身份访问与管理(IAM)

IAM

1. IAM的定义

定义和管理个人网络用户的角色和访问权限,以及规定用户获得授权(或被拒绝授权)的条件。IAM系统的核心目标是为每个用户赋予一个身份。该数字身份一经建立,在用户的整个“访问生命周期”存续期间都应受到良好的维护、调整与监视。

GDPR要求组织在收集或分享个人信息时,必须获得用户个人的明确许可(自动勾选的同意框不算明确许可)此外,个人还必须能够随时撤销该许可。个人拥有“被遗忘权”。此外,无论数据流向何方,身份信息的使用记录都必须保留。

GDPR适用于任何拥有欧盟公民数据的地方,因而其会影响到全世界各地的公司,而且,它对于企业的客户和员工都适用,因此它将会对企业内部和外部的身份治理与安全产生重要影响。例如,专门为外部用户提供IAM服务的ForgeRock公司,就为他们的产品增加了GDPR仪表盘功能。

1.1 目标

从用户登录系统到权限授予到登出系统的整个过程中,根据需要在恰当的条件下及时赋予正确的用户对企业内适当资产的访问权。
IAM系统为管理员提供了修改用户角色、跟踪用户活动、创建用户活动报告和贯彻管理策略的工具及技术。这些系统的出现就是为了能够管理整个企业内的用户访问,并确保用户活动符合企业规章制度与政府监管规定。

1.2 组成

1.2.1 访问管理

用于控制和监视网络访问的过程及技术。访问管理功能,比如身份验证、授权、信任和安全审计,是企业内部及云端系统顶级ID管理系统不可缺少的重要部分。

1.2.2 生物特征识别身份验证

依靠用户独特的生物特征来验证用户身份的安全过程。生物特征识别身份验证技术包括指纹传感器、虹膜和视网膜扫描,还有人脸识别。

1.2.3 上下文感知网络访问控制

一种基于策略的授权方法,根据索要访问权限的用户的当前上下文来授予网络资源访问权。比如说,某用户试图通过身份验证,但其IP地址却没在白名单之内,那该用户就不能获得授权。

1.2.4 凭证

用户用以获取网络访问权的标识,比如用户的口令、公钥基础设施(PKI)证书,或者生物特征信息(指纹、虹膜扫描等)。

1.2.5 撤销

将某身份从ID存储中移除并终止其访问权限的过程。

1.2.6 数字身份

ID本身,包括对用户及其访问权限的描述。(笔记本电脑或手机之类的终端也可拥有自己的数字身份。)

1.2.7 权益

指已验证安全主体所具备的访问权限的一系列属性。

1.2.8 身份即服务(IDaaS)

基于云的IDaaS为位于企业内部及云端的系统提供身份及访问管理功能。随着治理进入云端,身份即服务也变得越来越真实。一些管理提供商正在发展成为全栈(full-stack)一站式商店,以满足用户的所有身份需求。而在今年3月份,谷歌还发布了完整的“身份即服务”产品,其使用了开放标准:云身份(Cloud Identity)。

1.2.9 身份生命周期管理

与访问生命周期管理类似,该术语指的是维护和更新数字身份的一整套过程和技术。身份生命周期管理包括身份同步、配置、撤销和对用户属性、凭证及权益的持续管理。

1.2.10 轻量级目录访问协议(LDAP)

用于管理和访问分布式目录服务(比如微软AD)的开放标准协议。

1.2.11 多因子身份验证(MFA)

网络或系统的身份验证中要求不止一个因子(比如用户名和口令)的情况。验证过程中至少还有额外的一步,比如用手机接收通过短信发送的验证码、插入智能卡或U盘、满足生物特征识别验证要求(指纹扫描等)。

1.2.12 口令重置

本文语境中,口令重置指的是ID管理系统允许用户重新设置自身口令的功能。该功能可将管理员从繁琐的口令重置工作中解脱出来,还能减少客户服务接到的求助电话。用户通常可通过浏览器访问重置应用,提交相应的密语或回答一系列问题即可验证用户身份。

1.2.13 特权账户管理

基于用户权限对账户和数据访问进行管理与审计。一般来讲,特权用户因其工作或功能需求而往往被赋予管理员权限。比如说,特权用户可能拥有添加或删除用户账户和角色的权限。

1.2.14 配置

创建身份,定义其访问权限,并将其添加到ID存储中的过程。

1.2.15 基于风险的身份验证(RBA)

在用户尝试身份验证时根据用户情况动态调整验证要求的身份验证方法。比如说,如果用户尝试从之前未关联过的地理位置或IP地址发起身份验证,可能就会面临额外的验证要求。

1.2.16 安全主体

具备1个或多个可被验证或授权的凭证以访问网络的数字身份。

1.2.17 单点登录(SSO)

对相关但独立的多个系统实施的一种访问控制。单点登录模式下,用户仅凭同一套用户名和口令就可访问1个或多个系统,无需多个不同凭证。

1.2.18 用户行为分析(UBA)

UBA技术检查用户行为模式,并自动应用算法和分析以检测可能昭示潜在安全威胁的重要异常。UBA区别于专注跟踪设备或安全事件的其他安全技术,有时候也会与实体行为分析归到一类,被称为UEBA

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值