身份管理(IdM)是一组实践,有助于在企业设置中管理用户身份。IdM的目标是确保组织中的每个人都有一个安全的数字身份,并且该身份具有适当的访问权限。
身分管理的目的是什么?
内部系统由权限控制。每个访问系统(如数据库)的人都必须具有适当的权限:如果他们希望查看数据,则具有读取权限;如果他们想对数据进行更改,则具有读写权限;管理权限,如果他们要做结构上的改变。
权限要求会随着时间的推移而变化。有时,人们需要额外的权限来执行他们的角色。其他时候,这个人的职责可能发生变化,这意味着他们不再需要某些权限,在这种情况下,这些权限应该被撤销。
IdM可以在每个用户的基础上进行处理,每个人都被分配了一组独特的权限。在较大的组织中,这通常是基于每个角色进行的。例如,一个企业可能有一个销售角色、一个HR角色和一个Customer Service角色。每个人都与他们的相关角色相匹配。例如,当销售人员需要额外的许可时,Sales角色将相应地更新。
IdM是为了确保每个人都拥有他们需要的权限,而不是更多。为此,管理员创建与每个个体匹配的安全配置文件。IdM通过健壮的策略和IdM工具的使用使这些概要文件保持最新。
IdM基础设施将负责:
- 创建和管理用户配置文件
- 实现安全规则,例如双因素身份验证
- 管理用户角色和相关权限
- 自动提供和取消提供权限
- 允许委托身份管理任务,例如创建概要文件
- 促进用户自助服务选项,如密码重置
IdM的目标是尽可能无缝,提供无摩擦的用户体验,同时支持组织的数据安全策略。
身分管理的要素是什么?
身份管理包括策略和技术。从技术的角度来看,基础设施需要以下元素:
- 中央标识存储库:这是一个包含个别用户数据和相关权限的安全数据库。
- 准备系统:这可能是一个独立的应用程序,根据每个角色或每个用户管理权限。
- 身份验证系统:这将确保用户只有在拥有正确权限的情况下才能访问数据。身份验证可能是简单的用户名和密码,也可能涉及更安全的多因素身份验证。
- 管理模块:管理员需要一个可以根据需要修改权限的工具。理想情况下,这个模块应该有一个简单的接口,允许快速而准确地更新角色。
- 审计工具:身份管理是数据安全策略的一个关键元素。由于这个原因,组织有很多工具,允许他们分析所有的活动,并确保策略被正确地执行。
技术的存在有助于实现IdM策略。该政策必须回答以下问题:
- IdM如何影响用户体验?与信息安全的大多数领域一样,IdM是安全性和可用性之间的平衡。该策略应该尝试在不降低工作效率或使用户难以登录的情况下创建数据安全性。万博max手机网页登录
- 谁负责身份?需要有一个明确的层级,由一个人或一个团队最终负责IdM决策。通常,这个人或小组可能是组织的一部分数据治理委员会。
- 谁管理身份?简而言之,谁有权访问管理模块?这可能是位于IT功能中的一个特定团队。有了正确的基础设施,这个角色可以委托给公司其他地方的领导,然后他们可以手动修改团队的权限。
- 谁负责监督合规?IdM有时可能是遵从性需求。例如,纽约州金融服务部门要求某些实体具有与访问控制和身份管理相关的书面策略。其他规则可能会影响组织的IdM策略,因此必须有人负责保持策略的遵从性。
- IdM是如何被审计的?审计对于确保IdM策略满足其主要目标(确保所有用户都具有适当的权限)至关重要。组织中必须有人负责运行审计,寻找潜在的问题,并将它们标记给相关团队。
- 如何标记问题?IdM是高度不稳定的,用户和系统处于不断变化的状态。用户、管理员和系统管理员都可能遇到与身份管理相关的问题。该政策应该概述这些人如何标记问题,并指定谁负责处理任何问题。
理想的IdM结构是对用户几乎不可见的,同时提供高级别的数据安全性。
什么是联邦身份管理?
身份管理的目的是允许正确的人访问正确的系统。传统上,这意味着人们必须登录到他们想要使用的每个系统。这通常是低效的——如果它们已经在一个系统上验证了自己,那么就应该在所有系统上验证它们。
联邦身份管理是解决这个问题的一个解决方案。联邦IdM允许用户在OpenID或SAML等框架中创建可移植ID。一旦用户登录,他们将在使用兼容的服务时自动进行身份验证。
一些组织还使用OAuth等协议来支持更广泛的身份管理。OAuth用于授权而不是身份验证,因此用户可以与服务交互,但不进行正式标识。
诸如此类的协议可以在内部系统上实现,也可以在一个网站上实现。与身份管理的所有问题一样,重点关注这些系统可能产生的影响是很重要的安全性和遵从性.