為什么低代碼和身份驗證必須共存

責任編輯:cres

作者:Eric Leach

2022-04-02 13:55:00

來源:企業(yè)網(wǎng)D1Net

原創(chuàng)

與身份驗證系統(tǒng)集成不良的后果可能是重大的,也是極其痛苦的。如果沒有強大的身份管理框架,人工管理大量授權(quán)和身份驗證可能會很困難,并且會破壞安全性,包括零信任計劃。

對于希望在數(shù)字經(jīng)濟的市場競爭中獲勝的企業(yè)來說,軟件開發(fā)已經(jīng)成為一項關(guān)鍵任務(wù)。它越來越多地推動技術(shù)創(chuàng)新甚至顛覆行業(yè)。然而,構(gòu)建、測試和驗證主要代碼塊通常需要幾個月的時間,找到處理這項任務(wù)的人才可能是艱巨的。
 
由于技能差距和規(guī)模交付,許多企業(yè)轉(zhuǎn)向低代碼應(yīng)用程序開發(fā)平臺來更快地構(gòu)建和交付應(yīng)用程序。
 
在通常情況下,這些低代碼工具提供了一個圖形用戶界面(GUI),可以為非技術(shù)人員(公民開發(fā)人員)提供幫助,如果他們愿意的話可以參與軟件開發(fā)過程。采用這些工具并不是開發(fā)人員逐行鍵入代碼,而是組裝實現(xiàn)應(yīng)用程序業(yè)務(wù)邏輯的代碼構(gòu)建塊。
 
然而,在采用低代碼工具的熱情中,經(jīng)常被忽視的是,這些類型的開發(fā)平臺會影響企業(yè)的許多領(lǐng)域,其中包括身份驗證和網(wǎng)絡(luò)安全。例如,低代碼應(yīng)用程序必須與各種本地系統(tǒng)以及Active Directory、Azure AD、Okta等云計算身份驗證平臺互操作。
 
與身份驗證系統(tǒng)集成不良的后果可能是重大的,也是極其痛苦的。尤其是隨著業(yè)務(wù)需求的變化以及企業(yè)需要開始添加新功能,例如無密碼身份驗證、多因素身份驗證(MFA)、身份證明、用戶行為分析或基于角色或?qū)傩缘膹碗s授權(quán)。如果沒有強大的身份管理框架,人工管理大量授權(quán)和身份驗證可能會很困難,并且會破壞安全性,包括零信任計劃。
 
權(quán)限很重要
 
當今IT環(huán)境的復雜性對任何人來說都是顯而易見的。低代碼在簡化和加快軟件開發(fā)的同時,也帶來了挑戰(zhàn)。企業(yè)可能會發(fā)現(xiàn),他們所處的框架缺乏提供無縫但高度安全的用戶體驗所需的靈活性,尤其是對于連接到單點登錄(SSO)的復雜基于角色的訪問。更新、更改和其他事件可能會造成嚴重破壞,迫使企業(yè)的團隊不斷推動應(yīng)用程序更新,以應(yīng)對不斷變化的威脅。
 
例如,使用軟件開發(fā)工具包(SDK)執(zhí)行身份集成(如添加對MFA的支持)的傳統(tǒng)方法會增加額外的復雜性。無論是否使用低代碼工具都是如此。這是因為軟件開發(fā)工具包(SDK)方法在應(yīng)用程序和它們使用的身份驗證系統(tǒng)之間建立了一種深度耦合的關(guān)系。在通常情況下,需要添加的每個新身份功能都需要另一個軟件開發(fā)工具包(SDK)進行集成,這增加了相互依賴性和失敗的可能性。
 
實際上,企業(yè)可能需要具有不同身份驗證和授權(quán)功能的不同軟件開發(fā)工具包(SDK),具體取決于它正在構(gòu)建或使用的應(yīng)用程序和框架。然而,如今的應(yīng)用程序需要一個更靈活和場景相關(guān)的框架,該框架跨越系統(tǒng),并且在某些情況下,可以更深入地了解用戶在任何給定時刻所做的事情。
 
事實上,從以軟件開發(fā)工具包(SDK)為中心的方法遷移不僅是一個好主意,而且至關(guān)重要。更重要的是,嘗試使用API來規(guī)避問題并不是特別有用,因為企業(yè)通常會遇到相同的基本問題:與嚴格的身份框架相關(guān)的高度復雜性。更糟糕的是,這種方法還可能引入安全漏洞和其他弱點。
 
使用低代碼開發(fā)框架構(gòu)建應(yīng)用程序時,一種更易于管理的方法是將它們連接到身份服務(wù)的單個抽象層。這解決了與低代碼環(huán)境中的身份管理相關(guān)的三個主要挑戰(zhàn):擺脫特定于平臺的方法,擺脫將應(yīng)用程序與特定身份提供者綁定的低代碼工具,以及建立符合企業(yè)特定需求的身份框架。
 
抽象是關(guān)鍵
 
抽象層減少了公民開發(fā)人員的負擔,他們?nèi)狈夹g(shù)技能和對安全要求的認識,這會阻止他們進行更新和升級或添加新功能來跟上不斷變化的需求——通常在優(yōu)化的DevOps或DevSecOps環(huán)境中持續(xù)集成和交付。
 
抽象還消除了將特定應(yīng)用程序硬編碼到特定身份系統(tǒng)或API的需要。
 
在這個領(lǐng)域中,嵌入式邏輯通過一種分布式智能的形式被內(nèi)置到身份框架中。更重要的是,該過程無需推出代碼并需要在應(yīng)用程序上進行處理。應(yīng)用程序所有者或身份管理提供商也沒有必要在這一過程中發(fā)揮作用。
 
抽象提供了另一個優(yōu)勢:它處理與身份管理相關(guān)的各種標準,包括SAML。大多數(shù)企業(yè)依賴于與授權(quán)和身份驗證相關(guān)的流程和任務(wù)的多個標準。使用低代碼工具時,監(jiān)督標準和編排它們也可能變得繁瑣且難以管理。
 
隨著企業(yè)越來越多地轉(zhuǎn)向低代碼框架以提高性能和降低成本,保持軟件開發(fā)和身份驗證同步至關(guān)重要。抽象可以彌合差距。
 
版權(quán)聲明:本文為企業(yè)網(wǎng)D1Net編譯,轉(zhuǎn)載需注明出處為:企業(yè)網(wǎng)D1Net,如果不注明出處,企業(yè)網(wǎng)D1Net將保留追究其法律責任的權(quán)利。

鏈接已復制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號