身份验证。

3. 在门户中，用户希望会见应用程序，但没有会见权限，则可点击“连忙获取”按钮。

4. 此事务触发用户使用MFA举行进一步认证。

5. 一旦用户使用MFA举行身份验证，Maverics就会从LDAP中检索用户的属性。

6. Maverics将这些属性转达给授权系统，并凭证会见战略“Allow access If US Employee”对其举行评估。

7. Maverics向ServiceNow（将跨组织的职员、功效和辖档同接起来的系统，实现IT服务与运维的自动化、规范化和标准营业流程化）发送一个吸收和审计事务。

8. Maverics允许用户连忙会见请求的应用程序，并将个性化数据转达到应用程序。

通过应用程序+身份迁徙和自助应用程序请求手艺，Maverics可以实现统一无邪的身份识别，而不需要重写应用程序。

四、总结

随着混淆云和多云的生长，种种古板IT系统与云端应用融合亟需解决的问题是身份统一，STRATA公司致力于多云身份识别手艺的研发，简直捉住了企业上云的一大痛点。其产品Maverics提供了预先构建的能够快速安排的身份编排机制，用户可以在不重新开发应用程序的条件下实现跨多个云的身份识别系统的迁徙。在云手艺大规模应用的今天，STRATA公司的产品可以有用降低应用程序往云端迁徙的本钱，加速企业应用往云端迁徙的历程。企业若是通过STRATA实现了混淆云、多云场景下的统一营业融合，或是古板情形向全云情形（Cloud Only）的营业迁徙，那就能为后续的零信托机制涤讪坚实基础。虽然STRATA在先容中没有提及零信托，但多云场景下的IAM机制，事实上就是零信托理念的一种最佳实践。

<<上一篇

珠海，我们来啦 |《数据清静与红蓝对抗》即将开课

>>下一篇

RSA立异沙盒盘货 |Open Raven——实时监护用户云上数据清静

?

您的联系方法

购置热线

提交项目需求

接待加入九游老哥科技，成为我们的相助同伴！

*请形貌您的需求

*最终客户名称
*项目名称
您感兴趣的产品
项目预算

您的联系方法

*姓名
*联系电话
*邮箱
*职务
*公司
*都会
*行业
*验证码
提交到邮箱

九游老哥·(中国)俱乐部官方网站

九游老哥·(中国)俱乐部官方网站

服务支持

智能客服

智能客服

购置/售后手艺问题

盟管家-售后服务系统

盟管家-售后服务系统

在线提单|智能问答|知识库

点击进入

支持热线

支持热线

400-818-6868

九游老哥科技社区

九游老哥科技社区

资料下载|在线问答|手艺交流

点击进入

信息清静

网站地图| 执法声明| 投资者关系

关于九游老哥: 公司先容; 公司声誉; 九游老哥书橱; 九游老哥新闻; 事情时机

怎样购置: 提交项目需求; 请求回电; 购置热线

联系九游老哥: 公司总部; 分支机构; 全球分支机构

清廉建设和举报: 举报说明; 举报奖励; 包管制度

快速链接: 九游老哥云; 九游老哥威胁情报中心NTI; TechWorld手艺嘉年华; 北京九游老哥公益基金会; 手艺博客; 乐成案例

服务热线

400-818-6868

服务时间

7*24小时

? 2025 NSFOCUS 九游老哥科技 www.nsfocus.com All Rights Reserved . 京公网安备 11010802021605号京ICP备14004349号京ICP证110355号