漫谈IAM前世今生

即便是在上古时期，基本的身份认证和访问管理原理也与今天大致相同。首先，在你尝试访问某些信息的时候，需要知道你是谁，验证你的身份，这就是“身份认证”；确认了身份以后，判断是否拥有访问信息或者资源的的权限，如果有，则允许继续访问，这就是“授权访问”。

古装剧里，你想进皇宫，在宫门口的时候，那不得跟门卫们出示一下你的令牌，这样才知道你是能从大门进皇宫上朝的大臣，还是只能走偏门进去拖粪桶的小工。你是大臣，你的访问区域就是皇宫的“办公区域”。你是拖粪工，那访问的区域就是后宫的“辛者库”。不管是大臣，还是小工，都是只能在被允许的范围内活动，不允许访问其他地方的。

在封建时代，科技没有发展的时候，什么令牌，虎符，手书，信物等都是身份验证的手段，即使是到了科技爆炸的现代，除去我想介绍的软件系统，也还有很多例子。比如验证“间谍”，问他“奇变偶不变”，看TA反应。让TA算大锤+小锤+宫廷玉液酒的结果等。
时间走到1960年代，随着计算机的出现和网络系统的发展，其在接下来三十年中，广泛应用于商业世界中。西方的各个商业公司对更正式的身份和访问管理（IAM）的需求变得尤为突出。然而直到1990年代，许多公司都可以通过将信息放在内网中来解决这个问题。

随着企业地理范围的扩大、员工的流动和职位变动，身份和访问管理（IAM）在很短的时间内变得十分复杂，仅仅是类似于设置防火墙这样的操作变得耗时且无效。尽管有很多的功能操作可以实现自动化，但是随后出现了监管问题。在1990年代末和2000年代初，国际上的一些大型公司因欺诈账户和内幕交易被曝光，这导致了很多相关法条法规的颁布。这些新出台的法规要求公司加强内部控制。公司不再仅仅需要管理信息访问，他们还必须向内部和外部审计师证明其方法的有效性。不仅如此，互联网应用的发展使得防火墙外的访问成为可能，这进一步带来了更多的挑战，甚至是引发网络犯罪。

当时提供IAM解决方案的供应商寥寥无几。大多数解决方案都集中在自动化身份生命周期中的各种任务、集中服务开通和强制执行访问控制上。这些方案对于释放IT资源来说还不错，但在应对日益增长的网络犯罪和数据泄露问题或满足合规性要求方面却收效甚微。供应商们不得不开始提升自己的竞争力，将IAM视为一个业务问题，而不仅仅是一个IT问题。这推动了IAM解决方案的发展，其中还包括治理（governance）和其他组件，以满足更广泛的身份管理业务需求。

在此期间，还出现了各种访问控制模型，包括基于角色的访问控制（RBAC）和基于属性的访问控制（ABAC）。在IAM体系中，每种模型都有其自身的优缺点。同时，从业专家们还努力开发标准策略体系和开放标准的身份协议，使得多个供应商之间可以相互协作，共同交付并提供服务。

与大多数与技术相关的事物一样，身份和访问管理（IAM）也不是一成不变的。21世纪以来，IAM相关的问题和挑战不断演变和变化。对安全治理需求的日益增加、分布式系统、自带设备（BYOD）、物联网（IoT）和基于云的应用程序等，这些是，也只是当前IAM市场显著增长的几个驱动因素。

随着这种增长，预计会在身份验证和授权机制上看到更多的创新。例如，生物识别技术在身份验证中的使用正在增加，范围从虹膜扫描到面部识别。一些公司正在从双因素身份验证过渡到三因素身份验证，所谓的三因素，就是结合你所知道的（what you know）、你所拥有的（what you have）和你所是的（what you are）。

诸如基于风险的身份验证（RBA, Risk Based Authentication）等技术正在将开放式风险评分和机器学习集成到身份验证过程中，使更高级的用户审计和报告成为可能。随着越来越多的人共享信息、设备和Web应用程序，一次性身份验证和双重身份验证方法已经不再足够满足安全需求，这推动了满足各种身份验证需求方案的发展。例如行为生物识别和行为分析是最新的IAM解决方案的技术之一。

在授权方面，预计将有更多解决方案采用“上下文”的方式。这不仅确定在应用程序中可以做什么和不可以做什么，还可能根据从安全的公司网络移动到未知网络，动态更改可以访问的特性和信息。机器学习和人工智能也将发挥重要作用。

简而言之：随着企业需求的演变和技术的变化，IAM要求以及能够满足这些要求的解决方案也在随着时代的发展，技术的升级而不断发展。