身份和访问管理（IAM）

IT 和安全组织使用身份和访问管理（IAM）解决方案来管理用户身份和控制对企业资源的访问。IAM 解决方案确保合适的人员能够在合适的时间、出于合适的原因访问合适的 IT 资源。它们是纵深防御安全战略的基本组成部分，对于防御 IT 系统遭受网络攻击和数据丢失至关重要。让我们了解一下 IAM 的含义，以及它在企业中的作用。

什么是 IAM？

身份和访问管理\(IAM\)是一个框架，用于为企业 Web 应用程序，API，企业用户生命周期管理和企业应用程序对外部用户/供应商的访问权限实施额外的安全层。IAM 可以控制基于用户或角色的企业应用程序的访问，并启用单点登录以实现与集成 IAM 的企业应用程序无缝地进行用户身份验证。它验证用户访问请求，并且可以授予或拒绝对整个企业范围内受保护的 Web 和应用程序资源的权限。

它允许管理 IAM 活动，例如创建用户，组，定义访问角色，策略，保护 Web 应用程序资源以及通过集中式 IAM 控制台配置身份验证方案。在增强安全性和自动化业务工作流程逻辑方面，IAM 具有多个优势，它可以提高工作效率并减少在大型组织中的员工/承包商入职和离职时 IT 员工的工作量。

无论是医疗保健，金融还是其他领域，企业都使用 IAM 来遵守最佳实践和行业标准。简而言之，它可以自动化企业应用程序的用户生命周期，并实现与其他外部实体（如云解决方案和第三方应用程序）的信任。下图概述了 IAM 用户身份生命周期。

身份和访问管理序列流程图

IAM 工作流程的逻辑视图

IAM 架构

在下图中，我们可以看到内部和外部用户访问组织的 Web 层中托管的应用程序的流程。内部/外部用户面临使用 SSO 身份验证页面提供身份验证凭据的挑战。

在这里，可以使用表单，基于 X509 证书的 MFA，Oauth 和 SAML 2.0 来配置用户身份验证机制。身份验证后，SSO 服务将验证用户是否获得应用程序授权，并根据其属性定义和供应角色将其重定向到相应的应用程序目标页面。

IAM 管理员负责构建用户配置文件/策略/工作流程，并使用 SSO 组件保护 Web 应用程序资源并定义角色配置。

例如，假设组织中的财务部门在 IAM 中有一个配置角色，定义为“财务经理角色配置”。在分配“财务经理角色配置”时，用户将获得对与该配置角色关联的所有应用程序的访问权限。类似地，当同一用户从“财务经理角色配置”中取消配置时，同一用户将失去对这些应用程序的访问权限。

这里，我们对 SSO 服务和身份管理都使用公共用户存储。此用户存储用于管理身份管理组件中的用户标识。

IAM 的架构流程图

IAM 的主要功能包括：

• 单点登录–大多数 IAM 解决方案都支持单点登录（SSO）功能，该功能使用户可以使用一组登录凭据访问其所有业务应用程序和服务。SSO 通过消除密码疲劳来提高用户满意度。它通过集中和统一管理功能来简化 IT 操作。而且，它通过消除危险的密码管理做法，减少了攻击面和安全漏洞来增强安全性。

• 多因素身份验证–大多数 IAM 解决方案都提供了多因素身份验证（MFA）功能，以防止假冒和凭证盗用。使用 MFA，用户必须出示多种形式的证据才能访问系统，例如密码、指纹和 SMS 代码。现代 MFA 解决方案使用上下文信息（位置，时间，IP 地址，设备类型等）和管理定义的策略来确定在特定情况下要应用于特定用户的身份验证因素，从而支持自适应身份验证方法。

• 用户资源调配和生命周期管理–大多数 IAM 解决方案为入职用户提供管理工具，并在其整个就业过程中管理其访问权限。它们提供自助服务门户，允许用户请求访问权限并更新帐户信息，而无需服务台干预。它们还提供监控和报告功能，帮助企业 IT 和安全团队支持法规遵从性审计和取证调查。

IDaaS 解决方案提供了云计算的经济性和灵活性

以前，大多数企业都使用内部 IAM 解决方案来管理用户身份和访问权限。今天，许多组织使用身份即服务（Identity as a Service，IDaaS）产品来简化操作、加快价值实现，并支持数字化转型计划。IDaaS 产品是作为基于云服务交付的 IAM 解决方案，由受信任的第三方托管和管理。

IDaaS 解决方案结合了企业级身份和访问管理解决方案的所有功能和优势，以及基于云服务的所有经济和运营优势。它们帮助企业降低风险，避免 IT 基础设施成本和复杂性，并加速数字化转型。

IDaaS 产品非常适合 IT 的云计算优先，移动优先的模式。它们为在公共或私有云中运行的 SaaS 解决方案和企业应用程序提供基于云的集中式身份管理和访问控制。它们支持身份联合标准，例如 SAML，Oauth 和 OpenID Connect，这些标准使用户可以使用一组凭据访问其所有应用程序。而且，它们使企业可以轻松地与供应商，合伙人和员工进行联系。

企业还可以使用 IDaaS 解决方案来提供对企业数据中心中托管的传统企业应用程序的远程访问。领先的 IDaaS 解决方案支持应用程序网关，使远程工作人员无需专用 VPN 设备或专用端点客户端软件即可安全地访问传统的企业应用程序。

IDaaS 解决方案可帮助企业：

• 消除成本和复杂性– IDaaS 解决方案可帮助企业避免资本设备开支，简化 IT 运营并使 IT 员工能够专注于核心业务计划。

• 缩短实现价值的时间–企业可以快速轻松地部署 IDaaS 解决方案，只需很少或根本不需要部署、配置或维护本地技术。

• 降低风险– IDaaS 解决方案通过消除危险的密码管理做法并减少漏洞和攻击面来增强安全性。

• 改善用户体验– IDaaS 产品消除了密码疲劳，并允许用户使用一组凭据以一致的方式访问其所有应用程序，从而提高了用户满意度。

文章来源：

• https://www.innominds.com/blog/open-source-tools-for-identity-and-access-management

• https://www.cyberark.com/zh-hant/what-is/iam/

关于我们

「龙归科技」 是一个专注于低代码赋能企业级信息化服务提供商。核心创始人团队来自绿盟安全、红帽开源操作系统、知名游戏玩蟹科技、知名开源社区等专家共同创立。

「龙归科技」 致力于让中国每一个企业拥有专属的自动化办公操作系统，助力企业或政府拥抱 （Cloud Native First）云原生优先战略，帮助客户构筑以「身份与应用」为中心的现代化 IT 基础设施！从而实现 「数字化转型」 及 「软件行业工业化生产」 ！

主打产品：ArkOS 方舟操作系统：一个企业级办公自动化操作系统 ，结合自研低代码应用开发平台，构建产业生态，专注为各类企业与组织机构打造一体化全栈云原生平台。系统自带应用包括：ArkID 统一身份认证，ArkIDE，ArkPlatform，App Store 等产品。截至目前，公司已经获得 15 个 软件著作权、2 个发明专利，并与 2020 年 11 月份，获得北京海淀区中关村国家高新技术企业认定。

相关链接：

官网：<https://www.longguikeji.com/>

文档：<https://docs.arkid.longguikeji.com/>

开源代码仓库地址：

<https://github.com/longguikeji>

<https://gitee.com/longguikeji>

历史文章

1. 登录的轮子，你还在造？
   

2. 企业级单点登录——信息化体系建设基础
   

3. 远程办公，你准备好了吗？
   

4. 企业信息化，怎样才算数？
   

5. 龙归科技 | 对未来的若干猜测
   

6. 龙归科技 | 企业办公自动化的未来
   

7. 龙归科技 | 软件的成本下降
   

8. 开源软件项目的定性和定量分析指标 —— CHAOSS 指标解析
   

9. 使用SSO增强身份安全性的四个理由
   

10. 云安全和访问管理
    

11. 5个身份和访问管理的最佳实践
    

12. LDAP身份认证管理最佳实践
    

13. 选择IDaaS解决方案的6个技巧