Wso2 la gi

 Việc vận chuyển dữ liệu sẽ thông qua một kênh truyền tin – nơi sẽ xử lý các khía cạch chất lượng dịch vụ như là vấn đề bảo mật.

 WSO2 ESB hoạt động ở 2 chế độ :Phân giải tin nhắn và vận chuyển dịch vụ qua các proxy khác nhau.

 Cả 2 dạng chuyển đổi tin nhắn và định tuyến có thể coi là một đơn vị duy nhất. Như trên hình 2.7 ta có thể thấy không có sự tách biệt rõ ràng giữa các thành phần chuyển đổi tin nhắn và các thành phần định tuyến. Trong WSO2 thì đây được gọi là mediation framework.

 Một số việc biến đổi xảy ra trước khi quyết định thực hiện việc định tuyến, trong khi một số khác xảy ra sau khi việc định tuyến kết thúc.

Ưu điểm:

 Toàn bộ nền tảng WSO2 có thể được cài đặt rất dễ dàng và cung cấp một studio phát triển dựa trên Eclipse.

 Giống như Talend và FuseSource, WSO2 sử dụng các dự án mã nguồn mở như Apache Synapse (lightweight ESB), Axis (Web Service Implementation) hoặc ODE (Business Process Engine) vào các thành phần của nó.

 Bên cạnh Talend, WSO2 là nhà cung cấp duy nhất cung cấp một bộ phần mềm hoàn chỉnh dựa trên cơ sở mã nguồn và môi trường phát triển riêng biệt. Do đó, không có gì cản trở quá trình phát phần mềm, từ lúc bắt đầu các tính năng đơn giản nhất, cho đến lúc hệ thống đã có những tính năng phức tạp khác.

Nhược điểm:

 Điểm yếu là công cụ đồ họa. Nó hỗ trợ tất cả các thành phần cơ bản trong việc tích hợp, nhưng lại không có công cụ trực quan để thiết kế luồng dữ liệu như các đối thủ cạnh tranh khác.

4. Kết luận

ESB giúp mở rộng khả năng triển khai SOA cho hệ thống các doanh nghiệp. Nó không những cung cấp một mô hình chung để triển khai, quản lý cũng như quản trị các ứng dụng, mà nó còn làm giảm gánh nặng thiết kế khái niệm đối với bất kỳ người dùng nào, cải thiện khả năng tái sử dụng kiến trúc.

Lợi ích ESB:

 Thích nghi nhanh và rẻ hơn với hệ thống đang tồn tại

 Tăng sự mềm dẻo; dễ dàng hơn cho việc thay đổi như là thay đổi yêu cầu.

 Dựa trên các chuẩn

 Mở rộng từ giải pháp point–to-point để triển khai rộng rãi cho các doanh nghiệp (Bus phân phối)

 Định nghĩa trước các loại dịch vụ sẵn sàng cho người dùng

 Thêm cấu hình chứ không phải tích hợp mã hóa

 Không có các rules-engine trung tâm, không có môi giới trung tâm

Bất lợi chính của ESB

 Thường đòi hỏi mô hình thông điệp doanh nghiệp, kết quả là thêm chi phí quản lý. Những khó khăn tiềm năng khi tích hợp nhiều hệ thống tạp nham để cộng tác thông qua các tiêu chuẩn thông điệp

 Yêu cầu sự quản lý liên tục các phiên bản thông điệp để đảm bảo lợi ích dự kiến của loose coupling. Sự quản lý không chính xác, không đầy đủ hoặc không cần thiết của phiên bản thông điệp có thể dẫn đến sự phụ thuộc chặt chẽ thay vì mục đích là đạt được loose coupling.

 Đòi hỏi phần cứng nhiều hơn là các thông điệp point–to-point đơn giản.

 Kỹ năng phân tích trung gian cần để cấu hình, quản lý và thực hiện ESB.

 Tăng độ trễ gây ra bởi việc các thông điệp phải đi qua thêm các lớp của ESB, đặc biệt khi so sánh với giao tiếp qua mô hình điểm-điểm. Độ trễ tăng lên một phần cũng là do thêm phần xử lý tài liệu XML (ESB thường sử dụng XML là ngôn ngữ giao tiếp).

CHƯƠNG 3. ỨNG DỤNG ESB MIDDLEWARE ĐỂ TÍCH HỢP DỊCH VỤ TẠI NGÂN HÀNG TPBANK

1. Đặt vấn đề

1.1. Thực trạng tại TPBank

Ngày nay với sự phát triển giao thương giữa các tổ chức, cá nhân trong nước với các tổ chức, cá nhân ở nước ngoài thì những hoạt động chuyển tiền quốc tế diễn ra ngày càng nhiều và thậm chí có tới hàng trăm, hàng nghìn giao dịch chuyển tiền quốc tế được thực hiện. Ngân hàng TPBank cũng không ngoại lệ.

Những khách hàng ngày càng tinh vi ngày nay xem các tương tác kỹ thuật số là cơ chế chính để kết nối với các thương hiệu và do đó, họ mong muốn các tương tác trực tuyến quan trọng được phân phối một cách đơn giản và liền mạch. Chuyển đổi trải nghiệm khách hàng là trọng tâm của chuyển đổi kỹ thuật số và các công nghệ kỹ thuật số đang thay đổi cuộc chơi tương tác của khách hàng với các quy tắc và khả năng mới không thể tưởng tượng được chỉ vài năm trở lại đây. Hầu hết các doanh nghiệp có một số lượng lớn khách hàng truy cập vào thiết bị di động, IoT và các kênh khác ngoài các ứng dụng web đơn thuần, có thể có hoặc không nằm trong tường lửa. Khi người tiêu dùng ngày càng thực hiện các giao dịch kỹ thuật số có giá trị cao, nhạy cảm, các tổ chức bắt buộc phải bảo vệ doanh nghiệp của họ khỏi các mối đe dọa đối với các kênh tiếp xúc với người tiêu dùng, đặc biệt là trong bối cảnh dịch vụ tài chính, dược phẩm và các ngành công nghiệp được quản lý cao khác.

Thu thập, lưu trữ và phân tích dữ liệu người tiêu dùng cho phép các doanh nghiệp và tổ chức chính phủ cung cấp trải nghiệm kỹ thuật số tốt hơn cho người tiêu dùng của họ. Điều này tạo thêm cơ hội bán hàng và tăng lòng trung thành với thương hiệu. Các công ty tận dụng thông tin chi tiết về khách hàng có lợi thế cạnh tranh so với các đối thủ không làm như vậy. Khi số lượng khách hàng, ứng dụng và dịch vụ tiếp tục phát triển, dữ liệu thu thập được về khách hàng cũng tăng lên nhanh chóng. Đồng thời, do dữ liệu người tiêu dùng được thu thập từ nhiều kênh khác nhau, nên dữ liệu này thường được tìm thấy trong các kho nhận dạng khác nhau, tạo ra trải nghiệm người dùng không nhất quán và cản trở khả năng có một cái nhìn thống nhất về những người tiêu dùng này.

Hơn nữa, khách hàng mong đợi một số quyền kiểm soát xung quanh cách các công ty thu thập, lưu trữ, quản lý và chia sẻ dữ liệu hồ sơ của họ. Với sự cạnh tranh chỉ bằng một cú nhấp chuột, một công ty sử dụng sai dữ liệu khách hàng, dù cố ý hay vô ý, có thể gây thiệt hại đáng kể cho tài sản thương hiệu.

Quản lý Danh tính Khách hàng và Truy cập (CIAM) giải quyết các yêu cầu nêu trên của khách hàng siêu kết nối. CIAM là một giải pháp mới nổi khác với Traditional IAM, có tầm quan trọng sống còn đối với trải nghiệm khách hàng kỹ thuật số liền mạch. Một hệ thống CIAM hiệu quả cung cấp nhiều hơn quyền truy cập bởi vì nó cho phép mối quan hệ giữa khách hàng và tổ chức và tạo điều kiện chia sẻ dữ liệu dựa trên khả năng tiếp thị chéo và các hoạt động kinh doanh thông minh.

1.2.1 Lợi ích của CIAM

Doanh nghiệp nên cân nhắc triển khai giải pháp CIAM vì nó

• Giúp cung cấp một cái nhìn tổng thể về khách hàng, điều này sẽ cho phép các công ty hiểu được hành động của khách hàng của họ trên các điểm truy cập khác nhau.
• Cung cấp trải nghiệm khách hàng thống nhất. Nó cho phép chuyển đổi và giữ chân khách hàng thông qua các tùy chọn đăng ký và xác thực nhất quán ở quy mô và hiệu suất cực cao, do đó cho phép trải nghiệm khách hàng an toàn và liền mạch.
• Có thể cung cấp các báo cáo tổng hợp và phân tích về người dùng để thúc đẩy các cơ hội bán hàng khác nhau. Các thống kê này thường bao gồm nhân khẩu học, dữ liệu đăng ký và đăng nhập trên mạng xã hội, dữ liệu hành vi và hoạt động doanh thu.
• Tuân thủ các quy định về quyền riêng tư và cải thiện sự nhanh nhẹn và khả năng mở rộng để hỗ trợ hàng triệu nhận dạng khách hàng.
• Giúp xây dựng cầu nối giữa tiếp thị và ngành kinh doanh để cung cấp các dịch vụ khiến khách hàng hài lòng trong khi cung cấp dữ liệu có thể hành động cho doanh nghiệp.

Các giải pháp Traditional IAM không cung cấp những lợi ích này (như đã giải thích trong phần 1.2.2).

1.2.2 CIAM so với Traditional IAM

CIAM vượt ra khỏi Traditional IAM (còn được gọi là IAM Workforce). IAM Workforce tập trung vào các tương tác giữa doanh nghiệp với nhân viên (B2E) và doanh nghiệp với doanh nghiệp (B2B). Một số doanh nghiệp có ấn tượng sai lầm rằng giải pháp IAM được xây dựng có mục đích cho nhân viên là sự phù hợp tự nhiên cho các tương tác với khách hàng của họ. Điều quan trọng cần lưu ý là CIAM vượt qua Traditional IAM, đặc biệt là trong việc phân tích hành vi của khách hàng, thu thập sự đồng ý cho việc sử dụng dữ liệu của người dùng và tích hợp vào hệ thống quản lý quan hệ khách hàng (CRM), thiết bị được kết nối và hệ thống tự động hóa tiếp thị.

Mục tiêu của IAM Workforce là giảm thiểu rủi ro và chi phí liên quan đến việc on-boarding và off-boarding của nhân viên, đối tác và nhà cung cấp mới. Ngược lại, mục đích của CIAM là giúp thúc đẩy tăng trưởng doanh thu bằng cách tận dụng dữ liệu nhận dạng để có được và giữ chân khách hàng. Nếu các quy trình CIAM cồng kềnh, trải nghiệm kém và bảo mật yếu, khách hàng đương nhiên sẽ tiếp cận với các đối thủ cung cấp các quy trình này theo cách hợp lý hơn hoặc dễ sử dụng hơn. Điều này cũng không đúng với nhân viên vì nhân viên được yêu cầu tuân thủ và phù hợp với hệ thống và công nghệ của công ty họ. Rất ít nhân viên rời bỏ người sử dụng lao động của họ vì các quy trình IAM giữa doanh nghiệp với nhân viên (B2E) là cổ điển hoặc khó sử dụng — nhân viên được trả tiền để sử dụng hệ thống của tổ chức. Mặt khác, khách hàng sẽ bỏ đi nếu trải nghiệm người dùng không đủ mượt mà.

Customer IAM khác với hệ thống Traditional IAM về cơ bản như sau:

2.1.1 Registration

Thông thường, bước đầu tiên trong quy trình CIAM là đăng ký người dùng. Mục tiêu của giai đoạn này là chuyển đổi khách truy cập trang web ẩn danh, bình thường thành những người dùng đã đăng ký hoạt động. Nếu việc đăng ký quá khó khăn, khách hàng sẽ bỏ qua quá trình đăng ký, điều này sẽ ảnh hưởng không tốt đến hoạt động kinh doanh. Các dịch vụ được cá nhân hóa và làm sâu sắc thêm mối quan hệ với khách hàng kỹ thuật số là một số lợi ích của việc đăng ký ngoài việc xác định người dùng. Điều quan trọng là đăng ký phải thân thiện với người dùng và đơn giản nhất có thể trong khi thu thập dữ liệu nhận dạng khách hàng có giá trị. Lý tưởng nhất là các tổ chức phải cung cấp cho người dùng nhiều tùy chọn đăng ký, chẳng hạn như đăng ký tự phục vụ, đăng ký mạng mạng xã hội và quản trị được ủy quyền.

2.1.1.1 Self-Service Registration

Self-service registration là phương pháp phổ biến nhất để đăng ký người dùng trực tuyến, cho phép họ tự đăng ký tài khoản người dùng và cung cấp dữ liệu nhận dạng của họ. Một biểu mẫu đăng ký tự phục vụ thường yêu cầu các thành phần như tên người dùng, mật khẩu và một hoặc nhiều trường dữ liệu. Lý tưởng là biểu mẫu phải tối thiểu nhất có thể và chỉ yêu cầu các trường cần thiết để tạo tài khoản. Loại dữ liệu được thu thập khi đăng ký phụ thuộc vào loại dịch vụ hoặc thông tin mà người dùng đang yêu cầu. Tổ chức có thể thu thập thêm dữ liệu về người dùng theo thời gian, được gọi là lập hồ sơ lũy tiến.

2.1.1.2 Social Registration

Nhu cầu đăng ký liền mạch đã làm phát sinh việc sử dụng danh tính mạng xã hội trong quá trình này, được gọi là đăng ký mạng xã hội. Đăng ký mạng xã hội hợp lý hóa việc đăng ký bằng cách tận dụng thông tin đăng nhập mạng xã hội như Facebook, Google, LinkedIn và Twitter. Người dùng có thể đồng ý cho phép các thuộc tính từ tài khoản mạng xã hội của họ được điền vào biểu mẫu đăng ký bằng cách tiếp cận này, giảm đáng kể việc nhập và đơn giản hóa toàn bộ quy trình đăng ký. Người dùng tiết kiệm thời gian đăng ký và họ có thể đăng nhập bằng thông tin đăng nhập mạng xã hội của mình khi họ quay lại trang web. Cách tiếp cận này mang lại lợi ích cho cả người dùng và trang web. Nói như vậy, đăng ký mạng xã hội không đủ cho tất cả các trường hợp sử dụng, chẳng hạn như các trường hợp sử dụng có độ đảm bảo cao hoặc với những người dùng không sử dụng mạng xã hội.

2.1.1.3 Delegated Administration

Quản lý ủy quyền là một hình thức đăng ký khác. Mặc dù mô hình này tương tự như tự đăng ký, trong quản trị được ủy quyền, một người được ủy quyền sẽ thay mặt người dùng và tạo tài khoản cho người dùng theo cách thủ công. Trung tâm dịch vụ khách hàng hoặc bàn trợ giúp tạo tài khoản người dùng trực tuyến thay mặt cho người dùng là những ví dụ điển hình. Giải pháp CIAM nên cung cấp giao diện quản trị cho phép các đại biểu thay mặt người dùng tạo, quản lý và xóa tài khoản người dùng và mật khẩu. Để hỗ trợ loại mô hình này, giải pháp CIAM phải cung cấp khuôn khổ ủy quyền mạnh mẽ để kiểm soát ai có thể truy cập vào tài khoản và dữ liệu người dùng nào.

2.1.2 Account Validation

Danh tính của một cá nhân và các yếu tố dữ liệu nhận dạng liên quan phải được xác thực trước khi tạo tài khoản người dùng. Ngay cả trong trường hợp các thuộc tính người dùng được yêu cầu để đăng ký được tìm nạp thông qua nhà cung cấp danh tính bên thứ ba (third-party identity provider), giai đoạn cuối cùng của quá trình đăng ký sẽ liên quan đến việc người dùng submit form đăng ký. Mục tiêu của xác thực là xác minh thông tin được cung cấp và đảm bảo rằng người dùng đúng là họ. Các mức độ xác thực khác nhau: các hoạt động tài khoản rủi ro cao sẽ yêu cầu các kỹ thuật xác thực phức tạp hơn, trong khi các hoạt động tài khoản rủi ro thấp có thể yêu cầu ít hoặc không cần xác thực.

Các giải pháp CIAM có thể cung cấp một số kỹ thuật để xác thực tài khoản người dùng và dữ liệu nhận dạng liên quan của họ, bao gồm:

• Format validation — Thực thi các định dạng nhập dữ liệu nhất quán, chẳng hạn như các trường bắt buộc, độ dài trường hoặc loại trường.
• Data validation — Đảm bảo tính chính xác của dữ liệu được nhập (có hoặc không có dịch vụ của bên thứ ba). Ví dụ. xác thực dữ liệu thẻ tín dụng hoặc tuổi của một người.
• Completely Automated Public Turing Test to Tell Computers and Humans Apart (CAPTCHA) or Google’s reCAPTCHA — Phân biệt con người với máy tính bằng cách giới thiệu cho người dùng một nhiệm vụ mà con người có thể thực hiện, nhưng máy tính không thể.

Đồng thời, các kỹ thuật xác minh danh tính bổ sung phải được áp dụng cho một số tài khoản và giao dịch. Chứng minh danh tính giúp các tổ chức xác nhận tính xác thực của người dùng. Hai kỹ thuật kiểm tra phổ biến nhất được đưa ra dưới đây:

• Email verification — Xác minh tính xác thực của địa chỉ email bằng cách gửi email tự động đến người dùng và cung cấp liên kết chuyển hướng người dùng trở lại trang web để kết thúc quá trình đăng ký.
• Dynamic Knowledge-Based Authentication (KBA) — Xác minh người dùng dựa trên các dữ kiện (bí mật) không được tiết lộ rộng rãi, lý tưởng là dựa trên các giao dịch trước đó với tổ chức. KBA cũng có thể bao gồm phân tích dấu vân tay và định vị trong số những thứ khác

Khi onboarding customers, điều quan trọng là phải nghĩ đến khía cạnh khả năng sử dụng. Đã có nhiều tranh luận về mức độ ưu tiên của bảo mật so với khả năng sử dụng trong những năm gần đây bởi vì việc tìm ra điểm cân bằng phù hợp là vô cùng khó khăn.

Progressive profiling cho phép tổ chức xây dựng hồ sơ người dùng toàn diện theo thời gian. Tại thời điểm đăng ký, tài khoản người dùng thường là tài khoản chỉ có một vài thuộc tính. Khi khách hàng cảm thấy thoải mái hơn với tổ chức, tức là họ yêu cầu nhiều dịch vụ hơn hoặc thực hiện các giao dịch, họ sẽ sẵn sàng chia sẻ dữ liệu cá nhân hơn. Tại thời điểm đó, công ty có thể nhắc nhở bổ sung dữ liệu nhận dạng. Ví dụ: tại thời điểm đăng ký, người dùng có thể chỉ cần cung cấp họ, tên và địa chỉ email. Nếu người dùng đó sau đó muốn tải xuống sách trắng, truy cập dịch vụ kỹ thuật số hoặc mua sản phẩm, công ty có thể yêu cầu các thuộc tính nhận dạng bổ sung, chẳng hạn như tên công ty, chức danh và thông tin liên hệ.

Single Sign-on (SSO) đảm bảo rằng khách hàng có trải nghiệm đăng nhập nhất quán với thông tin đăng nhập chung trên các sản phẩm kỹ thuật số. SSO là một tính năng thường được tìm kiếm của hầu hết các triển khai IAM ngày nay và hệ thống CIAM cũng nên cung cấp tính năng tương tự bằng cách hỗ trợ các giao thức liên kết tiêu chuẩn — chẳng hạn như SAML, OAuth và OIDC giữa các trang web của tổ chức. Hệ thống CIAM cũng có thể bao gồm các trình kết nối độc quyền cho các ứng dụng được lưu trữ nội bộ và ứng dụng SaaS, chẳng hạn như hệ thống CRM và hệ thống tự động hóa tiếp thị, để cho phép trải nghiệm đăng nhập một lần. Không nghi ngờ gì nữa, SSO là thứ tuyệt đối bắt buộc trong hệ thống CIAM khi một công ty cung cấp nhiều cổng thông tin để thực hiện các chức năng kinh doanh.

Sau khi đăng ký, khách hàng cần có khả năng tự phục vụ để quản lý, thêm, cập nhật hoặc xóa dữ liệu của riêng họ. Các cổng tự chăm sóc khách hàng nên được cung cấp bởi các giải pháp CIAM để cho phép khách hàng và quản trị viên được ủy quyền xác định rõ ràng các tùy chọn, các tùy chọn này sẽ được lưu trữ trong một hồ sơ khách hàng thống nhất để tạo điều kiện cho trải nghiệm nhất quán, được cá nhân hóa trên các kênh. Cổng thông tin chăm sóc bản thân là nơi duy nhất để

• View or update a profile
• Manage consents given to third-party applications
• Reset a password
• Manage credentials
• Manage preferences
• Configure account recovery options
• View concurrent login sessions and activity logs
• Request for data export
• Associate social logins and more

Xác thực ngoài phạm vi tên người dùng và mật khẩu là một yêu cầu đối với số lượng trường hợp sử dụng CIAM ngày càng tăng.

2.5.1 Social Login

Đăng nhập mạng xã hội là yếu tố thành công chính trong CIAM và một hệ thống CIAM tốt phải hỗ trợ đăng nhập với nhiều nhà cung cấp nhận dạng mạng xã hội để tạo điều kiện dễ dàng thu hút khách hàng. Đăng nhập mạng xã hội cung cấp đăng nhập liên kết cho phép người dùng sử dụng danh tính kỹ thuật số hiện có do nhà cung cấp danh tính bên thứ ba đáng tin cậy (IdP) cấp. Điều này cho phép người dùng truy cập ứng dụng của bên thứ ba mà không phải trải qua quy trình đăng ký mới và IdP của bên thứ ba xác thực người dùng và cho phép hệ thống CIAM nắm bắt các thuộc tính nhận dạng của người dùng.

Đăng nhập mạng xã hội ngày càng trở nên phổ biến trong những năm gần đây vì người dùng phàn nàn về việc đăng ký mệt mỏi sau khi bị buộc phải đăng ký lại để hoàn thành giao dịch. Hệ thống Traditional IAM không khuyến khích đăng nhập xã hội. Đáng chú ý, đăng nhập mạng xã hội được coi là một yếu tố rủi ro cao vì doanh nghiệp không có quyền kiểm soát cách thông tin đăng nhập của người dùng được lưu trữ và quản lý bởi nhà cung cấp danh tính bên thứ ba. Yếu tố rủi ro tương tự tồn tại trong CIAM nhưng nó là sự thỏa hiệp giữa sự tiện lợi và bảo mật. Ngoài ra, ngành nghề kinh doanh đóng một vai trò quan trọng trong việc đàm phán xem có sử dụng đăng nhập mạng xã hội hay không. Ví dụ, các viện tài chính thậm chí không xem xét việc tích hợp đăng nhập mạng xã hội do những lo ngại về bảo mật và quyền riêng tư rõ ràng.

2.5.2 Multi-factor Authentication (Strong Authentication)

Khi các hệ thống ngày nay chứa quá nhiều thông tin bí mật và nhận dạng cá nhân, thì rõ ràng chỉ riêng mật khẩu là không đủ. Các mối đe dọa bảo mật ngày nay đòi hỏi các biện pháp bảo vệ mạnh mẽ hơn nhiều, đặc biệt là đối với các giao dịch rủi ro cao hoặc phần thưởng cao, chẳng hạn như mua hàng hoặc thanh toán. Xác thực mạnh hoặc Xác thực đa yếu tố (MFA) xác nhận danh tính của người dùng và đảm bảo chỉ những người phù hợp mới có quyền truy cập bằng cách thêm một lớp bổ sung vào quy trình xác thực. MFA cung cấp nhiều yếu tố khác nhau để bạn lựa chọn, từ đặt câu hỏi bảo mật đến thu thập và xác nhận dữ liệu sinh trắc học đến sử dụng mã xác thực vật lý, mã hoặc Mật khẩu dùng một lần (OTP).

Strong authentication được khuyến khích trong cả CIAM và IAM. Hệ thống IAM Workforce dựa vào mã thông báo phần cứng cho MFA, trong khi hệ thống CIAM quy mô lớn sử dụng mã thông báo mềm như Mật khẩu dùng một lần (OTP) qua SMS / Email hoặc Mật khẩu dùng một lần dựa trên thời gian (TOTP) (Google Authenticator). Cả Google và LinkedIn đều sử dụng FIDO U2F nội bộ để xác thực nhân viên. Hầu như tất cả các ứng dụng di động tiêu dùng do các nhà cung cấp trong lĩnh vực tài chính, bán lẻ và hàng không sản xuất hiện đều hỗ trợ đăng nhập bằng Touch ID.

2.5.3 Adaptive Authentication (Risk-Based Authentication)

Second authentication factors (e.g. OTP over SMS, biometrics) phải thích ứng hoặc dựa trên rủi ro. Nghĩa là, giải pháp CIAM phải xem xét ngữ cảnh thiết bị của người dùng, tài nguyên mà họ đang cố gắng truy cập, loại giao dịch họ đang thực hiện hoặc các yếu tố ngữ cảnh khác để xác định các yếu tố xác thực thứ hai đến thứ n.

Risk-based authentication là việc đánh giá các thông số môi trường thời gian chạy, phân tích hành vi của người dùng và thông tin về gian lận / mối đe dọa để khớp cơ chế xác thực phù hợp với mức độ rủi ro kinh doanh hoặc theo yêu cầu của quy định. Nó là một hệ thống xác thực không tĩnh, có tính đến hồ sơ của tác nhân yêu cầu quyền truy cập vào hệ thống để xác định hồ sơ rủi ro liên quan đến giao dịch đó. Hồ sơ rủi ro sau đó được sử dụng để xác định mức độ phức tạp của thách thức. Dựa trên các yếu tố rủi ro, hệ thống sẽ quyết định sử dụng SMS OTP hay sử dụng Xác thực dựa trên tri thức (KBA). Để xác định rủi ro của giao dịch, hệ thống xác thực có thể sử dụng một công cụ rủi ro, có tính đến vị trí địa lý nơi giao dịch bắt đầu, tần suất và giá trị của giao dịch trong số các tiêu chí khác.

Hệ thống CIAM phải có khả năng sử dụng thông tin gian lận nhằm mục đích đánh giá bởi công cụ phát hiện rủi ro / gian lận để chọn cơ chế xác thực phù hợp và cho phép hoặc từ chối quyền truy cập hoặc hoàn thành giao dịch.

Identity analytics có thể được sử dụng để xác định người dùng cũ và tạo điểm rủi ro dựa trên thiết bị, địa chỉ IP, vị trí địa lý hoặc hành vi của người dùng. Nói cách khác, các miền xấu đã biết, thông tin đăng nhập bị xâm phạm, tài khoản bị nghi ngờ là gian lận, các kiểu gian lận và hành vi mạng botnet sẽ được đưa vào công cụ phát hiện gian lận trong một giao dịch. Dựa trên các thuật toán hoặc quy tắc phát hiện bất thường được xác định trong công cụ, hệ thống CIAM sẽ phản ứng với các sự kiện gian lận bằng cách chặn giao dịch, khóa tài khoản khách hàng và tạo cảnh báo cho các bên có trách nhiệm.

Ví dụ: nếu một khách hàng đăng nhập vào tài khoản của họ từ Hoa Kỳ trước tiên và sau đó từ Trung Quốc trong vòng một giờ, thì đó được coi là một sự kiện gian lận với điểm gian lận cao. Ví dụ khác, nếu một khách hàng truy cập các dịch vụ trực tuyến trong khoảng thời gian từ 9 giờ tối đến 11 giờ tối theo giờ GMT 90% và sau đó nếu cùng một thông tin đăng nhập người dùng được sử dụng để truy cập hệ thống trong khoảng thời gian từ 2 giờ sáng đến 3 giờ sáng theo giờ GMT, thì điều đó cũng được coi là là một sự kiện gian lận với điểm gian lận trung bình.

Khi các tổ chức phát triển, ngày càng có nhiều dữ liệu nhận dạng khách hàng được thu thập để đưa ra các quyết định dựa trên ngữ cảnh và cá nhân hóa hơn. Nhiều người tiêu dùng đã trở nên nhạy cảm hơn với các vấn đề về quyền riêng tư với dòng vi phạm danh tính cao gần đây. Các tổ chức hoạt động ở nhiều khu vực pháp lý có nhiều khả năng cần tuân thủ các quy định về quyền riêng tư khác nhau. Do đó, sự đồng ý của khách hàng và quản lý quyền riêng tư là ưu tiên hàng đầu của hầu hết các tổ chức.

Các tổ chức phải tuân theo các quy tắc và quy định liên quan đến việc thu thập dữ liệu người dùng do chính phủ và các cơ quan công nghiệp khác nhau thực thi. Hiện nay có nhiều quy định nghiêm ngặt về quyền riêng tư khác nhau tùy theo khu vực, ngành, công ty và thậm chí tùy từng người và việc tuân thủ các quy định này là rất quan trọng vì vi phạm có thể dẫn đến tổn hại thương hiệu, mất lòng tin của khách hàng và tiền phạt khổng lồ. Do đó, các giải pháp CIAM phải cung cấp các chính sách quản trị quyền truy cập dữ liệu tập trung, các cơ sở trong giao diện người dùng để cho phép người tiêu dùng cung cấp các tùy chọn chi tiết lấy người dùng làm trung tâm và các khả năng khác để đảm bảo đáp ứng các yêu cầu về quyền riêng tư và lưu trữ dữ liệu khu vực.

Khách hàng ngày nay tương tác với các dịch vụ trực tuyến thông qua nhiều kênh khác nhau, chẳng hạn như máy tính xách tay, điện thoại thông minh, ki-ốt, máy chơi game và trợ lý kỹ thuật số cá nhân. Các giải pháp CIAM nên được tối ưu hóa cho trải nghiệm người dùng đa kênh. Vai trò của CIAM trong môi trường đa kênh bao gồm từ xác thực khách hàng qua nhiều kênh đến quản lý sở thích của khách hàng thông qua các kênh đó để xây dựng hồ sơ khách hàng thống nhất. Ví dụ: người đăng ký tạp chí tin tức có thể chọn phiên bản in, phiên bản kỹ thuật số hoặc cả hai và đăng ký kỹ thuật số có sẵn thông qua web, điện thoại thông minh hoặc máy tính bảng. Nếu khách hàng sử dụng ứng dụng dành cho thiết bị di động của tạp chí để đánh dấu một số nội dung, thì văn bản đó sẽ vẫn được đánh dấu khi người dùng xem cùng một nội dung trên web. Đây là một trải nghiệm liền mạch.

Các kênh có sẵn cho người dùng sẽ khác nhau giữa các tổ chức và từ dịch vụ này sang dịch vụ khác. Hơn nữa, để cung cấp trải nghiệm khách hàng tổng thể tốt hơn, xu hướng hiện tại là cung cấp sự tích hợp tốt hơn giữa trải nghiệm mua sắm trực tuyến và mua sắm thực tế. Ví dụ, những gã khổng lồ bán lẻ nhận thấy rằng tương lai của ngành sẽ không có màu đen hay trắng trong việc lựa chọn trực tuyến hoặc tại cửa hàng, nó sẽ là đa kênh. Điểm mấu chốt là, các công ty ở nhiều ngành dọc đang tìm cách cung cấp trải nghiệm khách hàng tốt hơn, liền mạch qua nhiều kênh và bắt buộc phải có hệ thống CIAM để cho phép trải nghiệm đa kênh mượt mà.

Thực tế, CIAM không được thấy như là một sản phẩm độc lập mà thường được cung cấp thông qua giải pháp tích hợp, thường tích hợp hệ thống IAM, với giải pháp phân tích dữ liệu (data analytics solution), nền tảng dữ liệu khách hàng (customer data platform), nền tảng quản lý dữ liệu (data management platform), hệ thống xác minh danh tính (identity proofing systems), nền tảng thương mại điện tử (ecommerce), v.v. Các yêu cầu CIAM phát triển theo thời gian với các yêu cầu kinh doanh mới. Do đó, các tổ chức cần một nền tảng IAM dành cho người tiêu dùng nhanh nhẹn, hướng tới sự kiện có thể linh hoạt để đáp ứng cả những cơ hội và thách thức kinh doanh mới.

WSO2 is the only vendor, which provides an open source (with no vendor lock-in), nền tảng tích hợp nhanh nhẹn cho CIAM. Máy chủ nhận dạng WSO2 cùng với Nền tảng linh hoạt tích hợp WSO2 cung cấp các tính năng vượt trội để giải quyết các mẫu CIAM phổ biến và cả các điểm mở rộng để mở rộng bộ tính năng của nó nhằm đáp ứng các nhu cầu riêng của khách hàng. Phần này sẽ giải quyết một số yêu cầu CIAM chính thông qua một tập hợp các mẫu kiến trúc thường được triển khai với Máy chủ nhận dạng WSO2 cũng như phần còn lại của các thành phần WSO2.

Ở cấp độ cơ bản, một công ty nên tận dụng hệ thống CIAM tập trung để bảo mật dữ liệu hồ sơ và danh tính khách hàng khỏi xác thực bằng cách hỗ trợ các tiêu chuẩn nhận dạng liên quan, chẳng hạn như SAML, OAuth, OIDC và Hệ thống quản lý danh tính tên miền chéo (SCIM). Họ cũng phải cung cấp thông tin đăng nhập thống nhất (SSO) trên tất cả các thuộc tính kỹ thuật số của họ, tức là các trang web và các ứng dụng khác. Khả năng đăng nhập mạng xã hội cũng có thể được giới thiệu tại thời điểm này. Cấp phép người dùng đến, đi và kịp thời (JIT) có thể được sử dụng để quản lý thông tin về người dùng trên nhiều hệ thống và ứng dụng. Hơn nữa, các tính năng cung cấp danh tính có thể được sử dụng để tuyên truyền danh tính người dùng trên các nhà cung cấp SaaS khác nhau. Nhiều phiên bản của hệ thống CIAM nên được triển khai để cho phép truy cập có độ trễ thấp, hiệu suất cao vào dữ liệu danh tính và hồ sơ từ nhiều triệu khách hàng.

Bước tiếp theo, công ty nên kích hoạt các tính năng đăng ký tự phục vụ, quản lý tài khoản và khôi phục tài khoản thuận tiện. Họ cũng phải tạo ra một cái nhìn thống nhất về khách hàng từ các kho lưu trữ danh tính khác nhau mà tất cả các ứng dụng đều có thể truy cập được. Sau đó, MFA an toàn và hoàn toàn có thể tùy chỉnh cân bằng giữa bảo mật và sự tiện lợi cho khách hàng có thể được giới thiệu. Không cần phải nói, giải pháp CIAM phải thực thi các chính sách tập trung và quản trị quyền truy cập dữ liệu chi tiết có thể được sử dụng để thực thi sự đồng ý của khách hàng và luôn tuân thủ các quy định hiện hành.

Sau đó, để hỗ trợ xác thực và phân tích thích ứng, hệ thống CIAM có thể được tích hợp với các công cụ rủi ro và hệ thống phân tích. Phân tích CIAM giúp tổ chức hiểu khách hàng của mình là ai và làm thế nào để tăng doanh thu thông qua các tương tác trực tuyến với khách hàng. Với xác thực thích ứng, các luồng xác thực khác nhau có thể được xác định dựa trên các tham số ngữ cảnh và rủi ro liên quan. Để xác định rủi ro của một giao dịch, hệ thống xác thực có thể sử dụng một công cụ rủi ro, có tính đến vị trí địa lý nơi giao dịch được bắt đầu, tần suất và giá trị của giao dịch trong số các tiêu chí khác.

3.1.1 Centralized Security and Administration with WSO2 Identity Server

WSO2 Identity Server là một sản phẩm IAM mã nguồn mở, linh hoạt độc đáo, cho phép các doanh nghiệp thực hiện đăng nhập / đăng xuất một lần, liên kết danh tính, xác thực mạnh, quản lý danh tính, quản lý tài khoản, cung cấp danh tính, kiểm soát truy cập chi tiết, bảo mật API và danh tính phân tích, bao gồm giám sát, báo cáo và kiểm toán. Nó cũng cung cấp một loạt các đầu nối sẵn sàng sử dụng có thể được sử dụng để kết nối với các hệ thống của bên thứ ba nhằm xây dựng các hệ thống được thiết kế riêng để đáp ứng nhu cầu kinh doanh.

Mặc định, WSO2 Identity Server có thể kết nối với các user store như JDBC, LDAP hoặc Active Directory và hỗ trợ xác thực dựa trên tên người dùng / mật khẩu, cũng như kiểm soát truy cập dựa trên vai trò hoặc dựa trên thuộc tính. Xác thực đa tùy chọn và đa yếu tố, cũng như xác thực thích ứng, có thể được bật trong Máy chủ nhận dạng WSO2 để xác định cách xác thực người dùng với các ứng dụng khác nhau. Nó cho phép định cấu hình xác thực nhiều bước trong đó chuỗi xác thực có thể chứa các trình xác thực khác nhau ở mỗi bước. Ví dụ: nhà phát triển có thể định cấu hình xác thực tên người dùng / mật khẩu làm yếu tố đầu tiên và sau đó xác thực FIDO làm yếu tố thứ hai. WSO2 Identity Server chấp nhận email / SMS OTP, FIDO U2F, Google Authenticator, JWTs, Microsoft Authenticator, Mobile Connect, RSA SecurID, đăng nhập mạng xã hội và chứng chỉ x.509. WSO2 Identity Server cung cấp các trình kết nối cho Sinh trắc học Veridium và Aware Knomi cho sinh trắc học di động, trong khi một số trình kết nối khác đang được tiến hành. Các cấu hình như vậy rất đơn giản trong Máy chủ nhận dạng WSO2 vì chúng có thể dễ dàng cấu hình thông qua trình hướng dẫn giao diện người dùng.

SSO là một tính năng chính của WSO2 Identity Server cho phép người dùng cung cấp thông tin đăng nhập của họ một lần và có quyền truy cập vào nhiều ứng dụng. Người dùng không được nhắc nhập thông tin đăng nhập của họ khi truy cập từng ứng dụng cho đến khi phiên của họ bị chấm dứt. Ngoài ra, người dùng có thể truy cập tất cả các ứng dụng này mà không cần phải đăng nhập vào từng ứng dụng riêng lẻ. WSO2 Identity Server hỗ trợ SSO qua SAML2, OpenID Connect và WS-Federation Passive. Hơn nữa, SSO có thể được kết hợp với Liên đoàn danh tính, liên quan đến việc định cấu hình nhà cung cấp danh tính bên thứ ba làm trình xác thực được liên kết để người dùng đăng nhập vào ứng dụng. Khi liên kết được kết hợp với SSO, người dùng có thể đăng nhập vào một ứng dụng bằng thông tin đăng nhập của trình xác thực được liên kết và đồng thời được xác thực với các ứng dụng được kết nối khác mà không cần phải cung cấp lại thông tin đăng nhập.

Tính năng Identity provisioning của WSO2 Identity Server có thể được sử dụng để tuyên truyền danh tính người dùng trên các user store khác nhau thuộc các ứng dụng khác nhau. Nó hỗ trợ SCIM và Ngôn ngữ đánh dấu cung cấp dịch vụ (SPML) cho mục đích này.

WSO2 Identity Server’s self-service portal cho người dùng cuối cung cấp một phương tiện để quản lý hồ sơ người dùng hoặc tài khoản người dùng, thêm câu hỏi bảo mật, thu hồi / cập nhật mật khẩu, quản lý hồ sơ OpenID và xem nhà cung cấp danh tính, phiên đăng nhập của người dùng, phê duyệt đang chờ phê duyệt và các tài khoản được liên kết.

Hơn nữa, WSO2 Identity Server cung cấp giải pháp quản lý sự đồng ý toàn diện có thể được sử dụng để quản lý sự đồng ý, nơi người tiêu dùng có khả năng xem, chỉnh sửa, xuất và xóa dữ liệu hồ sơ của họ. Mô-đun quản lý sự đồng ý của nó cung cấp các API đồng ý RESTful để quản lý sự đồng ý từ xa; một cổng thông tin đồng ý để người dùng xem xét, sửa đổi và thu hồi các đồng ý đã cho; và hỗ trợ cổng quản trị cho các tổ chức để xác định và quản lý sự đồng ý. Nó cũng hỗ trợ đặc điểm kỹ thuật nhận sự đồng ý của Kantara.

Với khả năng đăng nhập xã hội, hồ sơ khách hàng có thể được tạo từ và khách hàng có thể được xác thực thông qua nhà cung cấp danh tính bên thứ ba. Người dùng có thể hoàn thành toàn bộ biểu mẫu đăng ký do ứng dụng cung cấp hoặc để ứng dụng nhập dữ liệu hồ sơ nhận dạng hiện có từ Facebook, LinkedIn hoặc Google. Nếu người dùng chọn đăng ký qua mạng xã hội ưa thích của họ, ứng dụng sẽ chuyển hướng người dùng đến mạng xã hội nhất định. Hơn nữa, bất cứ khi nào người dùng muốn đăng nhập vào ứng dụng, họ sẽ được chuyển hướng đến trang mạng xã hội ưa thích, trang này sẽ thực hiện xác thực và trả về mã thông báo an toàn được sử dụng với ứng dụng.

WSO2 Identity Server có thể được tích hợp với các công cụ rủi ro và hệ thống bên ngoài để thực hiện xác thực thích ứng. Với mục đích này, WSO2 Stream Processor, một nền tảng xử lý luồng nhẹ giúp hiểu các truy vấn SQL trực tuyến để nắm bắt, phân tích, xử lý và hành động trên các sự kiện trong thời gian thực, được định cấu hình làm công cụ rủi ro mặc định. Nó có thể thu thập các sự kiện, phân tích chúng trong thời gian thực, xác định các mẫu, lập bản đồ tác động của chúng và truyền đạt kết quả trong vòng mili giây. Nó có thể xử lý dấu vân tay và lịch sử của thiết bị, vị trí địa lý, vận tốc địa lý, thuộc tính người dùng và thực hiện phân tích hành vi. Ngoài ra, có thể nhập thông tin tình báo của bên thứ ba. Việc triển khai xác thực thích ứng của WSO2 Identity Server đi kèm với ngôn ngữ chính sách dựa trên tập lệnh phong phú, cho phép viết các tập lệnh xác thực mạnh mẽ trong trình chỉnh sửa tập lệnh để thực thi các chính sách mới một cách dễ dàng. Các yếu tố tĩnh như vai trò người dùng, thuộc tính người dùng, user store và các yếu tố động như xu hướng người dùng được xác định trên việc sử dụng thiết bị, dải IP và tốc độ địa lý có thể được xem xét khi triển khai các chính sách xác thực thích ứng.

Để phân tích, the WSO2 Identity Analytics server, được tích hợp sẵn nhưng chạy như một quy trình riêng biệt, có thể được sử dụng để tạo phân tích nhận dạng và tiếp thị. Máy chủ phân tích có thể được sử dụng để thực hiện các tác vụ sau:

• Monitoring and analysis
• Login events and session monitoring
• Logged in users/sessions
• Manually terminated user sessions
• Admin-forced password reset
• Real-time security alerting for suspicious login activities and abnormal sessions
• Auditing of privileged operations using distributed auditing system (XDAS)
• Built-in collection and monitoring of standard access and performance statistics
• Key system metrics monitoring and management using JMX MBeans

Một giải pháp CIAM được thiết kế tốt sẽ cho phép khách hàng kết nối phù hợp với các dịch vụ kỹ thuật số đa kênh của tổ chức. Đồng thời, giải pháp như vậy cũng sẽ cung cấp một chế độ xem duy nhất về khách hàng và để đạt được một chế độ xem duy nhất, các tổ chức phải tổng hợp dữ liệu từ nhiều nguồn vì dữ liệu nhận dạng khách hàng thường được phân phối trên nhiều vị trí khác nhau, chẳng hạn như người dùng hồ sơ, nhiều bản ghi tài khoản, cơ sở dữ liệu của bên thứ ba và hệ thống bán lẻ và CRM.

Chuyển đổi kỹ thuật số cho phép người tiêu dùng đạt được khả năng tự phục vụ bằng cách cung cấp quyền truy cập trực tiếp vào các hệ thống tích hợp để cung cấp trải nghiệm người dùng thống nhất trên tất cả các kênh. Nó cũng sẽ tạo điều kiện cho những cách mới để thu hút khách hàng và mang lại giá trị. Các đầu nối được xây dựng sẵn với các hệ thống khác cũng như các công cụ tích hợp tạo điều kiện thuận lợi cho việc này. Như đã đề cập trước đây, hệ thống CIAM không phải là một giải pháp tất cả trong một và khả năng hoạt động trong một hệ sinh thái lớn hơn, nơi nó có thể chia sẻ thông tin một cách thích hợp với nhiều hệ thống khác nhau là điều khiến nó trở nên mạnh mẽ.

3.2.1 Kiến trúc tham chiếu WSO2 CIAM cho chuyển đổi kỹ thuật số

Hai sản phẩm WSO2 chính cho phép chuyển đổi kỹ thuật số doanh nghiệp là WSO2 API Manager và WSO2 Enterprise Integrator.

WSO2 API Manager là một giải pháp quản lý API mã nguồn mở cung cấp cổng API và hỗ trợ tạo, xuất bản, quản lý vòng đời API, lập phiên bản, kiếm tiền, quản trị, bảo mật, giới hạn tỷ lệ và phân tích bằng công nghệ WSO2 đã được chứng minh. Nó cung cấp giao diện web cho các nhóm phát triển để triển khai và giám sát các API cũng như cho người tiêu dùng đăng ký, khám phá và sử dụng các API thông qua một cửa hàng thân thiện với người dùng. WSO2 API Manager bao gồm một số thành phần: API Gateway, Key Manager, Traffic Manager, Publisher Portal, Developer Portal (Store) và Analytics. Tùy thuộc vào trường hợp sử dụng và lưu lượng truy cập, các thành phần này có thể được triển khai trong một thời gian chạy duy nhất hoặc dưới dạng các thời gian chạy riêng biệt. API có thể được tiếp xúc trực tiếp với các ứng dụng khách thông qua Cổng trình quản lý API WSO2 và Trình quản lý khóa chịu trách nhiệm đảm bảo quyền truy cập API bằng cách phát hành và xác thực tất cả các mã thông báo bảo mật. Trình quản lý API WSO2 cung cấp các khả năng quản lý API khác như tài liệu, khám phá dịch vụ thông qua cửa hàng và phân tích cho các API được tiếp xúc. Cấu hình WSO2 API Analytics được triển khai dưới dạng thời gian chạy riêng biệt.

ESB profile trong WSO2 Enterprise Integrator hoạt động như một Xe buýt Dịch vụ Doanh nghiệp (ESB) và cung cấp các dịch vụ cơ bản của nó thông qua một công cụ nhắn tin dựa trên sự kiện và dựa trên tiêu chuẩn (xe buýt). Điều này cho phép doanh nghiệp tích hợp các hệ thống hiện có, hệ thống kế thừa và API một cách tập trung. Các dịch vụ tích hợp hoặc API chịu trách nhiệm thực hiện các nhiệm vụ tích hợp sẽ được triển khai trong ESB và các điểm cuối này sẽ được hiển thị với các ứng dụng khách thông qua cổng API nơi chúng sẽ được bảo mật, kiểm soát và giám sát.

Như thể hiện trong kiến trúc trên, WSO2 Enterprise Integrator sẽ kết nối tất cả các kho dữ liệu, hệ thống CRM, giải pháp tiếp thị, nền tảng thương mại điện tử, Hệ thống quản lý nội dung (CMS), nền tảng quản lý dữ liệu và các hệ thống khác bằng cách chuyển đổi dữ liệu liên tục qua các định dạng và phương tiện truyền tải khác nhau để tạo ra trải nghiệm thống nhất cho khách hàng cuối. Tận dụng các API hiện có của các ứng dụng này để tạo các API mới nhằm hiển thị dữ liệu ở các định dạng khác nhau hoặc tổng hợp, đồng thời kết nối với các ứng dụng cũ thông qua bộ điều hợp và hiển thị dữ liệu của chúng ở các định dạng tiêu chuẩn thông qua API là các nhiệm vụ chính được thực hiện bởi ESB trong hệ thống CIAM.

Việc quản lý tất cả các API tích hợp của ESB, cũng như các API có thể sử dụng một lần hiện có, được xử lý bởi Cổng của Trình quản lý API WSO2, sẽ định tuyến tập trung tất cả các lệnh gọi API được khởi tạo từ các ứng dụng dành cho khách hàng tới các ứng dụng back-end. Cổng có thể kết nối với Máy chủ nhận dạng WSO2 hoặc Trình quản lý khóa của riêng nó để kiểm tra tính hợp lệ của mã thông báo bảo mật, đăng ký và lệnh gọi API. Khi Máy chủ nhận dạng WSO2 và Trình quản lý API WSO2 cùng tồn tại trong một triển khai, phương pháp được khuyến nghị là cho phép Máy chủ nhận dạng WSO2 hoạt động như máy chủ mã thông báo của Trình quản lý API WSO2 thay vì Trình quản lý khóa của chính người quản lý API. Điều này là do Trình quản lý khóa là phiên bản rút gọn của Máy chủ nhận dạng WSO2, nơi mà sau này có thể thực hiện tất cả các tác vụ mà Trình quản lý API WSO2 yêu cầu liên quan đến việc tạo và xác thực mã thông báo.

Tuy nhiên, trong hệ thống CIAM hợp nhất này, bạn nên triển khai Trình quản lý khóa API WSO2 riêng biệt cũng như Máy chủ nhận dạng WSO2 nếu có yêu cầu để hiển thị API của máy chủ nhận dạng cho các ứng dụng tiêu thụ. Trong trường hợp đó, Trình quản lý khóa của trình quản lý API sẽ chỉ bảo mật các API của máy chủ nhận dạng và phần còn lại của các API. Trong khi đó, WSO2 Identity Server sẽ đảm nhận phần còn lại của các khía cạnh quản lý danh tính và truy cập như liên kết danh tính, đăng nhập xã hội, đăng nhập một lần, cầu nối danh tính, xác thực thích ứng và mạnh mẽ, quản lý tài khoản và cung cấp danh tính. Nó cũng sẽ xuất bản các sự kiện nhận dạng lên Máy chủ phân tích nhận dạng WSO2 và tận dụng Bộ xử lý dòng WSO2 làm công cụ rủi ro. Với hơn 50 trình kết nối có sẵn, WSO2 Identity Server có thể giao tiếp với các nhà cung cấp danh tính và ứng dụng khác nhau để thực hiện đăng nhập xã hội, xác thực liên kết và cấp phép người dùng đi.

Thành phần Cổng nhà phát triển / Cửa hàng của Trình quản lý API WSO2 là một ứng dụng web, cung cấp giao diện cộng tác cho các nhà xuất bản API để lưu trữ và quảng cáo API của họ và để người tiêu dùng API tự đăng ký, khám phá, đánh giá, đăng ký và sử dụng các API bảo mật.

Cổng thông tin khách hàng của Máy chủ nhận dạng WSO2 dành cho người dùng cuối cung cấp phương tiện để quản lý hồ sơ người dùng hoặc tài khoản người dùng, thêm câu hỏi bảo mật, thu hồi / cập nhật mật khẩu, quản lý hồ sơ OpenID và xem nhà cung cấp danh tính, sự đồng ý, phiên đăng nhập của người dùng, phê duyệt đang chờ phê duyệt và các tài khoản được liên kết.

WSO2 API Manager cung cấp Trình quản lý lưu lượng giúp điều chỉnh lưu lượng truy cập API, cung cấp các API và ứng dụng cho người tiêu dùng ở các cấp dịch vụ khác nhau và bảo mật API chống lại các cuộc tấn công. Traffic Manager có một công cụ điều chỉnh động để xử lý các chính sách điều tiết trong thời gian thực, bao gồm cả giới hạn tốc độ của các yêu cầu API.

Thành phần phân tích của WSO2 API Manager cung cấp báo cáo, thống kê và đồ thị trên các API được triển khai. Cảnh báo có thể được định cấu hình để theo dõi các API này và phát hiện hoạt động bất thường, quản lý các vị trí thông qua thống kê vị trí địa lý và thực hiện phân tích chi tiết các nhật ký.

CIAM thúc đẩy tăng trưởng doanh thu bằng cách tận dụng dữ liệu nhận dạng để thu hút và giữ chân khách hàng. Hệ thống CIAM được thiết kế để cung cấp, xác thực, ủy quyền, thu thập và lưu trữ thông tin về người tiêu dùng từ nhiều miền.

CIAM khác với Traditional IAM hoặc IAM theo nhiều cách. Trải nghiệm người dùng cũng quan trọng như quyền riêng tư và bảo mật. Khách hàng tham gia, đăng nhập một lần, lập hồ sơ tiến bộ, tích hợp xã hội, xác thực mạnh mẽ và thích ứng, tự phục vụ, hỗ trợ đa kênh, phát hiện gian lận, phân tích và khả năng mở rộng là những lĩnh vực chính mà bất kỳ triển khai CIAM nào cũng cần quan tâm. Hệ thống CIAM thường có tính năng xác thực dựa trên mật khẩu yếu, nhưng cũng hỗ trợ đăng nhập mạng xã hội và các phương pháp xác thực mạnh hơn khác. Thông tin thu thập về người tiêu dùng có thể được sử dụng cho nhiều mục đích khác nhau, chẳng hạn như ủy quyền cho các nguồn lực, để phân tích nhằm hỗ trợ các chiến dịch tiếp thị hoặc các sáng kiến phát hiện gian lận. Hơn nữa, các hệ thống CIAM phải có khả năng quản lý hàng triệu danh tính và xử lý hàng tỷ thông tin đăng nhập và các giao dịch khác mỗi ngày.

WSO2 cung cấp một nền tảng hấp dẫn để xây dựng một giải pháp CIAM toàn diện với IAM của nó với khã năng API management, integration, and streaming analytic . Bằng cách cung cấp chức năng trên nền tảng mã nguồn mở, gốc đám mây, WSO2 tạo điều kiện thuận lợi cho việc phát triển và triển khai giải pháp CIAM như vậy.

Identity data là vàng mới và CIAM là một xu hướng chính sẽ tiếp thêm sức mạnh cho các nhà phát triển như một cách để liên tục thích ứng với nhu cầu kinh doanh và khách hàng mới.

By Dakshitha Ratnayake
Enterprise Architect — CTO Office, WSO2

Translate from: https://wso2.com/whitepapers/customer-identity-and-access-management-a-wso2-reference-architecture/