厌倦了为数百个用户、管理数千个角色的IAM经理和架构师,需要一种更好的方式来控制对企业的访问。传统的基于角色的访问控制方法有很多弱点,遗留用户太多,并且容易受到“角色爆炸”的影响。需要新的方法,允许特定用户在特定时间访问特定内容。
通常考虑的第一种解决方案是基于属性的访问控制(ABAC)。ABAC是一种细粒度的访问管理方法,其中,基于已分配给用户,操作,资源或环境的已定义规则,决定批准或拒绝对特定信息的访问请求。
例如,在银行的日常工作时间内,当从分支机构的IP地址提供客户的身份证和他们的帐号时,银行出纳员需要被授予访问请求客户账户记录的权限。
为了允许其他分支机构或通过电话进行访问,可能需要提前完成其他安全流程。通常,这些流程由一系列特定于客户的问题组成,也许他们需要与具有较高安全等级级别职责的银行行长交谈。
听起来不错,对吗?好吧,差不多了。
ABAC的问题
尽管基于属性的访问控制似乎是公认的选择,但它确实有其自身的问题:
问题1:部署和系统维护需要IT团队
- 当采用基于属性的访问控制方法时,随着属性数量的不断增加,定义与单个用户相关联的每个属性的复杂性也随之增加,从而增加了管理整个企业的访问管理的难度。
问题2:业务团队孤立,可见度有限
- 业务领导人处于非循环状态