轉載 | 身份管理入門

時間 2019-11-08

標籤轉載身份管理入門简体版

原文原文鏈接

身份管理工具爲IT經理提供了控制用戶對公司關鍵信息訪問的工具和技術html

![img](http://www.aqniu.com/wp-content/uploads/2017/08/shutterstock_284496383.jpg)git

什麼是身份管理？

廣義講，身份管理系統（也稱爲身份及訪問管理系統，或IAM系統）可在某個系統內管理我的身份，好比一家公司、一個網絡，甚或一個國家。具體講，企業IT中的ID管理，就是定義並管理單個網絡用戶的角色和訪問權限，以及用戶被賦予/拒絕這些權限的狀況。github

ID管理系統的核心目標，是每人一個身份。該數字ID一旦被創建，在每一個用戶的整個「訪問生命週期」裏都應受到維護、修改和監視。算法

所以，用企業身份管理提供商 Okta 高級副總裁兼首席安全官亞希爾·阿布塞勒哈姆的話說，ID管理的總體目標，是從用戶系統登陸到許可受權到按需登出，都能及時在正確的上下文中，爲正確的用戶，分配正確的企業資產訪問權限。瀏覽器

ID管理系統爲管理員提供各類工具和技術，能夠修改用戶角色，跟蹤用戶活動，建立活動報告，貫徹策略執行。這些系統的設計目標，是要提供在整個企業裏管理用戶訪問的方法，以及確保符合企業策略和政府監管規定。安全

ID管理技術包括（但不限於）口令管理工具、配置軟件、安全策略執行應用程序、報告和監視App，以及身份存儲庫。ID管理系統在內部部署系統（如微軟SharePoint）和雲系統（如微軟 Office 365）均可用。網絡

ID管理系統必須足夠靈活，足夠健壯，才能夠適應當今計算環境的複雜性。緣由之一：企業計算環境曾經很大程度上是內部部署的，ID管理系統在員工都在工做場所上班的時候對用戶進行身份驗證和跟蹤管理。那個時候的企業環境，是有着安全圍欄圍着的。而今天，這個圍欄再也不存在。架構

今天的ID管理系統，應能讓管理員很方便地進行訪問權限管理，服務對象也應包括各種用戶——國內公司裏上班的僱員和國外遠程辦公的承包商；混合計算環境——企業內計算、軟件即服務(SaaS)應用程序、影子IT和BYOD用戶；計算架構——UNIX、Windows、Macintosh、iOS、安卓、IoT設備。app

最終，ID管理系統應能對整個企業，以一致而可擴展的方式，對用戶進行集中管理。框架

最近幾年，身份即服務(IDaaS)以雲端訂閱的方式，做爲第三方託管服務而興起，爲企業內客戶和雲系統客戶提供ID管理。

爲何要關注身份管理？

ID管理是任何企業安全計劃的重要部分，由於今天的數字化經濟中，ID管理與企業安全和生產力密不可分。

被盜用戶憑證經常是進入企業網絡及其信息資產的入口點。企業採用ID管理來保護其信息資產不受勒索軟件、犯罪黑客行爲、網絡釣魚和其餘惡意軟件攻擊的威脅。Cybersecurity Ventures 預測，2017年，僅全球勒索軟件破壞的損失，就可達50億美圓，比2016年上升了15%。

不少企業裏，用戶權限有時候會比所需的要高。健壯的ID管理系統，可經過確保整個企業內應用一致的用戶訪問規則和策略，爲企業添加一層重要的防禦。

ID管理系統可加強企業生產力。這些系統的中央管理功能，可減小保護用戶憑證和訪問權限的複雜性及開銷。同時，ID管理系統還讓員工在各類環境下更富生產力和安全性，不管他們是在家工做仍是在辦公室開工，仍是在出差途中。

不少政府要求企業注重身份管理。Sarbanes-Oxley法案、Gramm-Leach-Bliley金融服務法案和HIPAA法案，都要求企業爲客戶及員工信息訪問控制負責。ID系統可幫助企業聽從這些規定。

《通用數據保護條例》(GDPR)是更近一些的規定，要求強安全和強用戶訪問控制。GDPR強制企業保護歐盟公民的我的數據和隱私。該條例將於2018年5月正式生效，在歐盟國家經營或擁有歐盟公民客戶的每家公司均受其管轄。

2017年3月1日，紐約州金融服務署(NYDFS)新網絡安全規定宣佈生效。該規定描述了不少在紐約運營的金融服務公司應聽從的安全運營要求，包括監視受權用戶活動和維護審計日誌——ID管理系統一般都會作的那些事。

ID管理系統能夠自動化爲企業網絡和數據提供安全的用戶訪問，減輕IT在這些瑣碎但重要的任務上的負擔，並幫助他們持續符合政府的規定。鑑於現在每一個IT職位同時也是安全職位的態勢；全球性網絡安全勞動力緊缺在持續；不合規所遭受的懲罰可以讓企業損失數百萬甚至數十億美圓；上述這些都是很是重大的好處。

公司怎麼從身份管理系統獲益？

實現ID管理和相關最佳實踐，能夠多種形式帶來重大競爭優點。現下，大多數公司須要爲外部用戶賦予到內部系統的訪問權限。向客戶、合做夥伴、供應商、承包商和僱員開放公司網絡，可提高效率，下降運營成本。

ID管理系統可以使公司在不破壞安全的狀況下，將訪問權限擴展至其各類各樣的信息系統，包括企業內應用、移動App、SaaS工具等。向外部提供更多訪問，可驅動整個企業的協做，提高生產效率、員工滿意度，提振研究和開發，最終造成收益增長。

ID管理可減小IT支持團隊接到的口令重置類求助電話。ID管理系統能讓管理員自動化這些動做和其餘耗時耗力的任務。

ID管理系統可成爲安全網絡的基石，由於用戶身份管理是訪問控制拼圖的重要一塊。ID管理系統要求公司企業定義自身訪問策略，具體描述哪些人能夠在哪一種狀況下對哪些數據資源具備訪問權。

所以，管理良好的ID，意味着對用戶訪問更好的控制，也就是內部和外部數據泄露風險的下降。這很是重要，由於，伴隨着外部威脅的持續上升，內部攻擊一樣愈驅頻繁。根據IBM《2016網絡安全情報索引》，約有60%的數據泄露時由公司本身的僱員致使的。固然，75%是惡意的，25%是無心的。

正如前文提到的，經過提供工具實現全面安全、審計和訪問策略，ID管理系統可以加強合規。不少系統現在都有確保公司合規的諸多功能。

身份管理系統工做機制是什麼？

過去幾年中，典型的ID管理系統包括4個基本元素：

系統用於定義我的用戶的我的數據目錄（不妨想作是ID存儲庫）；
用於添加、修改和刪除這些數據（與訪問生命週期管理相關）的一套工具；
監管用戶訪問（執行安全策略和訪問權限）的系統；
審計和報告系統（覈實系統上在發生什麼）。

監管用戶訪問一直以來都涉及到一系列的用戶身份驗證方法，包括口令、數字證書、令牌和智能卡。硬件令牌和信用卡大小的智能卡被當成雙因子身份驗證的其中一個部分。雙因子身份驗證結合你知道的某些事（好比你的口令）和你擁有的某樣東西（令牌或卡），來覈實你的身份。智能卡嵌入了一塊集成電路芯片，多是安全微控制器，或者內部存儲或存儲芯片等價物。出現於2005年的軟件令牌，可存在於任意帶存儲功能的設備中，從U盤到手機均可以。

今天的複雜計算環境裏，隨着安全威脅的提高，強用戶名和口令再也不管用。時至今日，ID管理系統每每綜合了生物特徵識別、機器學習和人工智能，以及基於風險的身份驗證等因素。

在用戶層級，最近的用戶身份驗證方法有助於更好地保護身份。舉個例子，iPhone Touch ID 功能的流行，讓不少人適應了用指紋做爲身份驗證的方法。更新的 Windows 10 計算機提供指紋傳感器或虹膜掃描做爲生物特徵識別用戶身份驗證。今年晚些時候即將推出的下一代iPhone，據傳將採用虹膜掃描或人臉識別，取代指紋掃描，來進行用戶身份驗證。

有些公司已開始從雙因子身份驗證轉向三因子身份驗證，結合你知道的(好比口令)、你擁有的(好比智能手機)，以及你的特徵(人臉識別、虹膜掃描或指紋傳感)。從雙因子走向三因子，在確保正確的用戶上又多了一重保障。

在管理層級，今天的ID管理系統提供更先進的用戶審計和報告——感謝上下文敏感的網絡訪問控制和基於風險的身份驗證(RBA)之類的技術。

上下文敏感的網絡訪問控制基於策略，根據各類屬性預先規定了事件及其結果。例如，沒被列入白名單的IP，就會被封禁。或者，若是沒有代表設備被託管的證書，上下文敏感網絡訪問控制就不會觸發身份驗證過程。

相比之下，RBA更爲靈活，每每受到某種程度的AI驅動。有了RBA，基本上就爲身份驗證事件打開風險評級和機器學習的大門了。

RBA根據當前風險情況對身份驗證過程應用不一樣級別的嚴格度。風險越高，對用戶的身份驗證過程越嚴格。用戶地理位置或IP地址的改變，可能會觸發附加的身份驗證要求，只有所有經過，用戶才能繼續訪問公司的信息資源。

統一身份管理是什麼？

統一身份管理可以讓你與受信合做夥伴共享數字ID。這是讓用戶可以使用同一個用戶名、口令或其餘ID，來訪問多個網絡的身份驗證共享機制。

單點登陸(SSO)就是統一身份管理的一個重要組成部分。單點登陸標準，可以使在某個網絡、網站或App上經過驗證的用戶，將其經驗證狀態延續到另外一個登陸系統。該模型僅適用於合做企業之間——所謂受信合做夥伴，能夠爲彼此的用戶擔保的那種。

受信合做夥伴間的受權消息每每經過安全斷言標記語言(SAML)發送。該開放規範定義了在安全受權方之間交換安全斷言的XML框架。SAML在提供身份驗證和受權服務的不一樣廠商平臺間達成了互操做性。

然而，SAML不是惟一一個開放標準身份協議。其餘協議還有OpenID、WS-Trust(Web服務信任)和WS-聯合(受到微軟和IBM的共同支持)，以及OAuth——不暴露口令的狀況下讓用戶帳戶信息可被Facebook之類第三方服務使用的協議。

實現身份管理解決方案面臨的挑戰或風險有哪些？

ID管理的成功實現，須要深謀遠慮和各部門間的協做。在項目開始前就創建了內聚ID管理策略的企業——目標清晰、利益相關者承認、業務過程有定義，更有可能成功。只有在人力資源、IT、安全和其餘部門都參與的狀況下，ID管理纔會獲得最佳成效。

身份信息每每來自多個存儲庫，好比微軟活動目錄(AD)或人力資源應用。ID管理系統必須可以同步這些來自不一樣系統的用戶身份信息，提供統一的真相。

鑑於當今IT人才的緊缺，ID管理系統還得能讓企業能夠在各類狀況和計算環境中管理各類各樣的用戶——自動化實時管理。人工調整成百上千用戶的訪問權限和控制，是不現實的。

好比說，解綁離職員工訪問權限的工做就會被疏忽掉，尤爲是在人工處理的狀況下，而這每每是不少企業的現狀。報告員工離職，而後自動解除該員工所用各個App、服務和硬件的訪問權配置，須要一個自動化的全面ID管理解決方案。

身份驗證也必須讓用戶易於執行，讓IT部門易於部署，並且最重要的，必須安全。這也是爲何移動設備正成爲用戶身份驗證中心的緣由，由於智能手機能夠提供用戶當前位置、IP地址，以及可用於身份驗證目的的其餘信息。

須要謹記的一個風險是：集中式操做也會向黑客和破解者呈現出誘人的目標。整個公司全部ID管理活動都在一個儀表板上呈現，不只僅給管理員帶來了便利，也爲黑客和破解者減小了攻擊複雜度。一旦被黑，入侵者即可以建立高權限ID，訪問龐大的資源。

應該知道的術語有哪些？

流行詞總在變化，但身份管理領域一些關鍵術語仍是值得知道一下：

1. 訪問管理

訪問管理，指的是用於控制和監視網絡訪問的過程和技術。訪問管理功能，好比身份驗證、受權、信任和安全審計，是內部和雲端系統頂層ID管理系統的組成部分。

2. 活動目錄(AD)

微軟開發的AD，是Windows域網絡用戶身份目錄服務。雖然是專利產品，AD卻被包括在 Windows Server 操做系統中，於是廣爲使用。

3. 生物特徵識別身份驗證

依靠用戶特徵進行身份驗證的安全過程。生物特徵識別身份驗證技術包括指紋傳感器、虹膜和視網膜掃描，以及人臉識別。

4. 上下文敏感網絡訪問控制

上下文敏感網絡訪問控制是一種基於策略的方法，根據請求訪問用戶的當前上下文受權網絡資源。例如，以未進入白名單的IP地址請求身份驗證的用戶，就不會被批准。

5. 憑證

用戶用於訪問網絡的標識符，好比用戶口令、公鑰基礎設施(PKI)證書，或者生物特徵信息(指紋、虹膜掃描)。

6. 解除配置

從ID存儲庫中刪除身份並終止訪問權限的過程。

7. 數字身份

即ID自己，包括對用戶及其訪問權限的描述。(終端，諸如筆記本電腦或智能手機，也能夠擁有其數字身份。)

8. 權利

經驗證安全主體所具備的一系列屬性，指明瞭具體訪問權益和特權。

9. 身份即服務(IDaaS)

基於雲的IDaaS爲內部和雲端企業系統提供身份與訪問管理功能。

10. 身份生命週期管理

與訪問生命週期管理相似，該術語指的是維護和更新數字身份的整套過程與技術。身份生命週期管理包含身份同步、配置、解配置，以及對用戶屬性、憑證和權利的持續管理。

11. 身份同步

確保多個身份存儲(好比企業併購的結果)包含給定數字ID的統一數據的過程。

12. 輕量級目錄訪問協議(LDAP)

LDAP是管理和訪問分佈式目錄服務(好比微軟的AD)的開放標準協議。

13. 多因子身份驗證(MFA)

網絡或系統身份驗證時要求一個以上驗證因子(好比用戶名和口令)的狀況。至少還會要求另外一個驗證步驟，好比接收發送到智能手機上的短信驗證碼，插入智能卡或U盤，或者知足生物特徵識別身份驗證要求(如指紋掃描)。

14. 口令重置

身份管理上下文中，口令重置指的是ID管理系統的一個功能，可讓用戶從新設置口令，減輕管理員工做負擔，減小求助電話。重置應用一般經過瀏覽器訪問。該應用會要求密語，或者詢問一組問題來覈實用戶身份。

15. 配置

建立身份，定義其訪問權限，以及將身份加入ID存儲庫的過程。

16. 基於風險的身份驗證(RBA)

基於風險的身份驗證，根據身份驗證當時的用戶狀況，動態調整驗證要求。好比說，當用戶從以前未關聯的地理位置或IP地址嘗試驗證時，將會遇到額外的身份驗證要求。

17. 安全主體

數字身份，擁有1個或多個可經驗證和受權與網絡進行交互的憑證。

18. 用戶行爲分析(UBA)

UBA技術審查用戶行爲模式，自動應用算法和分析以檢測代表潛在安全威脅的重要異常。UBA與其餘專一跟蹤設備或安全事件的安全技術不一樣，有時候也被歸類於實體行爲分析，被稱爲UEBA。

什麼是 Authing？

Authing 提供專業的身份認證和受權服務。
咱們爲開發者和企業提供用以保證應用程序安全所需的認證模塊，這讓開發人員無需成爲安全專家。
你能夠將任意平臺的應用接入到 Authing（不管是新開發的應用仍是老應用均可以），同時你還能夠自定義應用程序的登陸方式（如：郵箱/密碼、短信/驗證碼、掃碼登陸等）。
你能夠根據你使用的技術，來選擇咱們的 SDK 或調用相關 API 來接入你的應用。當用戶發起受權請求時，Authing 會幫助你認證他們的身份和返回必要的用戶信息到你的應用中。