在企业中，身份和访问管理或者IAM，是用于定义和管理单个网络用户的角色和访问特权，以及用户被授予（或拒绝）这些特权的环境。IAM系统的核心目标是每个人的一个身份。一旦建立了数字身份，就必须对每个用户的“访问生命周期”进行维护、修改和监控。

因此，身份管理的首要目标是在适当的环境中，向正确的用户授予正确的企业资产，从用户的系统入职到许可授权，再到需要的时候及时隔离该用户企业身份和访问管理提供商Okta的高级副总裁兼首席安全官Yassir Abousselham这样解释道。

 

IAM系统为管理员提供了工具和技术来改变用户的角色，跟踪用户活动，创建关于这些活动的报告，并在持续的基础上实施策略。

这些系统的设计目的是提供一种管理整个企业用户访问的方法，并确保遵守公司政策和政府法规。

 

IAM产品和服务的用途

身份和管理技术包括（但不限于）密码管理工具、供应软件、安全策略执行应用程序、报告和监视应用程序和身份存储库。身份管理系统可用于内部系统，如微软SharePoint，以及基于云的系统，如Microsoft Office 365。

Forrester Research 在其《Tech Tide: Identity and Access Management, Q4 2017》的报告中，确定了6个低成熟度的IAM技术，但目前的商业价值很高。

API安全性，使IAM可用于B2B商务，与云集成以及基于微服务的IAM架构。Forrester认为，在移动应用程序或用户管理的访问之间，API安全解决方案被用于单点登录（SSO）。这将允许安全团队管理物联网设备授权和个人识别数据。

客户身份和访问管理（CIAM），允许对用户进行全面的管理和认证，自助式和档案管理以及与CRM，ERP和其他客户管理系统和数据库的集成。

身份分析（IA）将允许安全团队使用规则、机器学习和其他统计算法来检测和阻止危险的身份行为。

身份验证安全服务(IDaaS)包括软件即服务（SaaS）解决方案，从门户网站到web应用程序和本机移动应用程序，以及一些用户帐户供应和访问请求管理，提供SSO。

身份管理和治理（IMG）提供了管理身份生命周期的自动化和可重复的方法，这对于遵守身份和隐私规定是很重要的。

基于风险的认证（RBA）解决方案在用户会话和认证的环境中进行，并形成一个风险分值。根据报告，该公司可以向高风险用户提供双因子验证，并允许低风险用户使用单一因素认证（如用户名和密码）。

“IAM系统必须足够灵活和足够强大，以适应当今计算环境的复杂性。一个原因是：企业的计算环境过去基本上是在本地运行的，而身份管理系统在用户工作的前提下进行了身份验证和跟踪。”身份和访问管理提供商One Identity的产品管理高级总监杰克逊肖说，“以前在该场所周围有一个安全围栏，今天，这个栅栏已经不在了。”

因此，今天的身份管理系统应该能够使管理员能够轻松地管理各种各样的用户的访问权限，包括本地的现场员工和国际外的承包商；混合计算环境，包括本地计算、软件即服务（SaaS）应用程序，以及影子IT和BYOD用户；以及包括UNIX、Windows、Macintosh、iOS、Android甚至物联网设备的计算架构。

最终，身份和访问管理系统应该能够以一种一致的、可扩展的方式在整个企业中实现对用户的集中管理。近年来，身份即服务（IDaaS）已经发展成为基于订阅的云服务提供的第三方托管服务，为客户的现场和基于云的系统提供身份管理。

 

为什么我需要IAM？

身份和访问管理是任何企业安全计划的关键部分，因为它与当今数字化经济中的组织的安全性和生产力密不可分。

网络安全风险投资公司预测，受损害的用户凭证通常会成为组织网络及其信息资产的入口点。企业使用身份管理来保护自己的信息资产，以应对勒索软件、犯罪黑客、网络钓鱼和其他恶意软件攻击的威胁。全球勒索软件的损失预计今年将超过50亿美元，比2016年增加15%。

在许多组织中，用户有时拥有比必要更多的访问权限。一个健壮的IAM系统可以通过确保在组织中一致地应用用户访问规则和策略，从而增加一个重要的保护层。

身份和访问管理系统可以提高企业的生产力。系统的中央管理能力可以降低保护用户凭证和访问的复杂性和成本。同时，身份管理系统使员工在各种环境中更有效率（同时保持安全），无论他们是在家工作，还是在办公室工作或者在路上。

 

IAM对法规遵循管理的意义

许多政府要求企业关注身份管理，如Sarbanes-Oxley、格莱姆-莱利-布利利和HIPAA等监管机构，要求企业负责控制对客户和员工信息的访问。身份管理系统可以帮助组织遵守这些规定。

通用数据保护条例（GDPR）是一项最新的规定，要求严格的安全性和用户访问控制。GDPR要求各组织保护欧盟公民的个人数据和隐私。2018年5月生效，GDPR影响到所有在欧盟国家开展业务的公司，或者有欧洲公民作为客户。

在2017年3月1日，纽约州金融服务局（NYDFS）的新网络安全监管规定生效。该规定对在纽约运营的金融服务公司的安全运营提出了许多要求，包括监控授权用户的活动和维护审计日志——这是身份管理系统通常所做的事情。

通过许多方面自动化，为企业网络和数据提供安全的用户访问，身份管理系统减轻了简单但重要的任务，并帮助他们遵守政府规定。这些都是至关重要的好处，因为今天，每一个IT职位都是安全的，全球网络安全人员短缺；对不遵守相关规定的惩罚会使组织损失数百万甚至数十亿美元。

 

IAM系统的好处是什么

实现身份和访问管理以及相关的最佳实践可以在几个方面给您带来显著的竞争优势。现在，大多数企业需要向组织之外的用户提供内部系统，例如客户、合作伙伴、供应商、承包商开放您的网络，当然，员工可以提高效率和降低运营成本。

身份管理系统可以让公司在不损害安全的前提下，扩展其信息系统的访问范围。通过提供更多的外部访问，你可以推动整个组织的协作，提高生产力、员工满意度、研究和开发以及最终的收入。

身份管理可以减少对IT支持团队关于密码重置的求助电话的数量，允许管理员自动完成这些耗时、耗钱的任务。

身份管理系统可以成为安全网络的基础，因为管理用户身份是访问控制的一个重要部分。身份管理系统要求公司定义他们的访问策略，特别是概述谁有权访问哪些数据资源，以及在哪些条件下可以访问这些资源。

因此，管理良好的身份意味着对用户访问的更大控制，这意味着内部和外部风险的降低。这一点很重要，因为随着外部威胁的不断增加，内部攻击的频率也非常高。根据IBM 2016年网络安全情报索引，大约60%的数据泄露是由一个组织的员工造成的，其中75%是恶意的，25%是意外的。

正如前面提到的，IAM系统可以通过提供工具来实现全面的安全性、审计和访问策略，从而增强法规遵从性。许多系统现在提供了一些特性，以确保组织的遵从性。

 

IAM系统是如何工作的？

在过去的几年里，一个典型的身份管理系统包含四个基本元素：系统用来定义个人用户的个人数据的目录（将其视为一个身份存储库）；一组用于添加、修改和删除数据的工具（与访问生命周期管理相关）；一个管理用户访问（安全策略和访问特权的执行）的系统；以及一个审计和报告系统（以验证系统中正在发生的事情）。

规范用户访问传统上涉及到验证用户身份的多种身份验证方法，包括密码、数字证书、令牌和智能卡。硬件令牌和信用卡大小的智能卡是双重认证的一个组成部分，它将你知道的（你的密码）与你拥有的东西（令牌或卡片）相结合，以验证你的身份。

在当今复杂的计算环境中，随着安全威胁的加剧，一个强大的用户名和密码并不能减少它。今天，身份管理系统通常包含了生物识别、机器学习和人工智能以及基于风险的认证的元素。

在用户层面，最近的用户身份验证方法有助于更好地保护身份。例如，iPhone的流行让许多人熟悉使用指纹作为认证方法，包括最新的Face ID 推动的人脸识别验证。较新的Windows 10电脑提供指纹传感器或虹膜扫描，以进行生物识别用户的验证。

 

转向多因素身份验证

Abousselham说，一些组织正在从二因素到三因素认证，结合你知道的（你的密码），你拥有的东西（智能手机），以及你的一些东西（面部识别，虹膜扫描或指纹传感器）。当你从2个因素变成3个因素时，你就能更确信你在和正确的用户打交道。

在管理级别上，由于诸如上下文感知的网络访问控制和基于风险的认证（RBA）等技术，今天的身份管理系统提供了更高级的用户审计和报告。

Okta的产品总监Joe Diamond说：“上下文感知的网络访问控制是基于策略的，它根据不同的属性预先确定事件和结果。”例如，如果一个IP地址不是白名单，它可能被阻塞，或者如果没有证书表明设备被管理，那么上下文感知的网络访问控制可能会加强身份验证过程。

相比之下，RBA更有活力，而且通常是通过某种程度的aiba来实现的。Diamond说：“你开始将风险评分和机器学习打开到一个认证事件中。”

基于风险的身份验证可以根据当前的风险文件动态地将不同级别的严格程度应用到身份验证过程中。风险越高，对用户的认证过程就越严格。用户的地理位置或IP地址的改变可能会在用户访问公司的信息资源之前触发额外的认证要求。

 

什么是联邦身份管理？

联邦身份管理允许您与可信的合作伙伴共享数字ID，这是一种身份验证机制，允许用户使用相同的用户名、密码或其他ID来访问多个网络。

单点登录（SSO）是联邦ID管理的一个重要部分。单点登录标准允许在一个网络、网站或应用程序中验证其身份的人在移动到另一个网络时进行身份验证。该模型只在协作组织中工作，即所谓的可信合作伙伴，这实际上是为彼此的用户提供担保。

 

IAM平台是否基于开放标准？

可信合作伙伴之间的授权消息通常使用安全断言标记语言（SAML）发送，这个开放规范定义了一个XML框架，用于在安全authori之间交换安全断言。SAML实现了跨不同供应商平台的互操作性，提供了身份验证和授权服务。

SAML并不是唯一的开放标准的身份协议，其他的包括OpenID、WS-Trust（Web服务信任的缩写）和WS-Federation以及OAuth，它允许用户的帐户信息被第三方服务使用，比如Facebook，而不暴露密码。

 

实现IAM的挑战或风险是什么？

成功地实现身份和访问管理需要跨部门的预先考虑和协作。在开始项目之前，建立一个有凝聚力的身份管理策略，具备明确的目标、利益相关者的购买、定义的业务流程可能是最成功的。当你拥有人力资源、IT、安全以及其他相关部门时，身份管理是最有效的。

通常，身份信息可能来自多个存储库，比如Microsoft Active Directory（AD）或人力资源应用程序。身份管理系统必须能够在所有这些系统中同步用户标识信息，提供一个单一的事实来源。

由于当今IT人员的短缺，身份和访问管理系统必须使组织能够在不同的情况和计算环境中自动和实时地管理各种各样的用户。手动调整对成百上千用户的访问权限和控制是不可行的。

例如，对于即将离职的员工来说，取消供应访问权限可能会出现问题，尤其是在手动操作的情况下，这通常是一种情况。报告员工离开公司，然后自动取消对他或她使用的所有应用、服务和硬件的访问，需要一个自动化的、全面的身份管理解决方案。

认证也必须易于用户执行，它必须易于部署，而且最重要的是它必须是安全的，Abousselham说，这解释了为什么移动设备正在成为用户认证的中心，他补充说，因为智能手机可以提供用户当前的地理位置、IP地址和其他信息，这些信息可以用于身份验证。

一个值得牢记的风险是：集中的操作为黑客和破解者提供了诱人的目标。通过在公司的所有身份管理活动中设置一个指示板，这些系统比管理员更容易降低复杂性。一旦妥协，他们就可以允许入侵者创建具有广泛特权和访问许多资源的id。

 

IAM关键术语

流行词的出现和消失一直都不间断，但在身份管理领域的一些关键术语是值得了解的：

访问管理：访问管理是指用于控制和监视网络访问的过程和技术。访问管理特性，如认证、授权、信任和安全审计，是本地和基于云系统的顶级ID管理系统的一部分。

云访问安全代理（CASB）:CASB概念在2012年由 Gartner 提出，定义了在新的云计算时代，企业或用户掌控云上数据安全的解决方案模型。CASB产品有两种工作模式：一种是Proxy模式，另一钟是API模式。

Active Directory（AD）：微软将AD作为Windows域网络的用户身份目录服务开发，尽管专有，AD包含在Windows服务器操作系统中，因此被广泛部署。

生物识别认证：一种基于用户独特特征的认证用户的安全过程。生物识别认证技术包括指纹传感器、虹膜和视网膜扫描，以及面部识别。

上下文感知的网络访问控制：上下文感知的网络访问控制是一种基于策略的方法，根据用户寻求访问的当前上下文授予对网络资源的访问。例如，试图从没有白名单的IP地址进行身份验证的用户将被阻塞。

凭证：用户用来访问网络的标识符，如用户的密码、公钥基础设施（PKI）证书或生物特征信息（指纹、虹膜扫描）。

解除供应：从ID存储库中删除标识并终止访问特权的过程。

数字身份：ID本身，包括用户和他/她/其访问特权的描述（“Its”，因为一个端点，如笔记本或智能手机，可以有自己的数字身份。）

权限：指定一个经过身份验证的安全主体的访问权限和特权的属性集。

身份作为服务（IDaaS）：基于云的IDaaS为驻留在本地和/或云中的组织系统提供身份和访问管理功能。

身份生命周期管理：类似于访问生命周期管理，术语指的是维护和更新数字标识的整个过程和技术。身份生命周期管理包括身份同步、供应、解除供应，以及对用户属性、凭证和权利的持续管理。

身份同步：确保多个身份存储的过程，例如获取的结果包含给定数字ID的一致数据。

轻量级目录访问协议（LDAP）：LDAP是开放的基于标准的协议，用于管理和访问分布式目录服务，比如Microsoft的AD。

多因素身份验证（MFA）：MFA不仅仅是一个单一的因素，如用户名和密码，需要认证到一个网络或系统，至少还需要一个额外的步骤，例如接收通过SMS发送到智能手机的代码，插入智能卡或u盘，或者满足一个生物识别认证要求，比如指纹扫描。

密码重置：在这种情况下，它是一个ID管理系统的一个特性，它允许用户重新建立自己的密码，解除工作的管理员，减少支持的调用。重新设置的应用程序通常是通过浏览器访问的。应用程序要求一个秘密的单词或一组问题来验证用户的身份。

特权帐户管理：这一术语指的是基于用户的特权管理和审计帐户和数据访问。一般来说，由于他或她的工作或功能，特权用户已被授予对系统的管理访问权。

基于风险的身份验证（RBA）：基于风险的身份验证，基于用户当前的情况，动态地调整身份验证需求。例如，当用户试图从一个以前没有关联的地理位置或IP地址进行身份验证时，这些用户可能会面临额外的身份验证要求。

安全主体：具有一个或多个凭证的数字身份，可以通过身份验证和授权与网络交互。

单点登录（SSO）：针对多个相关但独立的系统的访问控制类型。使用单个用户名和密码，用户可以访问系统或系统而不使用不同的凭证。

用户行为分析（UBA）：UBA技术检测用户行为的模式，并自动应用算法和分析来检测可能存在潜在安全威胁的重要异常，而与其他安全技术不同的是，该技术专注于追踪设备或安全事件。此外，它有时还与实体行为分析和UEBA相结合。

 

 

-原文作者：James A. Martin, John K. Waters. 原文取自网络