主要观点：管理大规模企业的身份和访问管理（IAM）是复杂挑战，传统迁移耗时多年，此研究提出可加速迁移的可扩展架构。该架构包含集中访问控制、自适应认证和桥接机制等核心组件，能简化并集中认证过程，适应各种 OpenID Connect 提供商并与内部工程系统集成，增强安全性、消除技术债务并确保运营可扩展性。
关键信息：

• 架构组成：包括集中访问控制确保安全策略一致执行、自适应认证利用实时信号增强安全、桥接机制实现外部平台与内部系统安全通信。
• 实施细节：如引入身份提供程序代理（IdP Proxy）加速迁移，标准化系统交互、最小化中断、实现集中管理；集中访问控制基于政策信息点（PIP）、决策点（PDP）和执行点（PEP）构建，实现一致、透明、高效和可扩展的访问控制；自适应认证根据实时信号动态调整安全措施，平衡安全与用户体验；可观测性实时监测和响应威胁，统一外部和内部系统信号。
• 结果与影响：在运营效率、安全、可扩展性、用户体验和合规性等方面取得显著改善，如降低复杂性、节省成本、增强实时监测和威胁检测、支持多样应用和适应变化需求、提供无缝认证和增加用户满意度、简化合规报告和增强问责制等。
  重要细节：
• IdP Proxy 利用 AWS CloudFront 实现高可用性和 Lambda@Edge 处理单点登录请求，路由配置存储在 DynamoDB 中。
• 集中访问控制中 PIP 收集和聚合数据，PDP 评估访问请求，PEP 执行决策。
• 自适应认证通过识别关键信号如异常登录行为触发多因素认证等措施增强安全和用户体验。
• 可观测性通过 AWS CloudFront 生成请求 ID 并在系统中传播实现端到端请求关联和综合监测。