转载 | 身份访问与管理(IAM)的定义、应用与提供商

企业IT中的IAM基本上就是定义和管理我的网络用户的角色和访问权限，以及规定用户得到受权（或被拒绝受权）的条件。IAM系统的核心目标是为每一个用户赋予一个身份。该数字身份一经创建，在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。


所以，身份管理的首要目标就是：从用户登陆系统到权限授予到登出系统的整个过程当中，根据须要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权。

IAM系统为管理员提供了修改用户角色、跟踪用户活动、建立用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了可以管理整个企业内的用户访问，并确保用户活动符合企业规章制度与政府监管规定。

IAM产品和服务能作什么？

身份与管理技术包括（但不局限于）口令管理工具、配置软件、安全策略实施应用程序、报告及监视App和身份存储。身份管理系统既能够在企业内部署，好比微软SharePoint，也有云端系统，好比微软的 Office 365。

佛瑞斯特研究所的《科技浪潮：身份与访问管理，2017第四季度》报告中，有6种IAM技术被认为具有发展潜力，目前虽然成熟度低，但具有很高的商业价值。

1. API安全

驱动IAM应用于B2B商业模式，促成IAM与云的融合，并催生出基于微服务的IAM架构。佛瑞斯特研究所看到API安全解决方案用于移动应用或用户托管访问之间的单点登陆(SSO)。这将使安全团队得以管理IoT设备受权和我的可识别数据。

2. 客户身份与访问管理(CIAM)

可对用户进行全面的管理与身份验证，可施行自服务与资料管理，还能与CRM、ERP和其余客户管理系统及数据库集成。

3. 身份分析(IA)

可以让安全团队运用规则、机器学习和其余统计算法来检测并阻止危险身份行为。

4. 身份即服务(IDaaS)

包含提供SSO的软件即服务(SaaS)解决方案，可从一个门户即登陆Web应用和原生移动应用，还能提供必定程度的用户帐户资料和访问请求管理。

5. 身份管理与治理

提供可重复的自动化方式来监管身份生命周期。在身份及隐私合规方面很是重要。

6. 基于风险的身份验证(RBA)

解决方案在给出风险评级时会将用户会话和身份验证上下文考虑在内。因而公司就可要求高风险用户进行双因子身份验证(2FA)而容许低风险用户仅以单因子凭证验证身份（好比用户名+口令）。

今天这种复杂的计算环境下，IAM系统必须足够灵活和健壮。缘由之一：企业计算环境曾经很大程度上都只在企业内部部署，身份管理系统仅在用户来公司上班时对其进行身份验证和跟踪。曾经，有一道安全围墙阻隔着企业外面的各类风险，而如今，随着移动办公和云的兴起，围墙消失了。

所以，今天的身份管理系统应能让管理员方便地管理各种用户的访问权限，包括在公司上班的员工和世界各地的承包商；融合了内部计算、SaaS应用和影子IT及BYOD用户的混合计算环境；混合了UNIX、Windows、Macintosh、iOS、安卓甚至IoT设备的计算架构。

最终，身份与访问管理系统应能以持续和可扩展的方式对整个企业的用户进行集中式管理。

最近几年，IDaaS做为第三方托管服务经过云以订阅的方式提供逐渐发展起来，同时知足了客户的现场与云端两类系统的身份管理需求。

为何须要 IAM？

身份与访问管理是任何企业安全计划的重要一环，由于在今天的数字化经济中，它与企业的安全和生产力密不可分。

被盗用户凭证每每是进入企业网络及其信息资产的入口点。企业运用身份管理来守护信息资产，使其不受日渐增多的勒索软件、犯罪黑客活动、网络钓鱼和其余恶意软件攻击的影响。Cybersecurity Ventures 曾预测，今年全球勒索软件所致损失将超50亿美圆，比2016年上升15%。

不少企业里，用户有时候会拥有超出工做所需的访问权限。而健壮的IAM系统能够贯彻用户访问规则和策略，为整个企业加上一层重要的防御。

身份与访问管理系统能够加强业务生产力。此类系统的中央管理能力可以减小守护用户凭证与访问权限的复杂性和成本。同时，身份管理系统也能提高员工在各类环境的生产力（保证安全的状况下），不管他们是在家办公仍是在公司里上班，或者是在外地出差。

IAM对合规管理的意义何在？

不少政府都要求企业关注身份管理。关于上市公司财务审计的《萨班斯-奥克斯利法案》、金融服务现代化法案(Gramm-Leach-Bliley)，还有美国健康保险流通与责任法案(HIPAA)等立法，规定了公司企业需对客户及雇员信息的访问控制负责。身份管理系统能帮助企业符合这些规定。

《通用数据保护条例》(GDPR)是更近一些的法规，对安全和用户访问控制要求得更加严格了。GDPR将于今年5月生效，强制企业保护欧盟公民的我的数据和隐私，影响到每一家在欧盟作生意或客户中有欧盟公民的公司。

2017年3月1日，纽约州金融服务署(NYDFS)的新网络安全规定开始生效。在纽约州营业的金融服务公司都要遵照这些规定中提出的安全运营要求，包括监视受权用户的活动和维护审计日志——都是身份管理系统的典型职能。

用户对企业网络及数据的安全访问有不少方面均可经由身份管理系统加以自动化，这样就可将IT部门从重要但单调繁琐的工做中解脱出来，还能帮助公司符合政府的各项规定。鉴于现现在每一个IT岗位同时也是安全岗位，加之网络安全人才持续紧缺，并且对不合规的处罚堪称天文数字，IAM系统所起到的做用就很是关键了。

使用IAM系统的好处有哪些？

实现身份与访问管理及相关最佳实践，能在不少方面给公司带来巨大的竞争优点。现在，大多数公司都须要给外部用户以公司内部系统的访问权。将网络开放给客户、合做伙伴、供应商、承包商和雇员，能够提高运营效率并下降运营成本。

身份管理系统可在不伤及安全的状况下，将对公司信息系统的访问扩展至一系列内部应用、移动App和SaaS工具上。而提供更好的外部访问体验，能驱动整个公司的协做，增长生产力，提高雇员满意度，促进研究与开发，并最终推升盈利。

身份管理还可减轻IT支持团队处理密码重置之类琐碎事务的工做量。管理员能够利用身份管理系统自动化这些耗时耗力的繁杂事儿。

身份管理系统可谓安全网络的基石，由于管理用户身份是访问控制中的基础。身份管理系统基本上就是要求公司定义出自身访问策略，尤为是规定好谁对哪些数据资源有访问权，以及在何种条件下才能够访问。

所以，管理良好的身份意味着更好的用户访问控制，也就是内部和外部数据泄露风险的下降。这很重要，由于随着外部威胁的上升，内部攻击也日趋频繁了。IBM的《2016网络安全情报索引》中指出，大约60%的数据泄露是内部员工致使。固然，75%是恶意的，25%是无心的。

正如上文说起的，IAM系统经过提供实现全面安全、审计与访问策略的工具，能够增强监管合规。不少系统现在都提供确保企业合规的各类功能。

IAM系统运做机制是什么？

过去几年，典型的身份管理系统由4个基本部分组成：

• 系统用以定义我的用户的我的数据目录(可将之想象为一个身份仓库)；
• 用来添加、修改和删除该数据的工具(与访问生命周期管理相关)；
• 监管用户访问的系统(实施安全策略和分配访问权限)；
• 还有审计与报告系统(为核验公司系统中发生的事件)。

监管用户访问一般涉及一系列的身份验证方法，包括口令、数字证书、令牌和智能卡。硬件令牌和信用卡大小的智能卡是双因子身份验证(2FA)所需两个部分的其中一个，须要结合上你所知道的(好比口令)才可以验证你的身份。智能卡里埋有集成电路芯片，该芯片要么是安全微控制器，要么是存有相关信息内部存储器一类的东西。软件令牌出现于2005年，可存在于有存储能力的任何设备上，从U盘到手机均可加载。

强用户名和口令已经不足以应付今天这么复杂的计算环境和愈来愈多的安全威胁。现现在，身份管理系统每每引入了生物特征识别、机器学习与人工智能以及基于风险的身份验证等技术。

在用户端，最近的用户身份验证方法能够更好地保护身份。好比说，iPhone Touch-ID 的流行就让不少人都习惯了用本身的指纹来验证身份。听说今年晚些时候推出的下一代iPhone还会摒弃指纹扫描，而采用虹膜扫描或人脸识别技术来验证用户身份。

迈向多因子身份验证

有些公司企业开始从双因子身份验证迈向多因子身份验证，验证过程须要融合你知道的（好比你的口令）、你拥有的（好比智能手机）以及你自己（人脸识别、虹膜扫描或指纹传感）。从双因子到多因子，就又多了一层保障，能够更加肯定面对的是正确的用户。

在管理端，得益于上下文感知网络访问控制和基于风险的身份验证(RBA)之类技术，今天的身份管理系统能够提供更先进的用户审计和报告功能。

上下文感知网络访问控制是基于策略的一种技术。该技术基于各类属性预先肯定事件及其后果。好比说，若是某IP地址不在白名单当中，就可能会被封锁。或者，若某设备没有证书证实是受监管的，上下文感知网络访问控制就会上马其身份验证过程。

相比之下，RBA则更加灵活，每每加入了必定程度的人工智能。应用RBA，意味着你开始在身份验证中启用风险评分和机器学习。

基于风险的身份验证会根据当前风险状况对验证过程动态应用不一样等级的严格度。风险越高，用户身份验证过程就越严格。用户地理位置或IP地址的改变会触发额外的身份验证要求，只有经过这些验证要求，用户才能够访问公司的信息资源。

联合身份管理是什么？

联合身份管理可以使公司企业与可信合做伙伴共享数字ID。这是一种身份验证共享机制，用户可利用同一套用户名/口令或其余ID来访问多个网络。

单点登陆(SSO)是联合ID管理的重要组成部分。SSO标准可以使在某一网络/网站/App经过了身份验证的用户将此经验证的状态沿用至其余网络/网站/App。该模型仅限于在有合做关系的企业间应用，也就是在可信合做伙伴间应用——相互都能担保其用户可信度的企业间。

IAM平台是基于开放标准的吗？

可信合做伙伴间的身份验证消息每每用安全断言标记语言(SAML)发送。该开放规范为安全机构间交换安全断言定义了一个XML框架。SAML实现了不一样身份验证与受权服务提供商之间的跨平台互操做。

不过，开放标准身份协议不止SAML一个。其余还有OpenID、WS-Trust（Web服务信任）和WS-Federation（有来自微软和IBM的企业支持），以及无需暴露口令便可供Facebook之类第三方服务使用用户帐户信息的OAuth协议。

实现IAM的挑战或风险有哪些？

想要成功实现IAM，公司须要深谋远虑，各部门间也需通力合做。若能在IAM项目启动以前先制定好统一的身份管理策略——目标明确、利益相关者支持、业务过程定义明晰，这样的公司就最有可能成功。而身份管理只有在人力资源、IT、安全和其余部门都参与进来的状况下才能取得最好的效果。

身份信息每每从多个渠道涌来，好比微软活动目录(AD)或人力资源应用。身份管理系统必须可以同步全部系统中的用户身份信息，提供可靠的单一数据源。

鉴于当今IT人才短缺的状况，身份与访问管理系统需保障企业可以管理多个不一样场景和计算环境下的大量用户，并且是实时的自动化管理。手动调整成千上万用户的访问权限和控制措施是不现实的。

好比说，离职员工的访问权限撤销工做就有可能因疏忽而忘了作，尤为是在人工手动处理的状况下，而人工撤销仍是大多数企业的常态。报告员工的离职状况并随后自动撤销该员工对全部App、访问和硬件的访问权限，须要全面的自动化身份管理解决方案。

身份验证过程必须即让用户易于执行，又令IT部门方便部署，并且最重要的是，必定要安全。智能手机因能提供用户的当前地理位置、IP地址和可用于身份验证的其余信息，而成为了用户身份验证的“中心”。

需谨记的一个风险是：集中式操做为黑客和破解者提供了诱人的目标。IAM系统用一个仪表盘就能总览并操做整个公司的身份管理活动，方便了公司管理员的同时，也给黑客和破解者大开了方便之门。一旦这些系统被攻破，入侵者便能建立高权限的ID，访问公司各种资源。

有哪些IAM术语是应该了解的？

热词变化不定，但身份管理领域中一些关键术语仍是值得了解一下的：

• 访问管理

指用于控制和监视网络访问的过程及技术。访问管理功能，好比身份验证、受权、信任和安全审计，是企业内部及云端系统顶级ID管理系统不可缺乏的重要部分。

• 活动目录(AD)

微软为Windows域网络设计开发的用户身份目录服务。虽然是专利产品，AD却随 Windows Server 操做系统发售，于是应用部署普遍。

• 生物特征识别身份验证

依靠用户独特的生物特征来验证用户身份的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描，还有人脸识别。

• 上下文感知网络访问控制

一种基于策略的受权方法，根据索要访问权限的用户的当前上下文来授予网络资源访问权。好比说，某用户试图经过身份验证，但其IP地址却没在白名单以内，那该用户就不能得到受权。

• 凭证

用户用以获取网络访问权的标识，好比用户的口令、公钥基础设施(PKI)证书，或者生物特征信息(指纹、虹膜扫描等)。

• 撤销

将某身份从ID存储中移除并终止其访问权限的过程。

• 数字身份

ID自己，包括对用户及其访问权限的描述。(笔记本电脑或手机之类的终端也可拥有本身的数字身份。)

• 权益

指征已验证安全主体所具有的访问权限的一系列属性。

• 身份即服务(IDaaS)

基于云的IDaaS为位于企业内部及云端的系统提供身份及访问管理功能。

• 身份生命周期管理

与访问生命周期管理相似，该术语指的是维护和更新数字身份的一整套过程和技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。

• 身份同步

确保给定数字ID的多个身份存储保持一致的过程，好比公司并购时涉及到的多家公司身份存储中放置一致的身份数据。

• 轻量级目录访问协议(LDAP)

用于管理和访问分布式目录服务（好比微软AD）的开放标准协议。

• 多因子身份验证(MFA)

网络或系统的身份验证中要求不止一个因子(好比用户名和口令)的状况。验证过程当中至少还有额外的一步，好比用手机接收经过短信发送的验证码、插入智能卡或U盘、知足生物特征识别验证要求(指纹扫描等)。

• 口令重置

本文语境中，口令重置指的是ID管理系统容许用户从新设置自身口令的功能。该功能可将管理员从繁琐的口令重置工做中解脱出来，还能减小客户服务接到的求助电话。用户一般可经过浏览器访问重置应用，提交相应的密语或回答一系列问题便可验证用户身份。

• 特权帐户管理

基于用户权限对帐户和数据访问进行管理与审计。通常来说，特权用户因其工做或功能需求而每每被赋予管理员权限。好比说，特权用户可能拥有添加或删除用户帐户和角色的权限。

• 配置

建立身份，定义其访问权限，并将其添加到ID存储中的过程。

• 基于风险的身份验证(RBA)

在用户尝试身份验证时根据用户状况动态调整验证要求的身份验证方法。好比说，若是用户尝试从以前未关联过的地理位置或IP地址发起身份验证，可能就会面临额外的验证要求。

• 安全主体

具有1个或多个可被验证或受权的凭证以访问网络的数字身份。

• 单点登陆(SSO)

对相关但独立的多个系统实施的一种访问控制。单点登陆模式下，用户仅凭同一套用户名和口令就可访问1个或多个系统，无需多个不一样凭证。

• 用户行为分析(UBA)

UBA技术检查用户行为模式，并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA区别于专一跟踪设备或安全事件的其余安全技术，有时候也会与实体行为分析归到一类，被称为UEBA。

IAM供应商

身份与访问管理供应商市场竞争激烈，既有Okta和OneLogin这样的纯IAM提供商，也有IBM、微软和Oracle之类什么都作的大厂商。2017年6月，Garter推出了一份全球访问管理魔力象限图。如下就是据此得出的IAM主流提供商：


Atos (Evidan) CA Technologies Centrify Covisint ForgeRock IBM 安全身份与访问保障 I-Spring Innovations Micro Focus 微软Azure活动目录 Okta OneLogin Optimal idM Oracle身份云服务 Ping SecureAuth

原文连接：https://www.aqniu.com/learn/31221.html 做者：nana 星期一, 一月 29, 2018

相关阅读

• Authing 是什么以及为何须要 Authing
• 咱们为何坚持作 ToB 的慢生意
• Authing 知识库

什么是 Authing？

Authing 提供专业的身份认证和受权服务。
咱们为开发者和企业提供用以保证应用程序安全所需的认证模块，这让开发人员无需成为安全专家。
你能够将任意平台的应用接入到 Authing（不管是新开发的应用仍是老应用均可以），同时你还能够自定义应用程序的登陆方式（如：邮箱/密码、短信/验证码、扫码登陆等）。
你能够根据你使用的技术，来选择咱们的 SDK 或调用相关 API 来接入你的应用。当用户发起受权请求时，Authing 会帮助你认证他们的身份和返回必要的用户信息到你的应用中。

Authing 在应用交互中的位置

• 官网：http://authing.cn
• 小登陆：https://wxapp.authing.cn/#/
• 仓库： 欢迎 Star，欢迎 PR
  • https://gitee.com/Authi_ng
  • https://github.com/authing
• Demo：
  • https://sample.authing.cn
  • https://github.com/Authing/qrcode-sample
• 文档：https://docs.authing.cn/authing/

欢迎关注 Authing 技术专栏