在企業中，身份和(hé)訪問管理(lǐ)或者IAM，是用于定義和(hé)管理(lǐ)單個網絡用戶的(de)角色和(hé)訪問特權，以及用戶被授予（或拒絕）這些特權的(de)環境。IAM系統的(de)核心目标是每個人的(de)一(yī)個身份。一(yī)旦建立了數字身份，就必須對每個用戶的(de)“訪問生命周期”進行(xíng)維護、修改和(hé)監控。

因此，身份管理(lǐ)的(de)首要目标是在适當的(de)環境中，向正确的(de)用戶授予正确的(de)企業資産，從用戶的(de)系統入職到許可(kě)授權，再到需要的(de)時候及時隔離(lí)該用戶企業身份和(hé)訪問管理(lǐ)提供商(shāng)Okta的(de)高(gāo)級副總裁兼首席安全官Yassir Abousselham這樣解釋道(dào)。

 

IAM系統為(wèi)管理(lǐ)員提供了工具和(hé)技術來改變用戶的(de)角色，跟蹤用戶活動，創建關于這些活動的(de)報告，并在持續的(de)基礎上實施策略。

這些系統的(de)設計目的(de)是提供一(yī)種管理(lǐ)整個企業用戶訪問的(de)方法，并确保遵守公司政策和(hé)政府法規。

 

IAM産品和(hé)服務的(de)用途

身份和(hé)管理(lǐ)技術包括（但不限于）密碼管理(lǐ)工具、供應軟件、安全策略執行(xíng)應用程序、報告和(hé)監視(shì)應用程序和(hé)身份存儲庫。身份管理(lǐ)系統可(kě)用于內(nèi)部系統，如(rú)微軟SharePoint，以及基于雲的(de)系統，如(rú)Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的(de)報告中，确定了6個低(dī)成熟度的(de)IAM技術，但目前的(de)商(shāng)業價值很高(gāo)。

API安全性，使IAM可(kě)用于B2B商(shāng)務，與雲集成以及基于微服務的(de)IAM架構。Forrester認為(wèi)，在移動應用程序或用戶管理(lǐ)的(de)訪問之間，API安全解決方案被用于單點登錄（SSO）。這将允許安全團隊管理(lǐ)物聯網設備授權和(hé)個人識别數據。

客戶身份和(hé)訪問管理(lǐ)（CIAM），允許對用戶進行(xíng)全面的(de)管理(lǐ)和(hé)認證，自(zì)助式和(hé)檔案管理(lǐ)以及與CRM，ERP和(hé)其他客戶管理(lǐ)系統和(hé)數據庫的(de)集成。

身份分析（IA）将允許安全團隊使用規則、機(jī)器學(xué)習和(hé)其他統計算法來檢測和(hé)阻止危險的(de)身份行(xíng)為(wèi)。

身份驗證安全服務(IDaaS)包括軟件即服務（SaaS）解決方案，從門戶網站到web應用程序和(hé)本機(jī)移動應用程序，以及一(yī)些用戶帳戶供應和(hé)訪問請求管理(lǐ)，提供SSO。

身份管理(lǐ)和(hé)治理(lǐ)（IMG）提供了管理(lǐ)身份生命周期的(de)自(zì)動化和(hé)可(kě)重複的(de)方法，這對于遵守身份和(hé)隐私規定是很重要的(de)。

基于風險的(de)認證（RBA）解決方案在用戶會話和(hé)認證的(de)環境中進行(xíng)，并形成一(yī)個風險分值。根據報告，該公司可(kě)以向高(gāo)風險用戶提供雙因子(zǐ)驗證，并允許低(dī)風險用戶使用單一(yī)因素認證（如(rú)用戶名和(hé)密碼）。

“IAM系統必須足夠靈活和(hé)足夠強大，以适應當今計算環境的(de)複雜性。一(yī)個原因是：企業的(de)計算環境過去(qù)基本上是在本地(dì)運行(xíng)的(de)，而身份管理(lǐ)系統在用戶工作的(de)前提下進行(xíng)了身份驗證和(hé)跟蹤。”身份和(hé)訪問管理(lǐ)提供商(shāng)One Identity的(de)産品管理(lǐ)高(gāo)級總監傑克遜肖說，“以前在該場所周圍有(yǒu)一(yī)個安全圍欄，今天，這個栅欄已經不在了。”

因此，今天的(de)身份管理(lǐ)系統應該能夠使管理(lǐ)員能夠輕松地(dì)管理(lǐ)各種各樣的(de)用戶的(de)訪問權限，包括本地(dì)的(de)現場員工和(hé)國(guó)際外的(de)承包商(shāng)；混合計算環境，包括本地(dì)計算、軟件即服務（SaaS）應用程序，以及影子(zǐ)IT和(hé)BYOD用戶；以及包括UNIX、Windows、Macintosh、iOS、Android甚至物聯網設備的(de)計算架構。

最終，身份和(hé)訪問管理(lǐ)系統應該能夠以一(yī)種一(yī)緻的(de)、可(kě)擴展的(de)方式在整個企業中實現對用戶的(de)集中管理(lǐ)。近年(nián)來，身份即服務（IDaaS）已經發展成為(wèi)基于訂閱的(de)雲服務提供的(de)第三方托管服務，為(wèi)客戶的(de)現場和(hé)基于雲的(de)系統提供身份管理(lǐ)。

 

為(wèi)什麽我需要IAM？

身份和(hé)訪問管理(lǐ)是任何企業安全計劃的(de)關鍵部分，因為(wèi)它與當今數字化經濟中的(de)組織的(de)安全性和(hé)生産力密不可(kě)分。

網絡安全風險投資公司預測，受損害的(de)用戶憑證通常會成為(wèi)組織網絡及其信息資産的(de)入口點。企業使用身份管理(lǐ)來保護自(zì)己的(de)信息資産，以應對勒索軟件、犯罪黑客、網絡釣魚和(hé)其他惡意軟件攻擊的(de)威脅。全球勒索軟件的(de)損失預計今年(nián)将超過50億美元，比2016年(nián)增加15%。

在許多組織中，用戶有(yǒu)時擁有(yǒu)比必要更多的(de)訪問權限。一(yī)個健壯的(de)IAM系統可(kě)以通過确保在組織中一(yī)緻地(dì)應用用戶訪問規則和(hé)策略，從而增加一(yī)個重要的(de)保護層。

身份和(hé)訪問管理(lǐ)系統可(kě)以提高(gāo)企業的(de)生産力。系統的(de)中央管理(lǐ)能力可(kě)以降低(dī)保護用戶憑證和(hé)訪問的(de)複雜性和(hé)成本。同時，身份管理(lǐ)系統使員工在各種環境中更有(yǒu)效率（同時保持安全），無論他們(men)是在家工作，還是在辦公室工作或者在路上。

 

IAM對法規遵循管理(lǐ)的(de)意義

許多政府要求企業關注身份管理(lǐ)，如(rú)Sarbanes-Oxley、格萊姆-萊利-布利利和(hé)HIPAA等監管機(jī)構，要求企業負責控制對客戶和(hé)員工信息的(de)訪問。身份管理(lǐ)系統可(kě)以幫助組織遵守這些規定。

通用數據保護條例（GDPR）是一(yī)項最新的(de)規定，要求嚴格的(de)安全性和(hé)用戶訪問控制。GDPR要求各組織保護歐盟公民的(de)個人數據和(hé)隐私。2018年(nián)5月生效，GDPR影響到所有(yǒu)在歐盟國(guó)家開展業務的(de)公司，或者有(yǒu)歐洲公民作為(wèi)客戶。

在2017年(nián)3月1日，紐約州金融服務局（NYDFS）的(de)新網絡安全監管規定生效。該規定對在紐約運營的(de)金融服務公司的(de)安全運營提出了許多要求，包括監控授權用戶的(de)活動和(hé)維護審計日志——這是身份管理(lǐ)系統通常所做(zuò)的(de)事情。

通過許多方面自(zì)動化，為(wèi)企業網絡和(hé)數據提供安全的(de)用戶訪問，身份管理(lǐ)系統減輕了簡單但重要的(de)任務，并幫助他們(men)遵守政府規定。這些都是至關重要的(de)好處，因為(wèi)今天，每一(yī)個IT職位都是安全的(de)，全球網絡安全人員短(duǎn)缺；對不遵守相關規定的(de)懲罰會使組織損失數百萬甚至數十億美元。

 

IAM系統的(de)好處是什麽

實現身份和(hé)訪問管理(lǐ)以及相關的(de)最佳實踐可(kě)以在幾個方面給您帶來顯著的(de)競争優勢。現在，大多數企業需要向組織之外的(de)用戶提供內(nèi)部系統，例如(rú)客戶、合作夥伴、供應商(shāng)、承包商(shāng)開放您的(de)網絡，當然，員工可(kě)以提高(gāo)效率和(hé)降低(dī)運營成本。

身份管理(lǐ)系統可(kě)以讓公司在不損害安全的(de)前提下，擴展其信息系統的(de)訪問範圍。通過提供更多的(de)外部訪問，你可(kě)以推動整個組織的(de)協作，提高(gāo)生産力、員工滿意度、研究和(hé)開發以及最終的(de)收入。

身份管理(lǐ)可(kě)以減少對IT支持團隊關于密碼重置的(de)求助電話的(de)數量，允許管理(lǐ)員自(zì)動完成這些耗時、耗錢的(de)任務。

身份管理(lǐ)系統可(kě)以成為(wèi)安全網絡的(de)基礎，因為(wèi)管理(lǐ)用戶身份是訪問控制的(de)一(yī)個重要部分。身份管理(lǐ)系統要求公司定義他們(men)的(de)訪問策略，特别是概述誰有(yǒu)權訪問哪些數據資源，以及在哪些條件下可(kě)以訪問這些資源。

因此，管理(lǐ)良好的(de)身份意味着對用戶訪問的(de)更大控制，這意味着內(nèi)部和(hé)外部風險的(de)降低(dī)。這一(yī)點很重要，因為(wèi)随着外部威脅的(de)不斷增加，內(nèi)部攻擊的(de)頻率也非常高(gāo)。根據IBM 2016年(nián)網絡安全情報索引，大約60%的(de)數據洩露是由一(yī)個組織的(de)員工造成的(de)，其中75%是惡意的(de)，25%是意外的(de)。

正如(rú)前面提到的(de)，IAM系統可(kě)以通過提供工具來實現全面的(de)安全性、審計和(hé)訪問策略，從而增強法規遵從性。許多系統現在提供了一(yī)些特性，以确保組織的(de)遵從性。

 

IAM系統是如(rú)何工作的(de)？

在過去(qù)的(de)幾年(nián)裏，一(yī)個典型的(de)身份管理(lǐ)系統包含四個基本元素：系統用來定義個人用戶的(de)個人數據的(de)目錄（将其視(shì)為(wèi)一(yī)個身份存儲庫）；一(yī)組用于添加、修改和(hé)删除數據的(de)工具（與訪問生命周期管理(lǐ)相關）；一(yī)個管理(lǐ)用戶訪問（安全策略和(hé)訪問特權的(de)執行(xíng)）的(de)系統；以及一(yī)個審計和(hé)報告系統（以驗證系統中正在發生的(de)事情）。

規範用戶訪問傳統上涉及到驗證用戶身份的(de)多種身份驗證方法，包括密碼、數字證書、令牌和(hé)智能卡。硬件令牌和(hé)信用卡大小的(de)智能卡是雙重認證的(de)一(yī)個組成部分，它将你知道(dào)的(de)（你的(de)密碼）與你擁有(yǒu)的(de)東西（令牌或卡片）相結合，以驗證你的(de)身份。

在當今複雜的(de)計算環境中，随着安全威脅的(de)加劇，一(yī)個強大的(de)用戶名和(hé)密碼并不能減少它。今天，身份管理(lǐ)系統通常包含了生物識别、機(jī)器學(xué)習和(hé)人工智能以及基于風險的(de)認證的(de)元素。

在用戶層面，最近的(de)用戶身份驗證方法有(yǒu)助于更好地(dì)保護身份。例如(rú)，iPhone的(de)流行(xíng)讓許多人熟悉使用指紋作為(wèi)認證方法，包括最新的(de)Face ID 推動的(de)人臉識别驗證。較新的(de)Windows 10電腦提供指紋傳感器或虹膜掃描，以進行(xíng)生物識别用戶的(de)驗證。

 

轉向多因素身份驗證

Abousselham說，一(yī)些組織正在從二因素到三因素認證，結合你知道(dào)的(de)（你的(de)密碼），你擁有(yǒu)的(de)東西（智能手機(jī)），以及你的(de)一(yī)些東西（面部識别，虹膜掃描或指紋傳感器）。當你從2個因素變成3個因素時，你就能更确信你在和(hé)正确的(de)用戶打交道(dào)。

在管理(lǐ)級别上，由于諸如(rú)上下文感知的(de)網絡訪問控制和(hé)基于風險的(de)認證（RBA）等技術，今天的(de)身份管理(lǐ)系統提供了更高(gāo)級的(de)用戶審計和(hé)報告。

Okta的(de)産品總監Joe Diamond說：“上下文感知的(de)網絡訪問控制是基于策略的(de)，它根據不同的(de)屬性預先确定事件和(hé)結果。”例如(rú)，如(rú)果一(yī)個IP地(dì)址不是白名單，它可(kě)能被阻塞，或者如(rú)果沒有(yǒu)證書表明設備被管理(lǐ)，那麽上下文感知的(de)網絡訪問控制可(kě)能會加強身份驗證過程。

相比之下，RBA更有(yǒu)活力，而且通常是通過某種程度的(de)aiba來實現的(de)。Diamond說：“你開始将風險評分和(hé)機(jī)器學(xué)習打開到一(yī)個認證事件中。”

基于風險的(de)身份驗證可(kě)以根據當前的(de)風險文件動态地(dì)将不同級别的(de)嚴格程度應用到身份驗證過程中。風險越高(gāo)，對用戶的(de)認證過程就越嚴格。用戶的(de)地(dì)理(lǐ)位置或IP地(dì)址的(de)改變可(kě)能會在用戶訪問公司的(de)信息資源之前觸發額外的(de)認證要求。

 

什麽是聯邦身份管理(lǐ)？

聯邦身份管理(lǐ)允許您與可(kě)信的(de)合作夥伴共享數字ID，這是一(yī)種身份驗證機(jī)制，允許用戶使用相同的(de)用戶名、密碼或其他ID來訪問多個網絡。

單點登錄（SSO）是聯邦ID管理(lǐ)的(de)一(yī)個重要部分。單點登錄标準允許在一(yī)個網絡、網站或應用程序中驗證其身份的(de)人在移動到另一(yī)個網絡時進行(xíng)身份驗證。該模型隻在協作組織中工作，即所謂的(de)可(kě)信合作夥伴，這實際上是為(wèi)彼此的(de)用戶提供擔保。

 

IAM平台是否基于開放标準？

可(kě)信合作夥伴之間的(de)授權消息通常使用安全斷言标記語言（SAML）發送，這個開放規範定義了一(yī)個XML框架，用于在安全authori之間交換安全斷言。SAML實現了跨不同供應商(shāng)平台的(de)互操作性，提供了身份驗證和(hé)授權服務。

SAML并不是唯一(yī)的(de)開放标準的(de)身份協議，其他的(de)包括OpenID、WS-Trust（Web服務信任的(de)縮寫）和(hé)WS-Federation以及OAuth，它允許用戶的(de)帳戶信息被第三方服務使用，比如(rú)Facebook，而不暴露密碼。

 

實現IAM的(de)挑戰或風險是什麽？

成功地(dì)實現身份和(hé)訪問管理(lǐ)需要跨部門的(de)預先考慮和(hé)協作。在開始項目之前，建立一(yī)個有(yǒu)凝聚力的(de)身份管理(lǐ)策略，具備明确的(de)目标、利益相關者的(de)購買、定義的(de)業務流程可(kě)能是最成功的(de)。當你擁有(yǒu)人力資源、IT、安全以及其他相關部門時，身份管理(lǐ)是最有(yǒu)效的(de)。

通常，身份信息可(kě)能來自(zì)多個存儲庫，比如(rú)Microsoft Active Directory（AD）或人力資源應用程序。身份管理(lǐ)系統必須能夠在所有(yǒu)這些系統中同步用戶标識信息，提供一(yī)個單一(yī)的(de)事實來源。

由于當今IT人員的(de)短(duǎn)缺，身份和(hé)訪問管理(lǐ)系統必須使組織能夠在不同的(de)情況和(hé)計算環境中自(zì)動和(hé)實時地(dì)管理(lǐ)各種各樣的(de)用戶。手動調整對成百上千用戶的(de)訪問權限和(hé)控制是不可(kě)行(xíng)的(de)。

例如(rú)，對于即将離(lí)職的(de)員工來說，取消供應訪問權限可(kě)能會出現問題，尤其是在手動操作的(de)情況下，這通常是一(yī)種情況。報告員工離(lí)開公司，然後自(zì)動取消對他或她使用的(de)所有(yǒu)應用、服務和(hé)硬件的(de)訪問，需要一(yī)個自(zì)動化的(de)、全面的(de)身份管理(lǐ)解決方案。

認證也必須易于用戶執行(xíng)，它必須易于部署，而且最重要的(de)是它必須是安全的(de)，Abousselham說，這解釋了為(wèi)什麽移動設備正在成為(wèi)用戶認證的(de)中心，他補充說，因為(wèi)智能手機(jī)可(kě)以提供用戶當前的(de)地(dì)理(lǐ)位置、IP地(dì)址和(hé)其他信息，這些信息可(kě)以用于身份驗證。

一(yī)個值得牢記的(de)風險是：集中的(de)操作為(wèi)黑客和(hé)破解者提供了誘人的(de)目标。通過在公司的(de)所有(yǒu)身份管理(lǐ)活動中設置一(yī)個指示闆，這些系統比管理(lǐ)員更容易降低(dī)複雜性。一(yī)旦妥協，他們(men)就可(kě)以允許入侵者創建具有(yǒu)廣泛特權和(hé)訪問許多資源的(de)id。

 

IAM關鍵術語

流行(xíng)詞的(de)出現和(hé)消失一(yī)直都不間斷，但在身份管理(lǐ)領域的(de)一(yī)些關鍵術語是值得了解的(de)：

訪問管理(lǐ)：訪問管理(lǐ)是指用于控制和(hé)監視(shì)網絡訪問的(de)過程和(hé)技術。訪問管理(lǐ)特性，如(rú)認證、授權、信任和(hé)安全審計，是本地(dì)和(hé)基于雲系統的(de)頂級ID管理(lǐ)系統的(de)一(yī)部分。

雲訪問安全代理(lǐ)（CASB）:CASB概念在2012年(nián)由 Gartner 提出，定義了在新的(de)雲計算時代，企業或用戶掌控雲上數據安全的(de)解決方案模型。CASB産品有(yǒu)兩種工作模式：一(yī)種是Proxy模式，另一(yī)鍾是API模式。

Active Directory（AD）：微軟将AD作為(wèi)Windows域網絡的(de)用戶身份目錄服務開發，盡管專有(yǒu)，AD包含在Windows服務器操作系統中，因此被廣泛部署。

生物識别認證：一(yī)種基于用戶獨特特征的(de)認證用戶的(de)安全過程。生物識别認證技術包括指紋傳感器、虹膜和(hé)視(shì)網膜掃描，以及面部識别。

上下文感知的(de)網絡訪問控制：上下文感知的(de)網絡訪問控制是一(yī)種基于策略的(de)方法，根據用戶尋求訪問的(de)當前上下文授予對網絡資源的(de)訪問。例如(rú)，試圖從沒有(yǒu)白名單的(de)IP地(dì)址進行(xíng)身份驗證的(de)用戶将被阻塞。

憑證：用戶用來訪問網絡的(de)标識符，如(rú)用戶的(de)密碼、公鑰基礎設施（PKI）證書或生物特征信息（指紋、虹膜掃描）。

解除供應：從ID存儲庫中删除标識并終止訪問特權的(de)過程。

數字身份：ID本身，包括用戶和(hé)他/她/其訪問特權的(de)描述（“Its”，因為(wèi)一(yī)個端點，如(rú)筆(bǐ)記本或智能手機(jī)，可(kě)以有(yǒu)自(zì)己的(de)數字身份。）

權限：指定一(yī)個經過身份驗證的(de)安全主體的(de)訪問權限和(hé)特權的(de)屬性集。

身份作為(wèi)服務（IDaaS）：基于雲的(de)IDaaS為(wèi)駐留在本地(dì)和(hé)/或雲中的(de)組織系統提供身份和(hé)訪問管理(lǐ)功能。

身份生命周期管理(lǐ)：類似于訪問生命周期管理(lǐ)，術語指的(de)是維護和(hé)更新數字标識的(de)整個過程和(hé)技術。身份生命周期管理(lǐ)包括身份同步、供應、解除供應，以及對用戶屬性、憑證和(hé)權利的(de)持續管理(lǐ)。

身份同步：确保多個身份存儲的(de)過程，例如(rú)獲取的(de)結果包含給定數字ID的(de)一(yī)緻數據。

輕量級目錄訪問協議（LDAP）：LDAP是開放的(de)基于标準的(de)協議，用于管理(lǐ)和(hé)訪問分布式目錄服務，比如(rú)Microsoft的(de)AD。

多因素身份驗證（MFA）：MFA不僅僅是一(yī)個單一(yī)的(de)因素，如(rú)用戶名和(hé)密碼，需要認證到一(yī)個網絡或系統，至少還需要一(yī)個額外的(de)步驟，例如(rú)接收通過SMS發送到智能手機(jī)的(de)代碼，插入智能卡或u盤，或者滿足一(yī)個生物識别認證要求，比如(rú)指紋掃描。

密碼重置：在這種情況下，它是一(yī)個ID管理(lǐ)系統的(de)一(yī)個特性，它允許用戶重新建立自(zì)己的(de)密碼，解除工作的(de)管理(lǐ)員，減少支持的(de)調用。重新設置的(de)應用程序通常是通過浏覽器訪問的(de)。應用程序要求一(yī)個秘密的(de)單詞或一(yī)組問題來驗證用戶的(de)身份。

特權帳戶管理(lǐ)：這一(yī)術語指的(de)是基于用戶的(de)特權管理(lǐ)和(hé)審計帳戶和(hé)數據訪問。一(yī)般來說，由于他或她的(de)工作或功能，特權用戶已被授予對系統的(de)管理(lǐ)訪問權。

基于風險的(de)身份驗證（RBA）：基于風險的(de)身份驗證，基于用戶當前的(de)情況，動态地(dì)調整身份驗證需求。例如(rú)，當用戶試圖從一(yī)個以前沒有(yǒu)關聯的(de)地(dì)理(lǐ)位置或IP地(dì)址進行(xíng)身份驗證時，這些用戶可(kě)能會面臨額外的(de)身份驗證要求。

安全主體：具有(yǒu)一(yī)個或多個憑證的(de)數字身份，可(kě)以通過身份驗證和(hé)授權與網絡交互。

單點登錄（SSO）：針對多個相關但獨立的(de)系統的(de)訪問控制類型。使用單個用戶名和(hé)密碼，用戶可(kě)以訪問系統或系統而不使用不同的(de)憑證。

用戶行(xíng)為(wèi)分析（UBA）：UBA技術檢測用戶行(xíng)為(wèi)的(de)模式，并自(zì)動應用算法和(hé)分析來檢測可(kě)能存在潛在安全威脅的(de)重要異常，而與其他安全技術不同的(de)是，該技術專注于追蹤設備或安全事件。此外，它有(yǒu)時還與實體行(xíng)為(wèi)分析和(hé)UEBA相結合。

 

 

-原文作者：James A. Martin, John K. Waters. 原文取自(zì)網絡