IAM 的定义
首先我们提出适用于任何服务的IAM 功能的基本概念和定义:
认证
认证是核实用户或系统身份的过程(例如,轻量级目录访问协议即LDAP 核实用户所提交的证书,其标识符为指派给员工或承包商的企业用户唯一ID )。认证通常意味着更为可靠的识别形式。在某些场合中,例如服务到服务的交互,认证包含对请求访问另一个服务所提供信息的网络服务请求进行验证(例如,与信用卡网关相连的旅游Web 服务,会代表用户对信用卡进行验证)。
授权
授权是确定用户或系统身份并授予权限的过程。在数字服务方面,授权通常是认证的下一个步骤,授权被用来确定用户或服务是否具有执行某项操作所需要的权限,换言之,授权是执行策略的过程。
审计
对于IAM 而言,审计是指查看和检查有关认证、授权的记录和活动,以确定IAM 系统控制的完备性、核实与已有安全策略及过程的符合性(如职责分离)、检测安全服务中的违规事件(如特权提升),并给出相应的对策和整改建议。
