什麼是 IAM? 定義、特徵和工具解釋

已發表: 2019-11-23

約翰威爾金森的來賓貢獻

身份和訪問管理 (IAM)是任何組織內管理和管理其員工對資源的訪問的結構和流程的總稱。 重要的是要注意,嚴格來說,IAM 是一門概念學科。 IAM 解決方案是實際執行組織的 IAM 戰略和政策的軟件實施。 出於本文的目的,我們將深入研究與 IT 資源相關的 IAM 和解決方案。

IAM 解決方案以其最精煉的方式集中、連接和管理對您的系統、數據和資源的訪問。 將它們視為監督組織 IT 環境的大腦。 為每個人集中身份信息可以保留他們相關的權限和安全性,以推動和促進自動化流程。 標準化和同步您組織的 IAM 可以創建一個準確、易於管理的數據庫,從而為所有用戶提供安全、正確的訪問。

IAM 解決方案有助於在組織的獨特環境和運營中為每個用戶的特定角色校準過於開放的訪問和過於嚴格的安全性之間的完美平衡點。 成功的實施可為您提供 IT 資源和業務流程的管理工具。 這確保了正確的用戶能夠正確訪問正確的資源,觸手可及,無論他們的角色將他們帶到哪裡。

為什麼 IAM 很重要? - 歷史背景

理解“為什麼?” 對某事的理解是理解“什麼?”的關鍵部分。 那麼,為什麼 IAM 解決方案很重要? 為此,我們轉向業務流程和技術的歷史背景。

傳統的商業技術是獨立運作的,因為它缺乏今天提供給我們的互連性。 這造成了完全存在於特定係統中的不同數據孤島。 忘記在機器之間傳輸信息,它通常僅限於單個系統和軟件應用程序。 傳統的業務流程解決了這些限制,需要過多的工作和書面記錄才能最好地確保正確完成和記錄保存。

“筒倉”是指在獨立的結構或系統中隔離某些東西(例如數據)的行為,將其與整個環境隔離開來——想想農場上的糧倉。

當組織依賴孤立的資源和數據時,由此導致的缺乏互連性將使用限制在明確的邊界範圍內。 例如,人力資源數據的效用將僅限於人力資源系統。 此外,孤立通常會迫使創建其他效率低下的業務和訪問流程作為變通方法。 這些正式的或臨時的解決方法不是補救措施,而是用於破碎結構骨骼的表面繃帶。

這些變通辦法中的許多可能曾經看起來像數字化之前的遺留工作一樣明智 - 例如需要跑來跑去五個階段批准的紙質表格。 然而,新技術的不斷湧現經常使它們變得多餘或限制。

手動 IAM – 您一直在使用它

您可能沒有意識到,但您的組織已經實施了各種 IAM 政策和程序——它們可能沒有自動化或數字化。 以下是一些示例,展示了控制和監控對資源的訪問的手動或紙質驅動的 IAM 流程:

  • 通過在鑰匙附近的剪貼板上記錄您的姓名、日期以及開始和結束的里程數來註銷公司汽車
  • 將單獨分配的安全代碼輸入密碼鎖以獲得建築物訪問權限
  • 為員工的支出批准提交紙質申請表

今日IAM

無論行業、規模或位置如何,現代組織都需要 IT 資源來完成日常職能:您的人力資源部門使用人力資源系統來獲取員工信息; 您的會計部門使用工資單軟件; 銷售使用客戶關係管理 (CRM) 系統; 營銷使用內容管理系統 (CMS); 每個人都訪問本地或云存儲以進行文件和數據共享; 等等。

利用這些資源需要與個人關聯的用戶帳戶。 要訪問用戶帳戶,員工必須驗證他們的身份——通常是通過輸入用戶名和密碼憑據。 必須在其生命週期過程中創建、維護和停用用戶帳戶,這通常與該用戶的工作期限相關。

在當今對即時性的期望中有效利用 IT 資源需要在任何時間、任何設備、任何位置即時訪問應用程序、文件和數據。 最重要的是,在一個比以往任何時候都更加緊密相連的世界中,惡意數字實體的永無止境的衝擊使傳統流程和訪問變得複雜。

在當今的商業世界中蓬勃發展取決於優化的運營、數據和安全性。 低效的流程加起來很快就會減慢你的速度。 手動管理用戶帳戶的創建和配置、臨時請求、身份驗證、訪問審查、安全工作等不僅會給您的 IT 員工帶來負擔,而且會給每個使用 IT 資源的員工帶來負擔。 將這些挑戰與日益嚴格的法規遵從性(例如 HIPAA、SOX、FERPA)和違規風險相結合,每個企業目前都在應對有史以來最嚴格的環境。

此外,日常運營中使用什麼類型的賬戶? 當具有更高權限的角色(例如主管、經理、特殊角色)一直通過其特權帳戶進行操作時,這些帳戶變得不安全的可能性要高得多,並且可能會在沒有通知的情況下進行過度活動。 特權訪問管理對於確保您的環境安全至關重要。 如果不需要使用特權帳戶,請不要. 就是這麼簡單。 另一方面,由多個用戶共享的通用帳戶會消除洞察力。 過度使用特權賬戶和通用賬戶確實使管理更容易,因為它們都不存在,而且一切都變得非常不安全。

未能製定嚴格的流程、政策和安全措施會造成混亂。 否則,您的人員的訪問權限可能會迅速失控,進而使每個人對角色和責任的理解變得複雜。 這種混亂會造成安全風險、疏忽和疏忽,並可能造成嚴重後果。

IAM 解決方案是您可以提供的最佳平台,可幫助您的組織取得成功。 自動化您的後端管理流程可確保正確執行關鍵和瑣碎的任務,提供安全的訪問權限,並恢復為您的人員重新分配更重要任務的優先級的能力。

查看下面的信息圖,了解有關身份和訪問管理的更多統計信息:

IAM 解決方案定義

IAM 解決方案是管理、集成和合併用戶身份、賬戶生命週期、用戶權限和活動的動態技術。 簡而言之,IAM 解決方案管理與在任何組織的“日益異構的技術環境”(Gartner) 中操作的用戶相關的人員、內容、地點、時間、原因和方式

這樣一個平台的實施允許經過驗證的用戶訪問必要的資源,IT 專業人員可以專注於生產性工作而不是瑣碎的管理任務,並且整個組織可以更有效地運作。 IAM 使組織能夠將精力轉移到有影響力的、以 ROI 為中心的和有益的運營上,而不是受到系統管理的限制。

IAM 解決方案組件

任何 IAM 解決方案都有四個主要組件:

1.認證管理

身份驗證管理驗證身份並相應地授予或拒絕對系統的初始訪問。 這是 IAM 的“身份”方面,並確保每個用戶都是他們所說的那樣。

傳統的身份驗證需要用戶名和密碼憑據,但較新的多重身份驗證 (MFA)支持使用一次性密碼 (OTP)、令牌、智能卡等。 當前最常見的身份驗證方法之一是在員工首次登錄其計算機時登錄 Microsoft 的 Active Directory (AD)。

2.授權管理

授權管理保證經過身份驗證的用戶只能訪問其給定角色所需的應用程序和資源。 這是 IAM 的“訪問管理”部分,可能包含其他元素,例如單點登錄和訪問治理 (AG) 角色模型,它由一個執行基於角色的訪問控制 (RBAC) 的矩陣組成。

角色模型可以被認為是概述與訪問相關的分層員工結構的數字圖表。 單點登錄 (SSO)使所有用戶 IT 資源在完成單次登錄後都可用,以消除訪問各種系統和應用程序時的重複身份驗證嘗試和較差的密碼安全性。

3. 行政

管理用戶帳戶生命週期的自動化:為系統和應用程序創建、修改、禁用和刪除用戶帳戶。 身份驗證和授權管理監督訪問安全,而管理監督資源的供應。 IAM 解決方案將源系統(例如 UltiPro 或 WorkDay 等 HR 系統)鏈接到目標系統(例如 AD、O365、G Suite、SalesForce、Adobe),允許您自動執行手動任務,以實現完整的端到端供應。

管理與用戶帳戶生命週期一致,從員工第一天的設置到他們離開時的停用。 隨著員工角色的變化(例如晉升、重組),IAM 解決方案將自動重新配置和更新資源並相應地訪問。 諸如一次性項目之類的臨時更改可以通過自助服務功能處理,允許用戶直接從他們的經理或資源的“所有者”請求訪問。 由於 IAM 解決方案提供了管理界面,因此配置用戶不再需要技術知識。 經理可以簡單地批准更改,讓解決方案處理其餘的。

4. 監控與審計

這些功能支持內部主動管理,並通過全面的活動日誌審查組織的運營和流程。 活動日誌可用於編譯商業智能報告和審計跟踪、執行訪問審查、確保角色正確並修復任何低效的 IAM 流程或問題。

IAM 執行

IAM 解決方案基於“權威數據”運行,這是包含您員工身份信息的最準確、最完整的集合。 組織必須為 IAM 解決方案提供權威數據。 權威數據必須乾淨並以一致的格式輸入,否則自動化將遇到問題。 大多數身份數據存儲在“源系統”中,例如包含個人/聯繫信息、開始和結束日期、職能/角色、部門、位置等的 HR 系統。

將源系統和數據想像成汽車電池——您可以連接各種電氣功能和特性,但作為源,電池必須提供足夠的清潔電流才能使其工作。 IAM 流程只能通過乾淨、一致和完整的數據輸入運行。 使用系統之間的標準連接器,IAM 解決方案可以聚合來自許多不同源系統的數據,然後再將其推送到連接的目標。

組織必須詳細確定給定個人因其角色而獲得的資源,並將其納入其 AG 模型。 IAM 解決方案依靠可配置的觸發器和流程來獲取這些權威數據並在您的整個 IT 環境中進行同步。 監控各種字段和值的變化。 當源值發生更改時,IAM 觸發器監控會根據配置的邏輯啟動相關流程以同步數據。

組織中的個人可以擁有不同的身份,這些身份通常單獨存儲在 IAM 解決方案中。 基於這些身份,IAM 可以為不同的員工類型和角色職責創建和管理不同的用戶賬戶。 如果用戶需要執行需要提升特權的職責(例如訪問工資信息),他們應該使用特權帳戶。 要查看他們的電子郵件或創建文檔,他們應該使用沒有提升權限的普通用戶帳戶。 特權訪問管理更好地允許員工使用適合情況的用戶帳戶進行操作。

源系統仍然提供所有這些身份的信息,但不能幫助他們進行適當的管理。 IAM 解決方案作用於權威數據,使身份和用戶之間的所有這些複雜鏈接成為可能。

IAM 安全

當員工被聘用時,將新創建的帳戶和憑據移交給員工離開的那一天,安全風險就開始了。 在他們的就業過程中,用戶的資源需求可能會發生變化。 晉升、重組、角色變化和臨時項目都有助於改變訪問需求。 隨著時間的推移,這種訪問中的大部分可能變得不必要,甚至會帶來合規風險,這會轉化為安全問題。 尤其是相關訪問是否會威脅到敏感信息,例如個人身份信息 (PII)、信用卡或社會保險號等。這種訪問積累稱為“權限膨脹”。 IAM 解決方案通過根據員工現在和現在的角色限制對員工需求的訪問來抵消“權限膨脹”。

即使在員工離職後,這些風險也不會結束,除非您有一個全面且自動化的取消配置流程。 取消配置過程涉及清理離職員工的帳戶和訪問權限。 如果沒有 IAM 解決方案,安全地跟踪所有給定用戶的帳戶、憑證和訪問(物理或數字)——更不用說及時刪除它們——變得不可能。

當用戶離開組織時,必須停用和取消配置其所有關聯帳戶。 如果沒有,即使原始用戶已離開您的組織,他們仍然可以使用相同的憑據登錄。 惡意的前僱員可能會獲取敏感數據(例如客戶信息、知識產權、帳戶憑據)或在最壞的情況下破壞您的環境。 在停用之前,前僱員可以訪問您的 IT 資源。 這可能是幾天、幾週、幾個月甚至幾年。 未能清理帳戶和訪問會暴露雲存儲、客戶數據、即將開展的項目、營銷材料等。 對於任何人都可以從其個人設備訪問的雲託管資源,停滯的停用尤其危險。

“孤兒賬戶”

遵守標準停用流程的另一個主要原因是防止“孤立帳戶”的積累。 孤立帳戶是那些不再與活動用戶關聯並保留在您的環境中的帳戶。 這種數字碎片會影響您準確評估環境的​​能力,同時佔用存儲空間。 IAM 解決方案最重要的過程之一就是清理這些。

展望未來:IAM 和雲

如今,大多數企業通過合併雲應用程序來拆分其 IT 環境,以降低維護成本、加快實施速度並提高訪問靈活性。 然而,這些混合環境對傳統業務運營和“手動 IAM”提出了嚴峻挑戰。 非託管雲應用程序的使用會通過 IT 環境中的無數新開口帶來安全風險——更不用說它會因重複登錄而讓用戶感到沮喪。 諸如此類的問題是基於雲或 Web SSO 功能如此重要的原因。

具有基於雲/Web 單點登錄 (SSO) 功能的 IAM 解決方案有助於彌合混合環境中的差距。 SSO 的中央登錄門戶通過嚴格的安全協議和可配置的訪問策略將所有用戶的 IT 資源關在一次登錄之後。 一旦通過身份驗證,用戶就可以在門戶中獲得其角色所需的所有訪問權限,從而最大限度地減少網絡中的漏洞和相關的違規風險。 為了提高安全性,可以將 MFA 添加到 SSO 身份驗證中。

如果沒有一些中央權威數據庫作為您的用戶及其資源的中間人,他們將不得不重複登錄到他們在您的內部部署和雲基礎設施中分離的帳戶。 管理所有這些不同的帳戶使日常使用和管理變得複雜。 用戶必須處理 URL、憑據複雜性、密碼過期、自動註銷和其他措施——在提供安全性的同時——防止輕鬆訪問並使生產力陷入停滯。

為了發展一個成功的組織,您的人員必須能夠作為個人或團隊取得成功。 這需要獲得完成日常職責的手段和資源(例如應用程序、共享、管理工具、協作空間)以及在需要時採取果斷行動的靈活性。 複雜的訪問要求和臃腫的業務流程只會影響員工的生產力、他們的動力和每個人的動力。

IAM 解決方案始終確保適當的訪問、合規性和安全性,但現在開始從新數據、多樣化的應用程序互操作性和商業智能中獲得更大的收益。 作為組織發展的積極貢獻者,IAM 解決方案提供了廣泛的功能,為各個級別的用戶提供支持。

將它們連接在一起

儘管每一項突破性和顛覆性的技術突破,數據的使用仍然是您所有 IT 資源中最重要的常數。

通過實施可驗證的身份、自動化流程、訪問治理和自助服務功能,IAM 解決方案利用您組織的數據來構建其框架。 這個框架控制和監控所有上述關於業務流程、訪問和安全的挑戰。

IAM 解決方案通過提高用戶生產力和簡化操作的治理策略消除了您的組織在訪問和安全性之間進行選擇的困境。 成功的實施將提高組織效率並維護詳細的審計日誌以審查用戶的訪問和活動。

如果投入(例如員工、現金流、供應/需求)沒有顯著變化,實現增加產出的唯一可能方法是通過組織效率。 IAM 解決方案提供了追求產出增長的管理工具——無論是實現更靈活的組織、更雄心勃勃的技術實施、加強安全性、提升企業努力,還是您擁有的任何目標和願景。

回顧一下,IAM 解決方案:

  • 確保用戶可以訪問他們需要的資源。
  • 限制不必要或不規則的訪問以進行安全執法
  • 為管理人員和 IT 人員提供工具和洞察力,以執行複雜的管理任務和流程優化
  • 自動化流程和瑣碎的任務,讓您的組織能夠靈活地重新安排人員的優先級,以完成更有影響力的工作
  • 在整個用戶帳戶生命週期中加強安全性——從配置和安全移交帳戶和憑據到離開後的快速停用
  • 通過複雜的報告和活動日誌協助進行審計準備

一些 IAM 解決方案提供商:

  • Tools4ever
  • 奧克塔
  • IBM
  • 微軟天青
  • 集中
  • PING 身份
  • 身份自動化
  • 航點

最重要的是,IAM 解決方案使您組織中的每個人都受益。

這種整體的、組織驅動的思維方式是成功實施 IAM 解決方案的核心。 從一開始,就將 IAM 解決方案視為他們所取得成就的推動力,而不是單純的一系列“一勞永逸”的技術實施,交給 IT 部門來啟動。 雖然流程是自動化的,但 IAM 解決方案需要主動管理和配置才能實現預期的結果——它們會執行您告訴他們的事情。 為了最好地與組織的需求和運營集成,您的解決方案的配置必須反映它們才能有效。

因此,IAM 解決方案是任何現代企業都可以做出的最明智和財務負責的決策之一。 全面的技術計劃充當組織槓桿,以更少的成本獲得更大的成就。 如果這個前提是正確的,那麼身份和訪問管理就是乘法實現最大收益的支點。