企業(yè)IT中的IAM基本上就是定義和管理個人網(wǎng)絡(luò)用戶的角色和訪問權(quán)限，以及規(guī)定用戶獲得授權(quán)(或被拒絕授權(quán))的條件。IAM系統(tǒng)的核心目標(biāo)是為每個用戶賦予一個身份。該數(shù)字身份一經(jīng)建立，在用戶的整個“訪問生命周期”存續(xù)期間都應(yīng)受到良好的維護(hù)、調(diào)整與監(jiān)視。

[[218710]]

因此，身份管理的首要目標(biāo)就是：從用戶登錄系統(tǒng)到權(quán)限授予到登出系統(tǒng)的整個過程中，根據(jù)需要在恰當(dāng)?shù)臈l件下及時賦予正確的用戶對企業(yè)內(nèi)適當(dāng)資產(chǎn)的訪問權(quán)。

IAM系統(tǒng)為管理員提供了修改用戶角色、跟蹤用戶活動、創(chuàng)建用戶活動報告和貫徹管理策略的工具及技術(shù)。這些系統(tǒng)的出現(xiàn)就是為了能夠管理整個企業(yè)內(nèi)的用戶訪問，并確保用戶活動符合企業(yè)規(guī)章制度與政府監(jiān)管規(guī)定。

一、IAM產(chǎn)品和服務(wù)能做什么?

身份與管理技術(shù)包括(但不局限于)口令管理工具、配置軟件、安全策略實(shí)施應(yīng)用程序、報告及監(jiān)視App和身份存儲。身份管理系統(tǒng)既可以在企業(yè)內(nèi)部署，比如微軟SharePoint，也有云端系統(tǒng)，比如微軟的 Office 365。

佛瑞斯特研究所的《科技浪潮：身份與訪問管理，2017第四季度》報告中，有6種IAM技術(shù)被認(rèn)為具備發(fā)展?jié)摿?，目前雖然成熟度低，但具備很高的商業(yè)價值。

1. API安全

驅(qū)動IAM應(yīng)用于B2B商業(yè)模式，促成IAM與云的融合，并催生出基于微服務(wù)的IAM架構(gòu)。佛瑞斯特研究所看到API安全解決方案用于移動應(yīng)用或用戶托管訪問之間的單點(diǎn)登錄(SSO)。這將使安全團(tuán)隊(duì)得以管理IoT設(shè)備授權(quán)和個人可識別數(shù)據(jù)。

2. 客戶身份與訪問管理(CIAM)

可對用戶進(jìn)行全面的管理與身份驗(yàn)證，可施行自服務(wù)與資料管理，還能與CRM、ERP和其他客戶管理系統(tǒng)及數(shù)據(jù)庫集成。

3. 身份分析(IA)

能夠讓安全團(tuán)隊(duì)運(yùn)用規(guī)則、機(jī)器學(xué)習(xí)和其他統(tǒng)計算法來檢測并阻止危險身份行為。

4. 身份即服務(wù)(IDaaS)

包含提供SSO的軟件即服務(wù)(SaaS)解決方案，可從一個門戶即登錄Web應(yīng)用和原生移動應(yīng)用，還能提供一定程度的用戶賬戶資料和訪問請求管理。

5. 身份管理與治理

提供可重復(fù)的自動化方式來監(jiān)管身份生命周期。在身份及隱私合規(guī)方面非常重要。

6. 基于風(fēng)險的身份驗(yàn)證(RBA)

解決方案在給出風(fēng)險評級時會將用戶會話和身份驗(yàn)證上下文考慮在內(nèi)。于是公司就可要求高風(fēng)險用戶進(jìn)行雙因子身份驗(yàn)證(2FA)而允許低風(fēng)險用戶僅以單因子憑證驗(yàn)證身份(比如用戶名+口令)。

今天這種復(fù)雜的計算環(huán)境下，IAM系統(tǒng)必須足夠靈活和健壯。原因之一：企業(yè)計算環(huán)境曾經(jīng)很大程度上都只在企業(yè)內(nèi)部部署，身份管理系統(tǒng)僅在用戶來公司上班時對其進(jìn)行身份驗(yàn)證和跟蹤。曾經(jīng)，有一道安全圍墻阻隔著企業(yè)外面的各種風(fēng)險，而現(xiàn)在，隨著移動辦公和云的興起，圍墻消失了。

因此，今天的身份管理系統(tǒng)應(yīng)能讓管理員方便地管理各類用戶的訪問權(quán)限，包括在公司上班的員工和世界各地的承包商;融合了內(nèi)部計算、SaaS應(yīng)用和影子IT及BYOD用戶的混合計算環(huán)境;混合了UNIX、Windows、Macintosh、iOS、安卓甚至IoT設(shè)備的計算架構(gòu)。

最終，身份與訪問管理系統(tǒng)應(yīng)能以持續(xù)和可擴(kuò)展的方式對整個企業(yè)的用戶進(jìn)行集中式管理。

最近幾年，IDaaS作為第三方托管服務(wù)通過云以訂閱的方式提供逐漸發(fā)展起來，同時滿足了客戶的現(xiàn)場與云端兩類系統(tǒng)的身份管理需求。

二、為什么需要IAM?

身份與訪問管理是任何企業(yè)安全計劃的重要一環(huán)，因?yàn)樵诮裉斓臄?shù)字化經(jīng)濟(jì)中，它與企業(yè)的安全和生產(chǎn)力密不可分。

被盜用戶憑證往往是進(jìn)入企業(yè)網(wǎng)絡(luò)及其信息資產(chǎn)的入口點(diǎn)。企業(yè)運(yùn)用身份管理來守護(hù)信息資產(chǎn)，使其不受日漸增多的勒索軟件、犯罪黑客活動、網(wǎng)絡(luò)釣魚和其他惡意軟件攻擊的影響。Cybersecurity Ventures 曾預(yù)測，今年全球勒索軟件所致?lián)p失將超50億美元，比2016年上升15%。

很多企業(yè)里，用戶有時候會擁有超出工作所需的訪問權(quán)限。而健壯的IAM系統(tǒng)可以貫徹用戶訪問規(guī)則和策略，為整個企業(yè)加上一層重要的防護(hù)。

身份與訪問管理系統(tǒng)可以增強(qiáng)業(yè)務(wù)生產(chǎn)力。此類系統(tǒng)的中央管理能力能夠減少守護(hù)用戶憑證與訪問權(quán)限的復(fù)雜性和成本。同時，身份管理系統(tǒng)也能提升員工在各種環(huán)境的生產(chǎn)力(保證安全的情況下)，無論他們是在家辦公還是在公司里上班，或者是在外地出差。

三、IAM對合規(guī)管理的意義何在?

很多政府都要求企業(yè)關(guān)注身份管理。關(guān)于上市公司財務(wù)審計的《薩班斯-奧克斯利法案》、金融服務(wù)現(xiàn)代化法案(Gramm-Leach-Bliley)，還有美國健康保險流通與責(zé)任法案(HIPAA)等立法，規(guī)定了公司企業(yè)需對客戶及雇員信息的訪問控制負(fù)責(zé)。身份管理系統(tǒng)能幫助企業(yè)符合這些規(guī)定。

《通用數(shù)據(jù)保護(hù)條例》(GDPR)是更近一些的法規(guī)，對安全和用戶訪問控制要求得更加嚴(yán)格了。GDPR將于今年5月生效，強(qiáng)制企業(yè)保護(hù)歐盟公民的個人數(shù)據(jù)和隱私，影響到每一家在歐盟做生意或客戶中有歐盟公民的公司。

2017年3月1日，紐約州金融服務(wù)署(NYDFS)的新網(wǎng)絡(luò)安全規(guī)定開始生效。在紐約州營業(yè)的金融服務(wù)公司都要遵守這些規(guī)定中提出的安全運(yùn)營要求，包括監(jiān)視授權(quán)用戶的活動和維護(hù)審計日志——都是身份管理系統(tǒng)的典型職能。

用戶對企業(yè)網(wǎng)絡(luò)及數(shù)據(jù)的安全訪問有很多方面都可經(jīng)由身份管理系統(tǒng)加以自動化，這樣就可將IT部門從重要但單調(diào)繁瑣的工作中解脫出來，還能幫助公司符合政府的各項(xiàng)規(guī)定。鑒于現(xiàn)如今每個IT崗位同時也是安全崗位，加之網(wǎng)絡(luò)安全人才持續(xù)緊缺，而且對不合規(guī)的處罰堪稱天文數(shù)字，IAM系統(tǒng)所起到的作用就非常關(guān)鍵了。

四、使用IAM系統(tǒng)的好處有哪些?

實(shí)現(xiàn)身份與訪問管理及相關(guān)最佳實(shí)踐，能在很多方面給公司帶來巨大的競爭優(yōu)勢。如今，大多數(shù)公司都需要給外部用戶以公司內(nèi)部系統(tǒng)的訪問權(quán)。將網(wǎng)絡(luò)開放給客戶、合作伙伴、供應(yīng)商、承包商和雇員，可以提升運(yùn)營效率并降低運(yùn)營成本。

身份管理系統(tǒng)可在不傷及安全的情況下，將對公司信息系統(tǒng)的訪問擴(kuò)展至一系列內(nèi)部應(yīng)用、移動App和SaaS工具上。而提供更好的外部訪問體驗(yàn)，能驅(qū)動整個公司的協(xié)作，增加生產(chǎn)力，提升雇員滿意度，促進(jìn)研究與開發(fā)，并最終推升盈利。

身份管理還可減輕IT支持團(tuán)隊(duì)處理密碼重置之類瑣碎事務(wù)的工作量。管理員可以利用身份管理系統(tǒng)自動化這些耗時耗力的繁瑣事兒。

身份管理系統(tǒng)可謂安全網(wǎng)絡(luò)的基石，因?yàn)楣芾碛脩羯矸菔窃L問控制中的基礎(chǔ)。身份管理系統(tǒng)基本上就是要求公司定義出自身訪問策略，尤其是規(guī)定好誰對哪些數(shù)據(jù)資源有訪問權(quán)，以及在何種條件下才可以訪問。

因此，管理良好的身份意味著更好的用戶訪問控制，也就是內(nèi)部和外部數(shù)據(jù)泄露風(fēng)險的降低。這很重要，因?yàn)殡S著外部威脅的上升，內(nèi)部攻擊也日趨頻繁了。IBM的《2016網(wǎng)絡(luò)安全情報索引》中指出，大約60%的數(shù)據(jù)泄露是內(nèi)部員工導(dǎo)致。當(dāng)然，75%是惡意的，25%是無意的。

正如上文提及的，IAM系統(tǒng)通過提供實(shí)現(xiàn)全面安全、審計與訪問策略的工具，可以加強(qiáng)監(jiān)管合規(guī)。很多系統(tǒng)如今都提供確保企業(yè)合規(guī)的各種功能。

五、IAM系統(tǒng)運(yùn)作機(jī)制是什么?

過去幾年，典型的身份管理系統(tǒng)由4個基本部分組成：系統(tǒng)用以定義個人用戶的個人數(shù)據(jù)目錄(可將之想象為一個身份倉庫);用來添加、修改和刪除該數(shù)據(jù)的工具(與訪問生命周期管理相關(guān));監(jiān)管用戶訪問的系統(tǒng)(實(shí)施安全策略和分配訪問權(quán)限);還有審計與報告系統(tǒng)(為核驗(yàn)公司系統(tǒng)中發(fā)生的事件)。

監(jiān)管用戶訪問通常涉及一系列的身份驗(yàn)證方法，包括口令、數(shù)字證書、令牌和智能卡。硬件令牌和信用卡大小的智能卡是雙因子身份驗(yàn)證(2FA)所需兩個部分的其中一個，需要結(jié)合上你所知道的(比如口令)才能夠驗(yàn)證你的身份。智能卡里埋有集成電路芯片，該芯片要么是安全微控制器，要么是存有相關(guān)信息內(nèi)部存儲器一類的東西。軟件令牌出現(xiàn)于2005年，可存在于有存儲能力的任何設(shè)備上，從U盤到手機(jī)都可加載。

強(qiáng)用戶名和口令已經(jīng)不足以應(yīng)付今天這么復(fù)雜的計算環(huán)境和越來越多的安全威脅。現(xiàn)如今，身份管理系統(tǒng)往往引入了生物特征識別、機(jī)器學(xué)習(xí)與人工智能以及基于風(fēng)險的身份驗(yàn)證等技術(shù)。

在用戶端，最近的用戶身份驗(yàn)證方法可以更好地保護(hù)身份。比如說，iPhone Touch-ID 的流行就讓很多人都習(xí)慣了用自己的指紋來驗(yàn)證身份。據(jù)說今年晚些時候推出的下一代iPhone還會摒棄指紋掃描，而采用虹膜掃描或人臉識別技術(shù)來驗(yàn)證用戶身份。

六、邁向多因子身份驗(yàn)證

有些公司企業(yè)開始從雙因子身份驗(yàn)證邁向多因子身份驗(yàn)證，驗(yàn)證過程需要融合你知道的(比如你的口令)、你擁有的(比如智能手機(jī))以及你本身(人臉識別、虹膜掃描或指紋傳感)。從雙因子到多因子，就又多了一層保障，可以更加確定面對的是正確的用戶。

在管理端，得益于上下文感知網(wǎng)絡(luò)訪問控制和基于風(fēng)險的身份驗(yàn)證(RBA)之類技術(shù)，今天的身份管理系統(tǒng)可以提供更先進(jìn)的用戶審計和報告功能。

上下文感知網(wǎng)絡(luò)訪問控制是基于策略的一種技術(shù)。該技術(shù)基于各種屬性預(yù)先確定事件及其后果。比如說，如果某IP地址不在白名單當(dāng)中，就可能會被封鎖?；蛘撸裟吃O(shè)備沒有證書證明是受監(jiān)管的，上下文感知網(wǎng)絡(luò)訪問控制就會上馬其身份驗(yàn)證過程。

相比之下，RBA則更加靈活，往往加入了一定程度的人工智能。應(yīng)用RBA，意味著你開始在身份驗(yàn)證中啟用風(fēng)險評分和機(jī)器學(xué)習(xí)。

基于風(fēng)險的身份驗(yàn)證會根據(jù)當(dāng)前風(fēng)險情況對驗(yàn)證過程動態(tài)應(yīng)用不同等級的嚴(yán)格度。風(fēng)險越高，用戶身份驗(yàn)證過程就越嚴(yán)格。用戶地理位置或IP地址的改變會觸發(fā)額外的身份驗(yàn)證要求，只有通過這些驗(yàn)證要求，用戶才可以訪問公司的信息資源。

七、聯(lián)合身份管理是什么?

聯(lián)合身份管理可使公司企業(yè)與可信合作伙伴共享數(shù)字ID。這是一種身份驗(yàn)證共享機(jī)制，用戶可利用同一套用戶名/口令或其他ID來訪問多個網(wǎng)絡(luò)。

單點(diǎn)登錄(SSO)是聯(lián)合ID管理的重要組成部分。SSO標(biāo)準(zhǔn)可使在某一網(wǎng)絡(luò)/網(wǎng)站/App通過了身份驗(yàn)證的用戶將此經(jīng)驗(yàn)證的狀態(tài)沿用至其他網(wǎng)絡(luò)/網(wǎng)站/App。該模型僅限于在有合作關(guān)系的企業(yè)間應(yīng)用，也就是在可信合作伙伴間應(yīng)用——相互都能擔(dān)保其用戶可信度的企業(yè)間。

八、IAM平臺是基于開放標(biāo)準(zhǔn)的嗎?

可信合作伙伴間的身份驗(yàn)證消息往往用安全斷言標(biāo)記語言(SAML)發(fā)送。該開放規(guī)范為安全機(jī)構(gòu)間交換安全斷言定義了一個XML框架。SAML實(shí)現(xiàn)了不同身份驗(yàn)證與授權(quán)服務(wù)提供商之間的跨平臺互操作。

不過，開放標(biāo)準(zhǔn)身份協(xié)議不止SAML一個。其他還有OpenID、WS-Trust(Web服務(wù)信任)和WS-Federation(有來自微軟和IBM的企業(yè)支持)，以及無需暴露口令即可供Facebook之類第三方服務(wù)使用用戶賬戶信息的OAuth協(xié)議。

九、實(shí)現(xiàn)IAM的挑戰(zhàn)或風(fēng)險有哪些?

想要成功實(shí)現(xiàn)IAM，公司需要深謀遠(yuǎn)慮，各部門間也需通力合作。若能在IAM項(xiàng)目啟動之前先制定好統(tǒng)一的身份管理策略——目標(biāo)明確、利益相關(guān)者支持、業(yè)務(wù)過程定義明晰，這樣的公司就最有可能成功。而身份管理只有在人力資源、IT、安全和其他部門都參與進(jìn)來的情況下才能取得最好的效果。

身份信息往往從多個渠道涌來，比如微軟活動目錄(AD)或人力資源應(yīng)用。身份管理系統(tǒng)必須能夠同步所有系統(tǒng)中的用戶身份信息，提供可靠的單一數(shù)據(jù)源。

鑒于當(dāng)今IT人才短缺的情況，身份與訪問管理系統(tǒng)需保障企業(yè)能夠管理多個不同場景和計算環(huán)境下的大量用戶，而且是實(shí)時的自動化管理。手動調(diào)整成千上萬用戶的訪問權(quán)限和控制措施是不現(xiàn)實(shí)的。

比如說，離職員工的訪問權(quán)限撤銷工作就有可能因疏忽而忘了做，尤其是在人工手動處理的情況下，而人工撤銷還是大多數(shù)企業(yè)的常態(tài)。報告員工的離職情況并隨后自動撤銷該員工對所有App、訪問和硬件的訪問權(quán)限，需要全面的自動化身份管理解決方案。

身份驗(yàn)證過程必須即讓用戶易于執(zhí)行，又令I(lǐng)T部門方便部署，而且最重要的是，一定要安全。智能手機(jī)因能提供用戶的當(dāng)前地理位置、IP地址和可用于身份驗(yàn)證的其他信息，而成為了用戶身份驗(yàn)證的“中心”。

需謹(jǐn)記的一個風(fēng)險是：集中式操作為黑客和破解者提供了誘人的目標(biāo)。IAM系統(tǒng)用一個儀表盤就能總覽并操作整個公司的身份管理活動，方便了公司管理員的同時，也給黑客和破解者大開了方便之門。一旦這些系統(tǒng)被攻破，入侵者便能創(chuàng)建高權(quán)限的ID，訪問公司各類資源。

十、有哪些IAM術(shù)語是應(yīng)該了解的?

熱詞變化不定，但身份管理領(lǐng)域中一些關(guān)鍵術(shù)語還是值得了解一下的：

(1) 訪問管理

指用于控制和監(jiān)視網(wǎng)絡(luò)訪問的過程及技術(shù)。訪問管理功能，比如身份驗(yàn)證、授權(quán)、信任和安全審計，是企業(yè)內(nèi)部及云端系統(tǒng)頂級ID管理系統(tǒng)不可缺少的重要部分。

(2)活動目錄(AD)

微軟為Windows域網(wǎng)絡(luò)設(shè)計開發(fā)的用戶身份目錄服務(wù)。雖然是專利產(chǎn)品，AD卻隨 Windows Server 操作系統(tǒng)發(fā)售，因而應(yīng)用部署廣泛。

(3)生物特征識別身份驗(yàn)證

依靠用戶獨(dú)特的生物特征來驗(yàn)證用戶身份的安全過程。生物特征識別身份驗(yàn)證技術(shù)包括指紋傳感器、虹膜和視網(wǎng)膜掃描，還有人臉識別。

(4) 上下文感知網(wǎng)絡(luò)訪問控制

一種基于策略的授權(quán)方法，根據(jù)索要訪問權(quán)限的用戶的當(dāng)前上下文來授予網(wǎng)絡(luò)資源訪問權(quán)。比如說，某用戶試圖通過身份驗(yàn)證，但其IP地址卻沒在白名單之內(nèi)，那該用戶就不能獲得授權(quán)。

(5) 憑證

用戶用以獲取網(wǎng)絡(luò)訪問權(quán)的標(biāo)識，比如用戶的口令、公鑰基礎(chǔ)設(shè)施(PKI)證書，或者生物特征信息(指紋、虹膜掃描等)。

(6) 撤銷

將某身份從ID存儲中移除并終止其訪問權(quán)限的過程。

(7) 數(shù)字身份

ID本身，包括對用戶及其訪問權(quán)限的描述。(筆記本電腦或手機(jī)之類的終端也可擁有自己的數(shù)字身份。)

(8) 權(quán)益

指征已驗(yàn)證安全主體所具備的訪問權(quán)限的一系列屬性。

(9) 身份即服務(wù)(IDaaS)

基于云的IDaaS為位于企業(yè)內(nèi)部及云端的系統(tǒng)提供身份及訪問管理功能。

(10) 身份生命周期管理

與訪問生命周期管理類似，該術(shù)語指的是維護(hù)和更新數(shù)字身份的一整套過程和技術(shù)。身份生命周期管理包括身份同步、配置、撤銷和對用戶屬性、憑證及權(quán)益的持續(xù)管理。

(11) 身份同步

確保給定數(shù)字ID的多個身份存儲保持一致的過程，比如公司并購時涉及到的多家公司身份存儲中放置一致的身份數(shù)據(jù)。

(12) 輕量級目錄訪問協(xié)議(LDAP)

用于管理和訪問分布式目錄服務(wù)(比如微軟AD)的開放標(biāo)準(zhǔn)協(xié)議。

(13) 多因子身份驗(yàn)證(MFA)

網(wǎng)絡(luò)或系統(tǒng)的身份驗(yàn)證中要求不止一個因子(比如用戶名和口令)的情況。驗(yàn)證過程中至少還有額外的一步，比如用手機(jī)接收通過短信發(fā)送的驗(yàn)證碼、插入智能卡或U盤、滿足生物特征識別驗(yàn)證要求(指紋掃描等)。

(14) 口令重置

本文語境中，口令重置指的是ID管理系統(tǒng)允許用戶重新設(shè)置自身口令的功能。該功能可將管理員從繁瑣的口令重置工作中解脫出來，還能減少客戶服務(wù)接到的求助電話。用戶通?？赏ㄟ^瀏覽器訪問重置應(yīng)用，提交相應(yīng)的密語或回答一系列問題即可驗(yàn)證用戶身份。

(15) 特權(quán)賬戶管理

基于用戶權(quán)限對賬戶和數(shù)據(jù)訪問進(jìn)行管理與審計。一般來講，特權(quán)用戶因其工作或功能需求而往往被賦予管理員權(quán)限。比如說，特權(quán)用戶可能擁有添加或刪除用戶賬戶和角色的權(quán)限。

(16)  配置

創(chuàng)建身份，定義其訪問權(quán)限，并將其添加到ID存儲中的過程。

(17) 基于風(fēng)險的身份驗(yàn)證(RBA)

在用戶嘗試身份驗(yàn)證時根據(jù)用戶情況動態(tài)調(diào)整驗(yàn)證要求的身份驗(yàn)證方法。比如說，如果用戶嘗試從之前未關(guān)聯(lián)過的地理位置或IP地址發(fā)起身份驗(yàn)證，可能就會面臨額外的驗(yàn)證要求。

(18) 安全主體

具備1個或多個可被驗(yàn)證或授權(quán)的憑證以訪問網(wǎng)絡(luò)的數(shù)字身份。

(19) 單點(diǎn)登錄(SSO)

對相關(guān)但獨(dú)立的多個系統(tǒng)實(shí)施的一種訪問控制。單點(diǎn)登錄模式下，用戶僅憑同一套用戶名和口令就可訪問1個或多個系統(tǒng)，無需多個不同憑證。

(20) 用戶行為分析(UBA)

UBA技術(shù)檢查用戶行為模式，并自動應(yīng)用算法和分析以檢測可能昭示潛在安全威脅的重要異常。UBA區(qū)別于專注跟蹤設(shè)備或安全事件的其他安全技術(shù)，有時候也會與實(shí)體行為分析歸到一類，被稱為UEBA。

十一、IAM供應(yīng)商

身份與訪問管理供應(yīng)商市場競爭激烈，既有Okta和OneLogin這樣的純IAM提供商，也有IBM、微軟和Oracle之類什么都做的大廠商。2017年6月，Garter推出了一份全球訪問管理魔力象限圖。以下就是據(jù)此得出的IAM主流提供商：

• Atos (Evidan)
• CA Technologies
• Centrify
• Covisint
• ForgeRock
• IBM 安全身份與訪問保障
• I-Spring Innovations
• Micro Focus
• 微軟Azure活動目錄
• Okta
• OneLogin
• Optimal idM
• Oracle身份云服務(wù)
• Ping
• SecureAuth