IAM 体系架构和实践

　　IAM 并不是一个可以轻易部署并立即产生效果的整体解决方案，而是一个由各种技术组件、过程和标准实践组成的体系架构(参见图5-1 )。标准的企业级IAM 体系架构包含技术、服务和过程等几个层面，其部署体系架构的核心是目录服务(例如轻量级目录访问协议或活动目录)，目录服务是机构用户群的身份、证书和用户属性的信息库。目录与IAM 技术组件进行交互，这些组件包括认证、用户管理、在机构内提供并支持标准IAM 实践和进程的身份联合服务等。由于特殊计算环境的缘故，机构通常会使用多个目录(例如Window 系统使用活动目录而UNIX 系统使用轻量级目录访问协议)，业务兼并和收购而形成的环境整合也会造成多个目录并存使用的情况。

　　支持业务的IAM 过程可以大体分为如下几类：

　　用户管理

　　为了有效治理和管理身份生命周期而进行的活动。

　　认证管理

　　为了有效治理和管理实体的确定及实体声明内容的过程而进行的活动。

　　授权管理

　　为了有效治理和管理根据机构策略实体可访问资源权利的过程而进行的活动。

　　访问管理

　　响应实体(用户、服务)请求访问机构内IT 资源的访问控制策略的执行。

　　数据管理和供应

　　通过自动化或手动过程对IT 资源授权的身份及数据的传输。

　　监控和审计

　　基于已定义的策略在机构内对用户访问资源合规的监控、审计及报告。

　　IAM 过程支持如下业务活动：

　　业务开通

　　这个术语通常用于企业级资源管理，指新入职员工开始使用系统及应用程序的过程，这些过程向用户提供对数据及技术资源的必要访问。业务开通可以认为是人力资源和IT 部门的共同职责，用户基于唯一的身份ID 对资料库或系统、应用程序以及数据库进行访问。业务取消则以相反的形式工作，对已分配给用户的身份或与身份对应的权限进行删除或者休眠。

▲图5-1 ：企业身份及访问管理的功能体系架构

　　证书及属性管理

　　这些过程用来实现证书及用户属性的生命周期管理——创建、发行、管理、撤销，从而将身份假冒和账户滥用等业务风险降到最低。证书通常与个人绑定，并在认证过程中进行核实。这个过程包括属性的提供、符合密码标准(如可抵御字典攻击的密码)的静态(如标准文本密码)及动态(如一次性密码)证书、口令过期处理、在处于传输和静态过程中证书的加密管理，以及用户属性的访问策略(由于各种监管原因而进行的隐私和属性处理)。

　　权限管理权限

　　也称为授权策略。在这个领域，过程解决用户所需的权限的开通和移除，用户可使用这些权限访问包括系统、应用程序和数据库资源。合适的权限管理确保只分配给用户与其工作职能相符的所需要的权限(最小特权)。权限管理可用来加强Web 服务、网络应用程序、传统应用、文件和档案以及物理安全系统的安全性。

　　合规管理

　　这个过程意味着对访问权限和特权的监控以及追踪，确保企业资源的安全。这个过程还帮助审计员核实各种内部访问控制策略和标准的合规，这些策略和标准包括诸如职责分离、访问监控、定期审计和报告这样的实践。例如，用户认证过程允许应用程序所有者证实只有授权用户有访问业务敏感信息所需的权限。

　　身份联合管理

　　身份联合是管理建立于不同机构间内部网络边界或管理域边界之外的信任关系的过程。身份联合是机构的联盟，机构相互交流关于用户和资源的信息，进行合作和交易(例如，各机构由第三方提供商管理的保险金系统共享用户信息)。服务提供商的身份联合需要支持云计算服务的单点登录。

　　集中化的认证(authN )和授权(authZ)

　　集中化的认证和授权体系架构降低了应用程序开发者在应用程序中搭建定制的认证和授权功能的需求。此外，它还促进了松散的耦合结构，应用程序对于认证方法和策略是不可知的。这种方法也称为应用程序的“外部化authN 和authZ ”。

　　图5-2 说明了身份生命周期管理的各个阶段。

▲图5-2 ：身份生命周期管理示意图