身份管理 (IdM) 也称为身份和访问管理 (IAM),可确保经过授权的人员(且仅限经过授权的人员)能够访问执行其工作所需的技术资源。它所包括的策略和技术涵盖整个企业范围内的过程,以便通过多种属性(包括用户访问权限和基于其身份的限制)来对人员、人员组或软件应用进行正确识别、身份验证和授权。
身份管理系统可阻止对系统和资源进行未经授权的访问,帮助防止企业或受保护数据的外泄,并在未经授权的人员或程序(无论是从企业边界的内部还是外部)尝试访问时发出警示和警报。
身份管理解决方案不仅可以保护软件和数据访问,还可以保护企业中的硬件资源(如服务器、网络和存储设备),使其免受可能导致勒索软件攻击的未经授权的访问。在过去的十年中,由于寻求保护敏感数据免遭任何形式的泄露的全球法规、遵从性和监管要求日益增多,身份管理也得到了重视。
IdM 和 IAM 系统通常是企业内部 IT 安全和 IT 数据管理的一部分,身份和访问管理工具广泛适用于用户行使业务职能所依赖的各种设备,从手机和平板电脑,到运行 Windows、Linux、iOS 或 Android 的台式计算机,不一而足。
IdM 和 IAM 是经常可互换使用的术语,但身份管理更侧重于用户身份(或用户名)以及用户所属的角色、权限和组。IdM 还注重通过诸如密码、生物特征、多因素身份验证和其他数字身份等各种技术来保护身份。这一点通常是通过采用身份管理软件应用和平台实现的。
作为涵盖访问管理和身份管理的整体 IAM 框架的一部分,企业通常同时利用用户管理组件和中央目录组件,如适用于 Windows 的 Active Directory、Apache Directory Studio 或适用于 Linux 系统的 Open LDAP。
用户管理组件可处理管理授权委托、跟踪每个用户和组的角色和责任、置备和取消置备用户帐户以及密码管理。部分或所有这些功能(如密码重置)通常为自助服务,以减轻 IT 人员的负担。
中央目录是企业所有用户和组数据的存储库。因此,此组件的主要作用是在整个企业中同步目录或存储库,这些目录或存储库可以跨本地部署和公有云或私有云组件。这样可以在混合云或多云基础架构中随时随地提供用户及其权限的单一视图。
IAM 框架还包括两个访问组件。身份验证可解决诸如登录(和单点登录)、管理活动会话以及通过 Token 或生物识别设备提供强身份验证等问题。授权使用用户记录中的角色、属性和规则来确定是否应授予特定用户、设备或应用对资源的访问权限。
数字身份是访问的关键。身份包含的信息和属性可定义角色,特别是提供或拒绝对给定资源的访问,并通知企业中的其他人相应身份的归属,如果为个人则该如何与其联系,以及他们在整个企业分层结构中的位置。创建身份(例如通过创建电子邮件帐户、设置员工记录或在企业图表中生成一个条目)可能会在整个企业中产生影响。身份是活的,因为身份会随着时间的推移而发生变化,例如,如果一名员工接受了一个新的角色或搬到一个新的工作地点。
身份管理的作用是,跟踪和管理对在企业存储库中定义身份的所有属性和条目的更改。通常,这些更改只能由企业中选定的少数个人来执行,例如记录调整后的薪资级别的人力资源代表,或授予一组员工(如客户服务代表)对新 CRM 系统功能特性访问权限的应用所有者。
访问管理是对请求访问特定资源的身份进行身份验证,而访问决策只是针对授予该访问权限的肯定或否定的决策。
该过程可以是一个分层的过程,使用访问服务确定用户是否有权对网络进行任何访问,而使用较低的访问层来对应在哪些方面对有问题的身份授予对特定服务器、驱动器、文件夹、文件和应用的访问权限进行身份验证。
请记住,身份验证与授权不是一回事。尽管某个身份(用户)可以被授权访问企业网络并且在目录中拥有一个帐户,但是这样不会自动授予该身份访问企业范围内每个应用的能力。针对任何给定应用或资源的授权将由身份的属性(例如它所属的组、它在企业中的级别或以前分配的特定角色)来确定。
与身份验证一样,授权可以在企业内的多个层中进行,例如既可以作为集中式服务,又可以针对给定应用或资源在本地进行,但不赞成在资源或服务级别进行身份验证,因为集中身份验证可提供更一致的控制。
简言之,身份管理与访问管理之间的区别就是:
身份管理就是管理与用户、用户组或可能需要不时访问的其他身份相关的属性。
访问管理就是基于现有策略评估这些属性,并基于这些属性做出肯定或否定的访问决策。
最近的一项 (ISC)² 研究发现,80% 的泄露均源于身份访问问题,即凭证弱或管理不当。如果没有适当的控制措施,或者没有正确遵循 IAM 的程序和流程,则密码可能会被盗用,出现网络钓鱼攻击,入侵或勒索软件攻击。幸运的是,现代 IAM 平台提供了许多功能的自动化,以帮助确保使用控制措施,例如,当人力资源系统指示员工已离开企业时,会将用户从目录中删除。
由于频繁制定新的隐私和数据保密立法,因此 IAM 可以发挥另一项重要作用,即帮助企业遵守大量有效的法规和监管要求,确保只有授权用户才有权访问数据,但数据本身在其应处的位置。归根结底,IT 安全在很大程度上与访问有关,因此可靠的 IAM 策略是确保整体 IT 安全的关键组件,它针对任何威胁(无论是来自防火墙外部还是内部)提供了第一道保护。
成功保护资产(包括数字资产)的能力会对企业的价值产生直接的底线影响。对于需要访问企业资源来执行其工作的任何人来说,IAM 可缩短价值实现时间,通常将新员工入职到能够访问系统资源之间的时间从几天缩短到几分钟。
除了通过提升安全性来提供更高的业务价值之外,还有其他切实的业务优势。IAM 任务的自动化解放了 IT 部门,让其能够投入到专注于底线的项目,而自助身份管理工具可提高员工、合同工和访问企业资源的其他用户的总体工作效率。
通过提高那些对新用户纳管至关重要的服务的可扩展性,实施整体 IAM 框架可以提供增长机会,而减少 IT 人力资源将为整个 IT 组织带来更好的投资回报 (ROI)。
身份和访问管理已经成为所有这些业务优势的基础,并继续确保企业免受可能导致数据窃取、恶意攻击或暴露敏感客户、患者或法律信息的威胁。
Workspace ONE 将访问控制、应用管理和多平台端点管理功能集成到单个平台中,可以作为云服务提供,也可以用于本地部署。
利用由 AirWatch 技术支持的 Workspace ONE UEM,对每个端点(包括桌面、移动、强固型和 IoT 端点)实施现代化无线管理,降低成本并提升安全性,并确保每一层的企业级安全性。
VMware Workspace ONE 将零信任条件访问控制与行业领先的现代管理方式相结合,帮助 IT 组织主动保护由用户、应用和端点组成的数字化工作空间。
为数字化工作空间提供更快速、更安全的用户体验。Workspace ONE Access(以前称为 VMware Identity Manager)为 SaaS、Web 和原生移动应用提供多因素身份验证、条件访问和单点登录。