身份与访问管理(IAM)构成了网络安全策略和平台的核心。验证用户和保护凭据有助于防止绝大多数数据泄露。在现代企业的数字生态系统中,IAM强大的身份验证协议除了提供来自外部来源的保护盾外,还可以确保数字资产的安全。让我们了解IAM的全部内容以及它在企业中的用处。
什么是身份和访问管理?
身份和访问管理是一个框架,用于为企业Web应用程序,API,企业用户生命周期管理和企业应用程序访问配置外部用户/供应商实施额外的安全层。IAM 可以控制对企业应用程序的基于用户或角色的访问,并启用单点登录,以便使用与 IAM 集成的企业应用程序进行无缝用户身份验证。它验证用户访问请求,并可以授予或拒绝对企业范围内受保护的Web和应用程序资源的权限。
它允许管理IAM活动,例如创建用户,组,定义访问角色,策略,保护Web应用程序资源以及从集中式IAM控制台配置身份验证方案。在安全性增强和业务工作流逻辑自动化方面,IAM 有几个优势,在员工/承包商入职和离职以访问大型组织中的企业应用程序时,可以提高工作效率并减少 IT 人员的工作量。
无论是医疗保健、金融还是其他行业,企业都使用 IAM 来遵守最佳实践和行业标准。简单来说,它自动化了企业应用程序的用户生命周期,并实现了与其他外部实体(如云解决方案和第三方应用程序)的信任。下图概述了 IAM 用户身份生命周期。
IAM 架构
在下图中,我们可以看到内部和外部用户访问组织 Web 层中托管的应用程序的流程。内部/外部用户被要求提供凭据以使用 SSO 身份验证页面进行身份验证。
在这里,可以使用表单、基于 X509 证书的 MFA、Oauth 和 SAML 2.0 配置用户身份验证机制。身份验证后,SSO 服务将验证用户的应用程序授权,并根据用户的属性定义和预配角色将用户重定向到相应的应用程序目标页面。
IAM 管理员负责构建用户配置文件/策略/工作流,并使用 SSO 组件保护 Web 应用程序资源并定义预置角色。
例如,假设组织中的财务部门在 IAM 中具有定义为“财务经理配置角色”的配置角色。分配“财务经理预配角色”时,用户将获得与该预配角色关联的所有应用程序的访问权限。同样,当同一用户从“财务经理预配角色”取消预配时,同一用户将失去对这些应用程序的访问权限。
在这里,我们对 SSO 服务和身份管理器使用通用用户存储。此用户存储用于从身份管理器组件管理用户身份。
IAM的主要功能
- 单点登录–大多数IAM解决方案都支持单点登录(SSO)功能,该功能使用户可以使用一组登录凭据访问其所有业务应用程序和服务。SSO通过消除密码疲劳来提高用户满意度。它通过集中和统一管理功能来简化IT操作。而且,它通过消除危险的密码管理做法,减少了攻击面和安全漏洞来增强安全性。
- 多因素身份验证–大多数IAM解决方案都提供了多因素身份验证(MFA)功能,以防止假冒和凭证盗用。使用MFA,用户必须出示多种形式的证据才能访问系统,例如密码、指纹和SMS代码。现代MFA解决方案使用上下文信息(位置,时间,IP地址,设备类型等)和管理定义的策略来确定在特定情况下要应用于特定用户的身份验证因素,从而支持自适应身份验证方法。
- 用户资源调配和生命周期管理–大多数IAM解决方案为入职用户提供管理工具,并在其整个就业过程中管理其访问权限。它们提供自助服务门户,允许用户请求访问权限并更新帐户信息,而无需服务台干预。它们还提供监控和报告功能,帮助企业IT和安全团队支持法规遵从性审计和取证调查。
IDaaS解决方案可帮助企业:
- 消除成本和复杂性– IDaaS解决方案可帮助企业避免资本设备开支,简化IT运营并使IT员工能够专注于核心业务计划。
- 缩短实现价值的时间–企业可以快速轻松地部署IDaaS解决方案,只需很少或根本不需要部署、配置或维护本地技术。
- 降低风险– IDaaS解决方案通过消除危险的密码管理做法并减少漏洞和攻击面来增强安全性。
- 改善用户体验– IDaaS产品消除了密码疲劳,并允许用户使用一组凭据以一致的方式访问其所有应用程序,从而提高了用户满意度。
结论
技术趋势的敏捷性和新技术堆栈的采用使行业在投资获得专有IAM解决方案的许可证之前进行思考。许多财富 500 强公司已经实施并转向开源 IAM 解决方案,但大多数大型企业仍在使用专有的 IAM 产品。作为一种选择,它可能对中小型组织有益。
—-数据来源:用于身份和访问管理的开源工具 (innominds.com);什么是 IAM?身份和访问管理定义 (cyberark.com)
