客户身份和访问管理(CIAM)是身份访问管理(IAM)的一个子集,用于管理面向公众的应用程序的帐户创建和登录过程的身份验证和授权。
要选择合适的CIAM产品,企业需要从多个维度进行综合考量,例如登录体验的便利性与业务需求之间的平衡。营销人员希望收集有关客户及其设备的数据,隐私官希望确保数据收集过程完全符合隐私法规,安全和风险专业人士希望确保账户的完整性并最大限度地减少客户凭据的欺诈滥用。
对多方需求的平衡推动了CIAM市场的发展和增长。与管理企业内部应用的身份和访问权限的IAM不同,CIAM有自己独特的起源和选型标准。
CIAM功能的演变
十多年前,CIAM表面上是一个安全产品,实际上是一个营销工具。企业选择CIAM解决方案的一些最初动机是为了获得更多与消费者相关的统计数据,以进行有针对性的营销,增加销售收入。
但近年来,随着数据泄露日益猖獗、监管压力和业务欺诈成本不断增加,客观推动了以安全和合规为中心的CIAM功能在多个方面的发展。GDPR和CCPA等隐私法规对CIAM的同意管理系统的需求不断增加,这些系统允许用户决定企业可以收集多少个人数据。
网络攻击威胁的不断增加也迫使企业主动加强登录时身份验证和授权的安全性。同样,日益复杂的黑客攻击和欺诈也促使CIAM供应商开发更多功能来检测和预防账户接管和欺诈。
防欺诈功能越来越受到关注
市场中的大多数CIAM产品已经完成了产品的功能升级,例如增加对无密码身份验证、单点登录(SSO)和直观帐户恢复的支持。根据Gartner的最新报告,到2025年,整合欺诈检测和无密码身份验证的CIAM有望帮助企业将客户流失率减少一半以上。
鉴于目前CIAM市场中应用案例、功能选项和业务驱动因素的多样性,分析师们一致认为没有任何一家安全厂商可以涵盖所有CIAM案例的所需功能。
七个顶级CIAM工具
以下是北美网络安全市场分析师和客户给出评分最高的七个CIAM工具,这些工具的共同特点是:功能丰富,可扩展性较高,易于管理。
一、ForgeRock Identity Platform
作为全功能身份供应商,ForgeRock的CIAM产品具备强大的功能,为企业提供融合CIAM、员工IAM和身份管理的一站式解决方案。
ForgeRock的CIAM工具提供了强大的管理控制和灵活性,其注册工作流支持大量自定义功能,并强调从注册到账户恢复整个用户流程的用户体验。Identity Platform的最新迭代版本通过低代码/无代码管理进一步提升用户体验,为安全策略和用户流程的拖放式编排添加了更多功能。
该平台还通过“Thing SDK”和设备注册API扩展到消费物联网用例,支持广泛的身份验证标准和方法,包括FIDO、OAuth2、OIDC和SAML,并与移动生物识别和被动生物识别供应商集成。
在安全方面,该平台为身份验证和欺诈情报提供集成和连接器。它还具有同意管理功能,确保隐私保护符合GDPR和CCPA等法规。虽然Identity Platform不提供本地营销分析支持,但它提供了商业智能和营销分析连接器功能,可以接入Adobe、Salesforce和SAP等一系列提供商的服务。
二、IBM Security Verify
作为大型企业市场的有力竞争者,IBM Security Verify因其强大的基础架构而获得高评分,该基础架构由容器化的多云架构提供支持,不仅可扩展,而且还为企业用户提供了管理独立客户实例的选项。
IBM Security Verify支持广泛的身份验证器类型和标准,包括使用FIDO 2服务器认证进行操作,提供开箱即用的身份分析和报告生成功能。客户可以利用IBM生态系统将营销分析或商业智能整合到平台中,或者利用连接器组合来利用第三方营销分析和自动化。
该产品的一大独特优势在于其内置了基于风险的身份验证和欺诈防御功能,这些功能通常是其他CIAM产品的集成选项。Security Verify还整合了IBM Trusteer的功能,利用CIAM平台提供的分析,使用AI支持的自适应访问减少欺诈,能够结合异常检测、欺诈模式检测和其他被动行为分析来对帐户的可信度进行评分,并相应地调整身份验证要求。
此外,Security Verify为用户提供自助服务门户来管理同意,并在后端提供低代码/无代码管理功能,以便隐私官和业务利益相关者可以设置和调整用户群体的隐私政策和数据请求,无需开发者介入。
三、LoginRadius
LoginRadius主打易用性,提供易于实施和使用的交钥匙CIAM解决方案。LoginRadius提供足够的API支持并且可以定制,但该产品不是一个为大量底层代码定制需求而设计的平台。相反,它是为那些不想或不能做大量开发工作的企业设计的,强调无代码的操作理念。
LoginRadius的部署工作流程通过GUI完成,策略创建通过下拉列表制定,集成通过预打包连接器市场提供。这些连接器覆盖了广告、BI、CRM、营销自动化等多个功能类别。LoginRadius还内置了一个不错的内置分析引擎,并且提供数十种用于营销和身份分析的报告。LoginRadius还提供基本的同意管理和消费者自助服务功能,可用于隐私合规目的,并支持各种身份验证器,包括社交账户登录。
为了便于使用和部署,LoginRadius也牺牲了一些功能和控制。例如,虽然提供了开箱即用的身份验证风险引擎,但没有对优先级进行很多控制,也没有很多第三方欺诈预防功能的连接器。同样,虽然能够检查设备属性以进行风险评分和分析,但功能有限。
四、微软Entra
虽然微软是规模更大的IAM市场的主要参与者,但该公司仍在努力提高面向外部的CIAM用例的成熟度。根据2021年Gartner的大型访问管理分析,Azure AD外部功能“与其他(CIAM)供应商的产品相比还不成熟,而且大多数客户仅将该产品用于员工场景。”
不过,在此期间,微软一直在对整个身份产品组合进行投资,并且最近将所有产品功能(包括外部CIAM)重新定位到一个名为Microsoft Entra的新产品线中。Entra现在包含Azure AD的全部功能(包括Azure AD External Identities的CIAM功能)。它还将其开放标准平台Verified ID添加到CIAM产品组合中。微软正在加倍投入这个去中心化的身份验证生态系统,主要用于劳动力身份管理。微软明确表示这将是一个长期重点,也可能会涉及外部用例。
分析师认为,尽管微软的CIAM产品存在一些大的功能漏洞,包括缺少消费者隐私仪表板、较为原始的自适应身份验证策略指令,以及没有开箱即用的设备身份管理,但它具有极高的可扩展性、易于使用,并且提供一些强大的帐户接管(ATO)保护。它与用于高级分析的微软商业智能和客户关系管理平台能很好地集成,并一直在逐步改进其集成生态系统。
“微软仍在努力实现其CIAM和Azure AD平台之间的功能匹配,”Tolbert在KuppingerCole Leadership Compass CIAM平台报告中写道。“需要可扩展性和易用性但不需要高级隐私管理或消费者设备管理的企业在选择CIAM解决方案时可以考虑微软的External Identities。”
五、Okta和Auth0
在收购Auth0之后,CIAM厂商Okta始终坚持让Auth0独立销售其CIAM产品,从而为客户提供最大的实施灵活性。尽管如此,两个产品之间的交叉和集成不可避免,Okta正在将多个功能组合在一起以加速协作和创新的能力。
虽然Auth0也提供一些员工IAM功能,但CIAM产品仍然是其业务重点。根据Gartner分析师的说法,Auth0特别适合那些开发人员需要在定制开发的API密集型应用程序中对消费者提供分层访问管理的情况。
根据Gartner的访问管理魔力象限,Auth0平台结合了“出色的UX流程和UI定制能力”与“全面的开发人员工具和完整的API支持”。
Kuppinger的分析指出,整个Okta CIAM产品组合拥有一组强大的连接器,用于商业智能、CRM、营销分析和自动化、第三方IAM平台、流行的SaaS应用程序和遏制欺诈的智能平台。它还内置了标准功能,允许消费者控制他们的个人资料信息。
分析师认为,Okta需要努力的地方是将设备智能和行为生物识别技术融入平台的本机功能。
六、OneLogin
OneLogin是在Gartner轻量级身份即服务(IdaaS)魔力象限中排名靠前的安全厂商,其CIAM产品提供了一些精简的、对开发人员友好的功能,对于那些想少花钱多办事的企业来说是一个不错的选择。OneLogin的最大优势之一是它的外部访问管理用例的价格很有竞争力。
OneLogin的另一个差异化优势在于其灵活的可扩展性,对开发人员的支持和强大的API。其无服务器Smart Hooks API功能能帮开发人员轻松自定义CIAM工作流和策略,简化了开发无缝和安全的用户登录流程的过程。然而,与本文推荐的许多CIAM产品不同,OneLogin不提供任何类型的开箱即用的同意管理功能,也不关注营销分析和自动化等业务驱动的功能。OneLogin专注于帮助开发人员轻松地将单点登录功能添加到消费者应用程序中,以自适应方式提供基于风险的多因素身份验证,从而最大限度地提高消费者的用户体验。
在员工IAM和CIAM市场,OneLogin的市场定位一直是SMB和中端市场。被身份治理和管理工具厂商One Identity收购一年后,OneLogin平台中的CIAM功能并没有发生太多重大变化(没有整合One Identity的员工IAM功能)。
七、Ping Identity
Ping Identity是最早涉足CIAM领域的企业IAM供应商之一,在CIAM安全功能方面展现了强大的实力。分析师对其身份验证、身份编排和分析功能、所支持的身份验证器类型的范围以及其API连接器的文档和安全性给予了高度评价。它的PingOne Fraud欺诈检测模块支持包括实时行为导航、行为生物识别、设备属性和网络属性等多个维度的欺诈攻击检测,该平台还支持与外部欺诈防护智能平台的集成。此外,很多本文推荐的很多CIAM工具都支持FIDO 2,但Ping Identity更进一步,提供了FIDO 2认证服务器。
Ping Indentity的弱点之一是它只提供了对消费者的基本权限管理,大多数同意处理需要额外的开发和集成工作才能实现。此外,尽管Ping Identity支持与HubSpot、Mailchimp、Marketo和Zoho的集成,但用于高级商业智能、客户关系管理和营销分析的开箱即用连接器仍在开发中。尽管如此,分析师对Ping的功能给予了高度评价,Gartner指出,Ping是CIAM市场中性价比较高的选择之一。
声明:本文来自GoUpSec,版权归作者所有。文章内容仅代表作者独立观点,不代表安全内参立场,转载目的在于传递更多信息。如有侵权,请联系 anquanneican@163.com。