IBM Security Verify Governance身份（统一用户）管理介绍

应用软件系统有采用在应用中开发用户管理的，也有采用LDAP，下面对两者进行对比。同时，我们想超越对手就得了解对手，现在中国需要大量的统一用户管理系统，如何能够超越对手，那么就需要先了解对手的产品。知己知彼，百战不殆。希望做统一用户管理的企业可以通过本文了解对手产品的特点，然后超越。

一、两种用户管理方法的比较

1、直接在应用中开发用户管理模块

• 特点：
  • 用户信息（包括组织、人员、账号）直接存储在应用的数据库中。
  • 每个应用独立管理用户，权限分配直接在应用内部进行。
  • 需要针对每个应用开发和维护用户管理模块。
• 优点：
  • 独立性强，适合小型或单一系统，不依赖外部身份管理服务。
  • 应用可以根据自身需求灵活设计用户管理模型。
• 缺点：
  • 用户管理分散：多个系统各自维护用户信息，容易产生冗余数据和信息不一致的问题。
  • 开发成本高：每个系统需要重复开发用户管理功能。
  • 集成复杂：跨系统权限管理和用户同步非常复杂。
  • 缺乏统一的身份验证：用户需要记住多个账号和密码，用户体验较差。

2、基于 LDAP 的集中式用户管理

• 特点：
  • 用户信息（组织、人员、账号、组等）集中存储在 LDAP 或 AD（Active Directory）中。
  • 应用通过标准协议（如 LDAP 或 SAML）连接到身份管理系统，实现用户认证和权限读取。
• 优点：
  • 统一管理：用户信息和权限集中管理，减少数据冗余和冲突。
  • 提高效率：通过 LDAP 的统一接口，应用无需自行开发用户管理模块。
  • 便于扩展：新增应用只需对接现有的 LDAP，无需重新开发。
  • 用户体验好：实现单点登录（SSO），用户只需记住一套凭据。
  • 安全性强：通过 LDAP 集成，可以集中实施密码策略、多因子认证等增强安全性。
• 缺点：
  • 初始部署复杂：需要搭建 LDAP 服务并配置所有应用对接。
  • 依赖性高：LDAP 服务一旦中断，会影响所有依赖系统的用户认证。

3、LDAP 的使用场景和优势

1. 统一用户管理：
   • LDAP 是轻量级、跨平台的目录服务协议，适合组织统一存储和管理用户、设备、权限等信息。
   • 通过 LDAP，企业可以实现所有应用的用户、组和权限的统一管理。
2. 集中式身份验证：
   • 用户信息在 LDAP 中集中存储后，所有应用系统（如邮件系统、ERP、CRM 等）都可以通过 LDAP 进行身份验证。
   • 可以有效减少多账号管理的混乱局面，并提升用户体验。
3. 权限分配：
   • LDAP 中通常存储组织架构（OU）、用户组（Group）等信息，应用可以根据这些结构分配权限。
   • 用户组的权限变更会自动生效，无需在每个系统中逐一配置。
4. 高兼容性：
   • LDAP 是一个开放标准，支持多种平台和协议（如 SAML、OAuth），适合各种应用对接。
   • 支持常见目录服务（如IBM Security Verify Directory、Active Directory、OpenLDAP）以及跨平台访问。

4、应用场景介绍：整合多种身份管理方式

对于已经拥有多个系统，但尚未实现统一用户管理的组织，ISVG（IBM Security Verify Governance） 可以充当连接和整合的中间层，帮助实现用户和权限的统一管理。

ISVG 的核心功能

1. 多源用户数据整合：
   • 支持连接多种身份目录（LDAP、AD）和本地用户管理数据库。
   • 统一收集和管理所有用户数据，解决数据孤岛问题。

1. 用户生命周期管理：
   • 提供用户账号的创建、修改、停用的全生命周期管理。
   • 当人员变动时，可自动更新关联的 LDAP 和应用系统中的账号信息。
2. 跨系统权限治理：
   • 实现基于角色的权限分配（RBAC）。
   • 定期进行权限审核，确保权限分配符合安全和合规要求。
3. 身份同步和集成：
   • ISVG 可与已有的 LDAP 或用户管理数据库对接，同步人员和账号信息。
   • 可以作为统一身份源，为所有对接的应用提供用户验证服务。
4. 合规和审计支持：
   • 提供详细的用户操作日志和权限变更记录。
   • 支持生成合规报告，满足安全法规（如 GDPR、SOX）的要求。

ISVG 的应用场景

• 如果企业已经有多个独立系统，各自管理用户，ISVG 可以通过整合这些系统的数据，将其与 LDAP、AD 统一管理。
• 如果企业计划逐步将用户管理迁移到 LDAP，可以通过 ISVG 作为中间层实现平滑过渡。

5、总结

1. 直接开发用户管理模块适合小型、独立的应用系统，但随着系统数量和复杂性的增加，会面临管理分散、开发成本高的问题。
2. LDAP 统一用户管理通过集中存储和验证实现高效、规范的用户管理，是中大型企业的首选方式。
3. IBM Security Verify Governance提供了整合现有用户管理系统、LDAP 和 AD 的能力，特别适合已经存在多个应用系统但尚未实现用户管理统一的组织。

最终，LDAP 和 ISVG 的结合不仅可以提升用户管理效率，还能优化权限分配、安全治理和合规性，是现代企业身份与访问管理的重要组成部分。

二、LDAP介绍

1、为什么要使用 LDAP？

LDAP（Lightweight Directory Access Protocol）是一个轻量级的目录访问协议，用于访问和管理分布式目录信息服务。其主要用途是集中存储和管理组织的用户、设备、权限等信息，并通过统一的身份认证和授权提高安全性和管理效率。使用 LDAP 的原因包括：

1. 集中管理：
   • 将用户账号、权限、角色等集中管理，减少重复工作。
   • 支持多种服务（如邮件服务器、VPN、文件共享等）的统一认证。
2. 标准化和互操作性：
   • LDAP 是一个开放标准协议，兼容多种操作系统和应用程序。
   • 通过统一接口支持多种客户端访问。
3. 高效查询和访问：
   • LDAP 的树状结构（目录信息树，DIT）支持快速、高效的查询，适合存储具有层次关系的数据。
4. 灵活性：
   • 可以根据需求自定义组织结构和条目（如用户属性、设备信息）。
   • 易于扩展，例如添加多种服务的集成支持。
5. 安全性：
   • 支持安全的身份验证（如通过 SASL 和 TLS），可以加强数据访问控制。
   • 集中管理权限更容易避免分散管理导致的漏洞。

2、LDAP 中如何管理组织、人员、账号？

LDAP 通过目录信息树（DIT）来管理数据，DIT 是一个分层结构，通常映射组织的实际结构（如部门、子公司）。在实际管理中，可以通过以下方式优化组织、人员和账号的管理：

1. 设计合理的目录结构

• 根节点（Base DN）：

根据组织的域名定义根节点。例如，组织域名是 example.com，Base DN 可设置为 dc=example,dc=com。

• 分层结构：

通常根据组织结构设计树形分支，例如：

• • OU（组织单位）： 使用 ou 节点来表示部门、职能或类别。
  • 用户条目： 叶子节点通常代表用户或设备（以 uid 表示用户、cn 表示设备或组）。

2. 定义标准的条目属性

根据标准的 LDAP 架构（如 inetOrgPerson 或 posixAccount），为用户或组定义必要属性：

• 用户：uid（用户 ID）、cn（全名）、sn（姓）、mail（邮箱）、userPassword（密码）。
• 组：cn（组名）、memberUid（成员）。

示例：

3. 权限管理（Access Control）

• 配置 ACL（Access Control List）来控制用户对目录的访问权限。
• 通过组（Group）进行权限分配：用户加入某个组后继承组的权限。

4. 账号生命周期管理

• 账号创建：使用脚本或工具（如 ldapadd）批量添加用户。
• 账号禁用和删除：设置用户状态为 disabled 或直接删除 DN。
• 密码策略：
  • 强制密码复杂性和定期更新。
  • 支持账户锁定机制（如多次失败后锁定）。

5. 工具和自动化管理

• 使用 Web 管理工具（如 phpLDAPadmin、Apache Directory Studio）管理条目。
• 配合配置管理工具（如 Ansible）实现自动化管理。

6. 集成其他系统

• 将 LDAP 用作统一认证后端（SSO，单点登录）。
• 集成服务如邮件服务器（Postfix）、文件共享（Samba）、VPN 等。

7. 备份与监控

• 定期备份目录数据（通过 slapcat 或其他工具）。
• 监控 LDAP 服务运行状态和日志，预防宕机或数据损坏。

3、示例：小型组织 LDAP 架构

假设一个公司 example.com 有 IT 和 HR 两个部门：

这种架构简单直观，并可以根据需要扩展，适合大部分组织的初始需求。

三、IBM Security Verify Governance身份（统一用户）管理介绍

IBM Security Verify Governance（ISVG）采用将组织架构、人员信息、账号信息分开存储并通过关联来管理，这种设计方式在身份治理与访问管理领域非常常见，其优势主要体现在以下几个方面：

1、解耦数据模型，便于扩展和灵活性

• 组织架构与人员解耦：
  • 组织架构本身是一种层级关系（如部门、子部门），它可能随着企业发展频繁变化（部门重组、新部门成立等）。
  • 人员不必绑定于具体的层级，当员工调动时，只需调整关联关系，而无需改变组织架构的数据结构。
  • 组织可以独立管理（如生成报告或授权），人员也可以独立维护（如调动历史、合同类型等）。

• 账号与人员解耦：
  • 账号是与特定系统绑定的实体（如 Active Directory、ERP 系统的用户账号），而人员是逻辑上代表个体的信息。
  • 一个员工可能有多个账号（如企业邮箱账号、VPN 账号等），通过解耦可以统一管理这些账号并与人员关联。
  • 在人员离职或角色调整时，可以灵活关闭或转移其账号权限，而不会影响其他关联关系。

2、简化权限和角色管理

• 权限集中在账号上：
  • 权限分配通常与账号绑定，而不是直接与人员绑定。这样，权限管理可以在更细粒度的层面（账号）实现，同时保持人员信息的独立性。
  • 例如，一个员工在不同系统中拥有多个账号，每个账号的权限可以独立设置，并且可以通过 ISVG 的治理功能检查和控制权限分配。
• 角色管理更高效：
  • 通过组织架构与账号的关联，可以基于部门（组织单位 OU）或人员角色自动配置权限。
  • 当员工调岗或部门调整时，只需改变关联，而无需手动调整每个账号的权限。

3、支持复杂场景的多重关联

• 人员与多个组织关联：
  • 员工可能同时属于多个组织单元（如同时隶属于 IT 部门和项目组）。
  • 通过单独存储人员信息和组织架构，ISVG 可以灵活支持这种多对多的关联关系。
• 一个人对应多个账号：
  • 例如，一个员工可能有多个系统的访问需求（如 AD、SAP、Jira），其账号分散在不同的身份目录中。
  • 将账号信息独立存储，可以更方便地与人员进行一对多的关联和治理。

4、提升审计和合规管理能力

• 数据溯源：
  • 由于人员信息、组织架构和账号信息是分离的，所有关联关系都清晰可见，便于追溯历史。
  • 例如，可以明确某个人在某一时间属于哪个部门、拥有哪些账号以及账号的权限。
• 合规性管理：
  • 在合规场景中，如 GDPR 或 SOX，系统需要清晰地记录每个账号的授权、操作历史以及与人员的关联。
  • 这种分离存储的方式可以更容易生成符合审计要求的报告。

5、便于支持动态变化

• 动态调整组织架构：
  • 组织架构的变动对人员和账号的管理影响较小。例如，当部门重组时，只需调整组织架构与人员的关系，而无需对人员或账号的数据进行大规模变动。
• 支持跨部门协作：
  • 某些员工可能需要跨部门协作，例如 IT 部门的员工临时参与营销项目。此时，可以通过灵活的关联机制将该员工临时挂靠到多个部门，而不破坏原有的部门架构。
• 账号生命周期管理：
  • 账号的创建、修改、停用可以与人员信息和组织信息独立处理。例如，离职员工的账号停用不影响其历史人员数据的保留。

6、数据一致性与共享

• 减少冗余数据存储：
  • 组织架构、人员信息和账号信息分开存储，可以避免在多个地方重复维护相同的数据。例如，多个账号可以共享同一个人的基本信息。
• 跨系统集成：
  • ISVG 的分离式设计便于与其他系统（如 HR 系统、IAM 系统、目录服务等）集成。HR 系统可以直接更新人员信息，而不影响账号数据；账号同步工具则专注于账号的创建和权限管理。

7、实际应用场景举例

场景 1：员工调动

• 员工从 IT 部门调至营销部：
  • 调整其人员信息与组织架构的关联。
  • 其已有的账号信息和权限保持不变，视需要添加或移除账号权限。

场景 2：跨系统权限治理

• 审计发现某员工在两个系统中的权限冲突：
  • 通过关联关系，快速定位员工的账号信息和相关权限。
  • 根据组织架构的权限分配策略修正权限。

场景 3：离职处理

• 员工离职：
  • 停用与人员关联的所有账号。
  • 保留人员信息用于历史记录，且组织架构与账号数据不受影响。

8、总结

ISVG 将组织架构、人员信息、账号信息分离存储并通过关联管理的好处在于：

• 灵活应对变化：支持动态调整和复杂的关联关系。
• 提升管理效率：集中治理权限、角色和账号。
• 增强合规性：便于审计、溯源和满足法规要求。
• 数据复用和集成：避免冗余存储，便于跨系统协作。

这种设计方式充分体现了分层解耦和面向治理的最佳实践。