身份识别与访问管理（IAM）

身份识别与访问管理（IAM Identity and Access Management）

参考文章：【涨知识】认识IAM，向着“零信任”安全架构迈进
什么是身份和访问管理（IAM）？
IAM （身份识别与访问管理（简称大4A））——百度百科
身份访问与管理(IAM)

定义

定义和管理个人网络用户的角色和访问权限，以及规定用户获得授权（或被拒绝授权）的条件。IAM系统的核心目标是为每个用户赋予一个唯一的身份。使用身份这种唯一用户配置文件管理用户并将用户安全连接到 IT 资源，包括设备、应用、文件、网络等，从而控制对 WiFi 和企业服务器等资源的访问，同时限制其访问工作内容以外的数字资产。该数字身份一经建立，在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视

Gartner 将 IAM 定义为一种安全规则：“让对的人在对的时间以对的理由访问对的资源。”

关键术语

1. 访问管理
   指用于控制和监视网络访问的过程及技术。访问管理功能，比如身份验证、授权、信任和安全审计，是企业内部及云端系统顶级ID管理系统不可缺少的重要部分。
2. 生物特征识别身份验证
   依靠用户独特的生物特征来验证用户身份的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描，还有人脸识别等。
3. 上下文感知网络访问控制
   一种基于策略的授权方法，根据索要访问权限的用户的当前上下文来授予网络资源访问权。比如说，某用户试图通过身份验证，但其IP地址却没在白名单之内，那该用户就不能获得授权。
4. 凭证
   用户用以获取网络访问权的标识，比如用户的口令、公钥基础设施(PKI)证书，或者生物特征信息(指纹、虹膜扫描等)。
5. 撤销
   将某身份从ID存储中移除并终止其访问权限的过程。
6. 数字身份
   ID本身，包括对用户及其访问权限的描述。(笔记本电脑或手机之类的终端也可拥有自己的数字身份。)
7. 权益
   指已验证安全主体所具备的访问权限的一系列属性。
8. 身份即服务(IDaaS)
   基于云的IDaaS为位于企业内部及云端的系统提供身份及访问管理功能。
9. 身份生命周期管理
   与访问生命周期管理类似，该术语指的是维护和更新数字身份的一整套过程和技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。
10. 轻量级目录访问协议(LDAP)
    用于管理和访问分布式目录服务（比如微软AD）的开放标准协议。
11. 多因子身份验证(MFA)
    网络或系统的身份验证中要求不止一个因子(比如用户名和口令)的情况。验证过程中至少还有额外的一步，比如用手机接收通过短信发送的验证码、插入智能卡或U盘、满足生物特征识别验证要求(指纹扫描等)。
12. 口令重置
    口令重置指的是ID管理系统允许用户重新设置自身口令的功能。该功能可将管理员从繁琐的口令重置工作中解脱出来，还能减少客户服务接到的求助电话。用户通常可通过浏览器访问重置应用，提交相应的密语或回答一系列问题即可验证用户身份。
13. 特权账户管理
    基于用户权限对账户和数据访问进行管理与审计。一般来讲，特权用户因其工作或功能需求而往往被赋予管理员权限。比如说，特权用户可能拥有添加或删除用户账户和角色的权限。
14. 配置
    创建身份，定义其访问权限，并将其添加到ID存储中的过程。
15. 基于风险的身份验证(RBA)
    在用户尝试身份验证时根据用户情况动态调整验证要求的身份验证方法。比如说，如果用户尝试从之前未关联过的地理位置或IP地址发起身份验证，可能就会面临额外的验证要求。
16. 安全主体
    具备1个或多个可被验证或授权的凭证以访问网络的数字身份。
17. 单点登录(SSO)
    对相关但独立的多个系统实施的一种访问控制。单点登录模式下，用户仅凭同一套用户名和口令就可访问1个或多个系统，无需多个不同凭证。
18. 用户行为分析(UBA)
    UBA技术检查用户行为模式，并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA区别于专注跟踪设备或安全事件的其他安全技术，有时候也会与实体行为分析归到一类，被称为UEBA。

关键功能

单点登录 (SSO)

通过对跨多种不同Web 应用程序、门户和安全域的无缝访问允许单点登录，还支持对企业应用程序（例如，SAP、Siebel、PeopleSoft 以及Oracle应用程序）的无缝访问。
单点登录（Single Sign On），简称为 SSO，是比较流行的企业业务整合的解决方案之一。SSO的定义是在多个应用系统中，用户只需要登录一次就可以访问所有相互信任的应用系统。

强大的认证管理

提供了统一的认证策略，确保Internet 和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护，而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统（包括密码、令牌、X.509 证书、智能卡、定制表单和生物识别）及多种认证方法组合提供了访问管理支持。

基于策略的集中式授权和审计

将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。因此，不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制，并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外，受控制的“模拟”（在此情形中，诸如客户服务代表的某个授权用户，可以访问其他用户可以访问的资源）也由策略定义。

动态授权

从不同本地或外部源（包括Web服务和数据库）实时触发评估数据的安全策略，从而确定进行访问授权或拒绝访问。通过环境相关的评估，可获得更加细化的授权。例如，限制满足特定条件（最小帐户余额）的客户对特定应用程序（特定银行服务）的访问权。授权策略还可以与外部系统（例如，基于风险的安全系统）结合应用。

企业可管理性

提供了企业级系统管理工具，使安全人员可以更有效地监控、管理和维护多种环境（包括管理开发、测试和生产环境）。

IAM趋势

对于企业而言，现在是实现零信任架构理想时机，因为身份泄露造成的数据泄露威胁正与日俱增。而IAM“武器库”的建设，正是企业迈向零信任的第一步。根据安全牛资料，2020年，IAM三大趋势如下：

身份和访问管理即服务

管理一组应用程序和文件的访问可能很棘手，且要求很高。尽管IAM早已迁移到云中（即使Microsoft的古老Active Directory软件也跳到了Azure），但对应用程序进行精细维护的责任仍然在于管理员。
借助IAM即服务（IAMaaS），许多IAM功能被转移到云中并实现了自动化。远程用户可以轻松而轻松地访问其工具：他们只需使用一次登录（SSO）即可访问所需的所有资源和解决方案。
借助IAMaaS，用户可以轻松、自动化地连接安全和防欺诈保护系统，提高应用程序和文件的安全性，而无需付出额外的努力。此外，自动化工具将大大减少管理员的工作负担。

微服务的身份和访问管理

微服务已经席卷了IT世界。开发人员使用链接的容器化小程序而不是单个整体应用程序来执行以前由单个集成应用程序完成的功能。即使一个组件失败，整个应用程序也不会崩溃。
取而代之的是，自动化系统启动了故障组件的副本，使用户的停机时间降至零。
从传统的IAM的角度来看，这是有问题的。现在，应用程序的各个组件可以通过网络进行通信，这意味着攻击者有可能窃听或伪造这些通信。有时，这些服务使用公共互联网在多个数据中心之间进行通信，这使得加密和安全性变得更加重要。
因此，IAM解决方案开始与微服务集成。在一个这样的解决方案中，微服务之间的每个通信还包括一个唯一的令牌，该令牌在收到后便会得到验证。应用程序仅在收到有效令牌后才执行请求的功能。
这对应用程序造成的性能影响很小，但却可以防止不良行为者假冒微服务或窃听您的应用程序。

自主身份

用户所拥有的身份数据，需重复证明，也不属于自己，这是一件怪诞但现实的事情，这不仅仅带来不便，而且是数据泄露的万恶之源。
自主主权身份是搭建在区块链上的数字身份，也是用户对数字身份掌控度最高的形式，此类数字身份因为结合了区块链的去中心化、分布式、共识机制、哈希加密等特性，因此在自主、安全、可控层面更上一层楼。
在物理世界中，用户可以通过多种方式来验证其身份，而无需用户名或密码。他们可能会出示驾照、护照、社会保险卡或其他身份证。
过去，显示完整账号的信用卡收据使身份盗窃变得容易。而所谓的自主身份，指的是当个人使用这些实体来验证其身份时，没有第三方（发行机构除外）维护副本，因此被盗的风险较小。
简而言之，自我主权身份使用户在网上也能够以“亲自证明”相同的方式对自己进行身份验证。用户可以存储自己的个人识别数据，而不必将其提交到某个公司管理的集中化数据库中，因为如果这些公司被黑客入侵，数据泄露将不可避免。
自我主权身份的问题在于，目前还没有一种普遍认同的媒介可以用来存储自己的身份并对其进行验证。现在，许多自我主权身份的支持者认为，区块链是一种加密的去中心化个人信息数据库，代表了个人可以轻松地在线验证其身份的理想机制。
因此，整合区块链有可能在很大程度上改变IAM。根据您的居住地、您的用户名和密码可能会替换为政府颁发的数字身份。这已经在瑞士的楚格（Zug）市发生，您的城镇可能是下一个。