对于希望在数字经济市场中竞争的企业而言,软件开发已成为一项关键任务。它越来越多地推动技术创新,甚至颠覆行业。然而,构建、测试和验证主要代码块通常需要几个月的时间,而且寻找人才来处理这项任务可能会让人望而生畏。由于技能差距和大规模交付,许多企业正在转向低代码应用程序开发平台,以更快地构建和交付应用程序。通常,这些低代码工具提供图形用户界面(GUI),帮助非技术人员(公民开发人员)参与软件开发过程(如果他们愿意)。使用这些工具不是开发人员逐行键入代码,而是组装实现应用程序业务逻辑的代码构建块。然而,在采用低代码工具的热情中经常被忽视的是,这些类型的开发平台会影响企业的许多领域,包括身份验证和网络安全。例如,低代码应用程序必须与各种本地系统以及云身份验证平台(如ActiveDirectory、AzureAD、Okta等)进行互操作。与身份验证系统集成不当的后果可能非常严重且极其痛苦。特别是随着业务需求的变化,企业需要开始添加新功能,例如无密码身份验证、多因素身份验证(MFA)、身份证明、用户行为分析或基于角色或属性的复杂授权。如果没有强大的身份管理框架,手动管理大量授权和身份验证可能会很困难,并且会破坏安全性,包括零信任计划。权限很重要当今IT环境的复杂性对任何人来说都是显而易见的。虽然低代码简化并加速了软件开发,但它也带来了挑战。组织可能会发现他们所处的框架缺乏提供无缝但高度安全的用户体验所需的灵活性,尤其是对于连接到单点登录(SSO)的基于角色的复杂访问。更新、更改和其他事件可能会造成严重破坏,迫使您的团队不断推送应用程序更新以应对不断变化的威胁。例如,使用软件开发工具包(SDK)执行身份集成(例如添加对MFA的支持)的传统方法增加了额外的复杂性。无论有没有低代码工具,都是如此。这是因为软件开发工具包(SDK)方法在应用程序和它们使用的身份验证系统之间建立了深度耦合关系。通常,每个需要添加的新身份功能都需要另一个软件开发工具包(SDK)来集成,从而增加了相互依赖性和失败的可能性。事实上,企业可能需要具有不同身份验证和授权功能的不同软件开发工具包(SDK),这取决于它正在构建或使用的应用程序和框架。然而,今天的应用程序需要一个更灵活和上下文相关的跨系统框架,并且在某些情况下,可以更深入地了解用户在任何给定时刻正在做什么。事实上,从以软件开发工具包(SDK)为中心的方法迁移不仅是个好主意,而且很关键。更重要的是,尝试使用API来规避问题并不是特别有用,因为企业通常会遇到相同的基本问题:与严格的身份框架相关的高度复杂性。更糟糕的是,这种方法还会引入安全漏洞和其他弱点。使用低代码开发框架构建应用程序时,一种更易于管理的方法是将它们连接到身份服务的单个抽象层。这解决了与低代码环境中的身份管理相关的三个主要挑战:摆脱特定于平台的方法,摆脱将应用程序绑定到特定身份提供者的低代码工具,以及建立适合企业特定身份的身份框架需要。抽象是关键抽象层减轻了公民开发人员的负担,他们缺乏技术技能和对安全要求的认识阻止他们进行更新和升级或添加新功能以跟上不断变化的需求——通常在优化的DevOps或持续集成和交付中DevSecOps环境。抽象还消除了将特定应用程序硬编码到特定身份系统或API中的需要。在这个领域,嵌入式逻辑通过一种分布式智能的形式被构建到身份框架中。更重要的是,该过程消除了推出代码和需要在应用程序上进行处理的需要。应用程序所有者或身份管理提供者也不一定在此过程中发挥作用。抽象提供了另一个优势:它处理与身份管理相关的各种标准,包括SAML。大多数企业依赖多种标准来处理与授权和身份验证相关的流程和任务。使用低代码工具时,监督标准和编排它们也会变得麻烦且难以管理。随着企业越来越多地转向低代码框架以提高性能和降低成本,保持软件开发和身份验证同步至关重要。抽象可以弥合差距。
