什么是 IAM? 定义、特征和工具解释
已发表: 2019-11-23约翰威尔金森的来宾贡献
身份和访问管理 (IAM)是任何组织内管理和管理其员工对资源的访问的结构和流程的总称。 重要的是要注意,严格来说,IAM 是一门概念学科。 IAM 解决方案是实际执行组织的 IAM 战略和政策的软件实施。 出于本文的目的,我们将深入研究与 IT 资源相关的 IAM 和解决方案。
IAM 解决方案以其最精炼的方式集中、连接和管理对您的系统、数据和资源的访问。 将它们视为监督组织 IT 环境的大脑。 为每个人集中身份信息可以保留他们相关的权限和安全性,以推动和促进自动化流程。 标准化和同步您组织的 IAM 可以创建一个准确、易于管理的数据库,从而为所有用户提供安全、正确的访问。
IAM 解决方案有助于在组织的独特环境和运营中为每个用户的特定角色校准过于开放的访问和过于严格的安全性之间的完美平衡点。 成功的实施可为您提供 IT 资源和业务流程的管理工具。 这确保了正确的用户能够正确访问正确的资源,触手可及,无论他们的角色将他们带到哪里。
为什么 IAM 很重要? - 历史背景
理解“为什么?” 对某事的理解是理解“什么?”的关键部分。 那么,为什么 IAM 解决方案很重要? 为此,我们转向业务流程和技术的历史背景。
传统的商业技术是独立运作的,因为它缺乏今天提供给我们的互连性。 这造成了完全存在于特定系统中的不同数据孤岛。 忘记在机器之间传输信息,它通常仅限于单个系统和软件应用程序。 传统的业务流程解决了这些限制,需要过多的工作和书面记录才能最好地确保正确完成和记录保存。
“筒仓”是指在独立的结构或系统中隔离某些东西(例如数据)的行为,将其与整个环境隔离开来——想想农场上的粮仓。
当组织依赖孤立的资源和数据时,由此导致的缺乏互连性将使用限制在明确的边界范围内。 例如,人力资源数据的效用将仅限于人力资源系统。 此外,孤立通常会迫使创建其他效率低下的业务和访问流程作为变通方法。 这些正式的或临时的解决方法不是补救措施,而是用于破碎结构骨骼的表面绷带。
这些变通办法中的许多可能曾经看起来像数字化之前的遗留工作一样明智 - 例如需要跑来跑去五个阶段批准的纸质表格。 然而,新技术的不断涌现经常使它们变得多余或限制。
手动 IAM – 您一直在使用它
您可能没有意识到,但您的组织已经实施了各种 IAM 政策和程序——它们可能没有自动化或数字化。 以下是一些示例,展示了控制和监控对资源的访问的手动或纸质驱动的 IAM 流程:
- 通过在钥匙附近的剪贴板上记录您的姓名、日期以及开始和结束的里程数来注销公司汽车
- 将单独分配的安全代码输入密码锁以获得建筑物访问权限
- 为员工的支出批准提交纸质申请表
今日IAM
无论行业、规模或位置如何,现代组织都需要 IT 资源来完成日常职能:您的人力资源部门使用人力资源系统来获取员工信息; 您的会计部门使用工资单软件; 销售使用客户关系管理 (CRM) 系统; 营销使用内容管理系统 (CMS); 每个人都访问本地或云存储以进行文件和数据共享; 等等。
利用这些资源需要与个人关联的用户帐户。 要访问用户帐户,员工必须验证他们的身份——通常是通过输入用户名和密码凭据。 必须在其生命周期过程中创建、维护和停用用户帐户,这通常与该用户的工作期限相关。
在当今对即时性的期望中有效利用 IT 资源需要在任何时间、任何设备、任何位置即时访问应用程序、文件和数据。 最重要的是,在一个比以往任何时候都更加紧密相连的世界中,恶意数字实体的永无止境的冲击使传统流程和访问变得复杂。
在当今的商业世界中蓬勃发展取决于优化的运营、数据和安全性。 低效的流程加起来很快就会减慢你的速度。 手动管理用户帐户的创建和配置、临时请求、身份验证、访问审查、安全工作等不仅会给您的 IT 员工带来负担,而且会给每个使用 IT 资源的员工带来负担。 将这些挑战与日益严格的法规遵从性(例如 HIPAA、SOX、FERPA)和违规风险相结合,每个企业目前都在应对有史以来最严格的环境。
此外,日常运营中使用什么类型的账户? 当具有更高权限的角色(例如主管、经理、特殊角色)始终通过其特权帐户进行操作时,这些帐户变得不安全的可能性要高得多,并且可能会在没有通知的情况下进行过度活动。 特权访问管理对于确保您的环境安全至关重要。 如果不需要使用特权帐户,请不要. 就是这么简单。 另一方面,由多个用户共享的通用帐户会消除洞察力。 过度使用特权账户和通用账户确实使管理更容易,因为它们都不存在,而且一切都变得非常不安全。
未能制定严格的流程、政策和安全措施会造成混乱。 否则,您的人员的访问权限可能会迅速失控,进而使每个人对角色和责任的理解变得复杂。 这种混乱会造成安全风险、疏忽和疏忽,并可能造成严重后果。
IAM 解决方案是您可以提供的最佳平台,可帮助您的组织取得成功。 自动化您的后端管理流程可确保正确执行关键和琐碎的任务,提供安全的访问权限,并恢复为您的人员重新分配更重要任务的优先级的能力。
查看下面的信息图,了解有关身份和访问管理的更多统计信息:
IAM 解决方案定义
IAM 解决方案是管理、集成和合并用户身份、账户生命周期、用户权限和活动的动态技术。 简而言之,IAM 解决方案管理与在任何组织的“日益异构的技术环境”(Gartner) 中操作的用户相关的人员、内容、地点、时间、原因和方式。
这样一个平台的实施允许经过验证的用户访问必要的资源,IT 专业人员可以专注于生产性工作而不是琐碎的管理任务,并且整个组织可以更有效地运作。 IAM 使组织能够将精力转移到有影响力的、以 ROI 为中心的和有益的运营上,而不是受到系统管理的限制。
IAM 解决方案组件
任何 IAM 解决方案都有四个主要组件:
1.认证管理
身份验证管理验证身份并相应地授予或拒绝对系统的初始访问。 这是 IAM 的“身份”方面,并确保每个用户都是他们所说的那样。
传统的身份验证需要用户名和密码凭据,但较新的多重身份验证 (MFA)支持使用一次性密码 (OTP)、令牌、智能卡等。 当前最常见的身份验证方法之一是在员工首次登录其计算机时登录 Microsoft 的 Active Directory (AD)。
2.授权管理
授权管理保证经过身份验证的用户只能访问其给定角色所需的应用程序和资源。 这是 IAM 的“访问管理”部分,可能包含其他元素,例如单点登录和访问治理 (AG) 角色模型,它由一个执行基于角色的访问控制 (RBAC) 的矩阵组成。
角色模型可以被认为是概述与访问相关的分层员工结构的数字图表。 单点登录 (SSO)使所有用户 IT 资源在完成单次登录后都可用,以消除访问各种系统和应用程序时的重复身份验证尝试和较差的密码安全性。
3. 行政
管理用户帐户生命周期的自动化:为系统和应用程序创建、修改、禁用和删除用户帐户。 身份验证和授权管理监督访问安全,而管理监督资源的供应。 IAM 解决方案将源系统(例如 UltiPro 或 WorkDay 等 HR 系统)链接到目标系统(例如 AD、O365、G Suite、SalesForce、Adobe),允许您自动执行手动任务,以实现完整的端到端供应。
管理与用户帐户生命周期一致,从员工第一天的设置到他们离开时的停用。 随着员工角色的变化(例如晋升、重组),IAM 解决方案将自动重新配置和更新资源并相应地访问。 诸如一次性项目之类的临时更改可以通过自助服务功能处理,允许用户直接从他们的经理或资源的“所有者”请求访问。 由于 IAM 解决方案提供了管理界面,因此配置用户不再需要技术知识。 经理可以简单地批准更改,让解决方案处理其余的。
4. 监控与审计
这些功能支持内部主动管理,并通过全面的活动日志审查组织的运营和流程。 活动日志可用于编译商业智能报告和审计跟踪、执行访问审查、确保角色正确并修复任何低效的 IAM 流程或问题。
IAM 执行
IAM 解决方案基于“权威数据”运行,这是包含您员工身份信息的最准确、最完整的集合。 组织必须为 IAM 解决方案提供权威数据。 权威数据必须干净并以一致的格式输入,否则自动化将遇到问题。 大多数身份数据存储在“源系统”中,例如包含个人/联系信息、开始和结束日期、职能/角色、部门、位置等的 HR 系统。
将源系统和数据想象成汽车电池——您可以连接各种电气功能和特性,但作为源,电池必须提供足够的清洁电流才能使其工作。 IAM 流程只能通过干净、一致和完整的数据输入运行。 使用系统之间的标准连接器,IAM 解决方案可以聚合来自许多不同源系统的数据,然后再将其推送到连接的目标。
组织必须详细确定给定个人因其角色而获得的资源,并将其纳入其 AG 模型。 IAM 解决方案依靠可配置的触发器和流程来获取这些权威数据并在您的整个 IT 环境中进行同步。 监控各种字段和值的变化。 当源值发生更改时,IAM 触发器监控会根据配置的逻辑启动相关流程以同步数据。
组织中的个人可以拥有不同的身份,这些身份通常单独存储在 IAM 解决方案中。 基于这些身份,IAM 可以为不同的员工类型和角色职责创建和管理不同的用户账户。 如果用户需要执行需要提升特权的职责(例如访问工资信息),他们应该使用特权帐户。 要查看他们的电子邮件或创建文档,他们应该使用没有提升权限的普通用户帐户。 特权访问管理更好地允许员工使用适合情况的用户帐户进行操作。
源系统仍然提供所有这些身份的信息,但不能帮助他们进行适当的管理。 IAM 解决方案作用于权威数据,使身份和用户之间的所有这些复杂链接成为可能。
IAM 安全
当员工被聘用时,将新创建的帐户和凭据移交给员工离开的那一天,安全风险就开始了。 在他们的就业过程中,用户的资源需求可能会发生变化。 晋升、重组、角色变化和临时项目都有助于改变访问需求。 随着时间的推移,这种访问中的大部分可能变得不必要,甚至会带来合规风险,这会转化为安全问题。 尤其是相关访问是否会威胁到敏感信息,例如个人身份信息 (PII)、信用卡或社会安全号码等。这种访问累积称为“权限膨胀”。 IAM 解决方案通过根据员工现在和现在的角色限制对员工需求的访问来抵消“权限膨胀”。
即使在员工离职后,这些风险也不会结束,除非您有一个全面且自动化的取消配置流程。 取消配置过程涉及清理离职员工的帐户和访问权限。 如果没有 IAM 解决方案,安全地跟踪所有给定用户的帐户、凭证和访问(物理或数字)——更不用说及时删除它们——变得不可能。
当用户离开组织时,必须停用和取消配置其所有关联帐户。 如果没有,即使原始用户已离开您的组织,他们仍然可以使用相同的凭据登录。 恶意的前雇员可能会获取敏感数据(例如客户信息、知识产权、帐户凭据)或在最坏的情况下破坏您的环境。 在停用之前,前雇员可以访问您的 IT 资源。 这可能是几天、几周、几个月甚至几年。 未能清理帐户和访问会暴露云存储、客户数据、即将开展的项目、营销材料等。 对于任何人都可以从其个人设备访问的云托管资源,停滞的停用尤其危险。
“孤儿账户”
遵守标准停用流程的另一个主要原因是防止“孤立帐户”的积累。 孤立帐户是那些不再与活动用户关联并保留在您的环境中的帐户。 这种数字碎片会影响您准确评估环境的能力,同时占用存储空间。 IAM 解决方案最重要的过程之一就是清理这些。
展望未来:IAM 和云
如今,大多数企业通过合并云应用程序来拆分其 IT 环境,以降低维护成本、加快实施速度并提高访问灵活性。 然而,这些混合环境对传统业务运营和“手动 IAM”提出了严峻挑战。 非托管云应用程序的使用会通过 IT 环境中的无数新开口带来安全风险——更不用说它会因重复登录而让用户感到沮丧。 诸如此类的问题是基于云或 Web SSO 功能如此重要的原因。
具有基于云/Web 单点登录 (SSO) 功能的 IAM 解决方案有助于弥合混合环境中的差距。 SSO 的中央登录门户通过严格的安全协议和可配置的访问策略将所有用户的 IT 资源关在一次登录之后。 一旦通过身份验证,用户就可以在门户中获得其角色所需的所有访问权限,从而最大限度地减少网络中的漏洞和相关的违规风险。 为了提高安全性,可以将 MFA 添加到 SSO 身份验证中。
如果没有一些中央权威数据库作为您的用户及其资源的中间人,他们将不得不重复登录到他们在您的内部部署和云基础设施中分离的帐户。 管理所有这些不同的帐户使日常使用和管理变得复杂。 用户必须处理 URL、凭据复杂性、密码过期、自动注销和其他措施——在提供安全性的同时——防止轻松访问并使生产力陷入停滞。
为了发展一个成功的组织,您的人员必须能够作为个人或团队取得成功。 这需要获得完成日常职责的手段和资源(例如应用程序、共享、管理工具、协作空间)以及在需要时采取果断行动的灵活性。 复杂的访问要求和臃肿的业务流程只会影响员工的生产力、他们的动力和每个人的动力。
IAM 解决方案始终确保适当的访问、合规性和安全性,但现在开始从新数据、多样化的应用程序互操作性和商业智能中获得更大的收益。 作为组织发展的积极贡献者,IAM 解决方案提供了广泛的功能,为各个级别的用户提供支持。
将它们连接在一起
尽管每一项突破性和颠覆性的技术突破,数据的使用仍然是您所有 IT 资源中最重要的常数。
通过实施可验证的身份、自动化流程、访问治理和自助服务功能,IAM 解决方案利用您组织的数据来构建其框架。 这个框架控制和监控所有上述关于业务流程、访问和安全的挑战。
IAM 解决方案通过提高用户生产力和简化操作的治理策略消除了您的组织在访问和安全性之间进行选择的困境。 成功的实施将提高组织效率并维护详细的审计日志以审查用户的访问和活动。
如果投入(例如员工、现金流、供应/需求)没有显着变化,实现增加产出的唯一可能方法是通过组织效率。 IAM 解决方案提供了追求产出增长的管理工具——无论是实现更灵活的组织、更雄心勃勃的技术实施、加强安全性、提升企业努力,还是您拥有的任何目标和愿景。
回顾一下,IAM 解决方案:
- 确保用户可以访问他们需要的资源。
- 限制不必要或不规则的访问以进行安全执法
- 为管理人员和 IT 人员提供工具和洞察力,以执行复杂的管理任务和流程优化
- 自动化流程和琐碎的任务,让您的组织能够灵活地重新安排人员的优先级,以完成更有影响力的工作
- 在整个用户帐户生命周期中加强安全性——从配置和安全移交帐户和凭据到离开后的快速停用
- 通过复杂的报告和活动日志协助进行审计准备
一些 IAM 解决方案提供商:
- Tools4ever
- 奥克塔
- IBM
- 微软天青
- 集中
- PING 身份
- 身份自动化
- 航点
最重要的是,IAM 解决方案使您组织中的每个人都受益。
这种整体的、组织驱动的思维方式是成功实施 IAM 解决方案的核心。 从一开始,就将 IAM 解决方案视为他们所取得成就的推动力,而不是单纯的一系列“一劳永逸”的技术实施,交给 IT 部门来启动。 虽然流程是自动化的,但 IAM 解决方案需要主动管理和配置才能实现预期的结果——它们会执行您告诉他们的事情。 为了最好地与组织的需求和运营集成,您的解决方案的配置必须反映它们才能有效。
因此,IAM 解决方案是任何现代企业都可以做出的最明智和财务负责的决策之一。 全面的技术计划充当组织杠杆,以更少的成本获得更大的成就。 如果这个前提是正确的,那么身份和访问管理就是乘法实现最大收益的支点。