身份管理
什么是身份管理?
身份管理是一种验证网络实体的身份及其对企业网络资源的访问权限的方法。这种方法有助于确保 IT 系统、网络以及数据的安全。
身份管理的目标是什么?
身份管理(也称为 ID 管理或 IdM)的主要目标在于确保只有经过身份验证的用户,无论是个人还是设备,才能获准访问特定应用、组件以及系统以执行授权的操作。由于 IT 安全与访问控制密切相关,因此身份管理是确保总体 IT 安全性的重要环节。
身份管理有哪些益处?
如果没有得力的系统,使用企业网络跟踪诸多实体的身份信息实属不易。只有某些实体可以访问特定应用和数据,这可增强组织安全性并优化运维。身份管理提供了防范网络威胁的第一道防线,无论这些威胁来自企业防火墙内部还是外部。
利用身份管理系统,很多涉及用户帐户的任务都可以自动执行,无需管理员手动操作。这些任务包括配置新员工并将新设备添加到网络,授予他们基于角色访问相应系统和应用的权限。对于需要访问企业资源的新用户,这通常可将整个过程从数天缩短到几分钟,大大缩短了价值实现时间。
为了访问完成工作所需的资源,员工通常要设置多个安全的密码,但如此多的密码不容易记住和维护。通过精简通信流程和访问控制,身份管理不但提高了 IT 安全性,而且改进了用户体验。员工可通过身份管理系统,随时随地、安全便捷地访问所需的应用和数据,从而可以更高效地工作。
身份管理与访问管理有哪些区别?
身份管理与访问管理这两个术语时常会互换使用或混用。但这两个概念也有不同之处。
身份管理侧重于管理与需要访问资源的用户、用户组、设备或其他网络实体相关的属性。它还用于通过各种数字身份技术保护身份,比如密码、多重身份验证 (MFA)、单点登录 (SSO)、生物特征识别等。这通常借助采用身份管理软件应用和平台来实现。
跟踪和管理定义组织网络中身份属性的变更是身份管理的一个重要功能。此类变更通常只能由组织中的特定角色完成,比如网络管理员、应用所有者或人力资源人员。
相比之下,访问管理侧重于根据组织现有的策略或治理规定评估用户或设备属性,然后基于这些属性确定网络实体是否有权访问资源。访问授权决策很简单,即是或否。
网络实体获得授权在企业网络上运行,并不意味着它可以自动访问该网络内的任何应用或数据集。用户对于特定资源的访问权限根据实体的属性而授予,比如实体在组织内的角色、在组织内的级别以及归属组。
身份管理有哪些主要概念?
身份管理涉及三大概念:身份标识、授权和身份验证。
身份标识
身份标识即基于属性唯一地标识企业网络内的用户、设备或应用。一些示例包括,用户名、流程 ID、电子邮件地址以及员工编号。安全系统利用此身份确定主体是否可以访问对象。
身份验证
身份验证是对网络实体根据其凭据主张的身份进行验证的过程。以下三个因素可用于验证:
1. 知识因素:根据用户知晓的信息,比如密码或 PIN
2. 所有权因素:根据用户拥有的项目,比如身份证、智能卡或安全令牌
3. 内在因素:根据用户属性,比如指纹或其他生物特征
授权
授权是指按照企业政策和监管规定,为特定实体或某种身份的用户授予访问网络资源的权限的过程。例如,授予用于编辑网络共享文件的用户权限就涉及授权。简而言之,身份验证是确定用户身份,而授权则确定用户可执行哪些操作。为了维持网络环境的安全,必须先进行身份验证,再进行授权。
HPE 如何提供身份管理帮助?
随着组织使用更多的软件即服务 (SaaS) 应用,采用多云环境,为越来越分散的员工队伍提供支持,以及将更多物联网 (IoT) 设备连接到其网络,身份管理变得愈发复杂。网络生态系统具有诸多不同的组件,可能缺乏对灵活开放的身份与访问控制标准的支持。在当今的混合环境中,企业需要现代化的集成式身份管理系统,这种系统不但涵盖边缘到云,而且提供通用的控制面板来管理身份、凭据、设备和应用,以及对这些对象的访问权限。
基于开源 SPIFFE 和 SPIRE 项目的 Cosigno 项目提供服务身份结构,有助于建立基于标准的服务身份验证层,从而为混合环境中的零信任安全模型提供支持。其作为 HPE Ezmeral 软件生态系统的一部分,允许组织在异构平台中部署标准的加密服务身份,这些平台包括云、容器和本地基础设施。
HPE Pointnext Services 可帮助您构建量身定制、面向未来的身份管理平台,以进行混合 IT 运维,为员工提供支持并提高工作效率。通过与您的团队和我们的解决方案合作伙伴密切合作,我们能够帮助您完成各个环节,从对现有环境的初始评估到制定路线图乃至实施解决方案。