身份管理ABC

　　身份管理工具为IT管理人员提供了用于控制用户访问企业关键信息的工具和技术。

　　什么是身份管理？广义地说，身份管理系统（也称之为身份和访问管理，即IAM系统）能够管理系统内的个人身份，系统可以是企业、网络甚至国家。更具体地说，企业IT的身份管理是定义并管理每一网络用户的角色和访问权限，以及用户被授予（或者拒绝）这些权限的环境。

　　身份管理系统的核心目标是每个人有一个身份。一旦建立了数字身份，就必须对每个用户的“访问生命周期”进行维护、修改和监视。

　　据企业身份管理提供商Okta的资深副总裁兼首席安全官Yassir Abousselham，身份管理的总目标是“从用户系统登录到权限授权，直至根据需要及时的让用户退出，在正确的上下文环境中，将正确的企业资产授权给正确的用户。”

　　身份管理系统为管理员提供了更改用户角色、跟踪用户活动、创建关于用户活动的报告，以及持续执行策略的工具和技术。这些系统旨在提供一种管理用户访问整个企业的方法，并确保符合公司政策和政府规章制度。

　　身份管理技术包括（但不限于）密码管理工具、配置软件、安全策略实施应用程序、报告和监视应用程序以及身份数据库。身份管理系统可用于本地系统，例如微软SharePoint，也可以用于基于云的系统，如微软Office 365。

　　身份管理系统必须灵活而且足够强大，能够适应当今非常复杂的计算环境。身份和访问管理供应商One Identity的产品管理资深总监Jackson Shaw说，一个企业的计算环境过去主要是在本地，身份管理系统对在本地工作的用户进行认证和跟踪。Shaw指出：“本地一般都会有安全防护措施。如今，没有这些防护措施了。”

　　因此，现在的身份管理系统应能够让管理员轻松地管理各种用户的访问权限，包括国内本地的员工以及国外异地的承包商；还能够管理混合计算环境，这包括本地计算、软件即服务（SaaS）应用以及影子IT和BYOD用户；还有不同的计算架构，包括UNIX、Windows、Macintosh、iOS、Android，甚至物联网（IoT）设备。

　　Abousselham说，最终，身份管理系统应能够在整个企业中，通过一致的和可扩展的方式，实现对用户的集中管理。

　　近年来，身份即服务（IDaaS）已经发展成为在订阅的基础上通过云来提供的第三方托管服务，为客户的本地和基于云的系统提供身份管理服务。

　　为什么应关注身份管理？

　　在当今的数字化经济环境下，身份管理与企业的安全性和生产效率密不可分，是所有企业安全计划的关键部分。

　　不完善的用户凭证通常被作为企业网络及其信息资产的突破口。企业利用身份管理来保护其信息资产免受越来越多的勒索软件、犯罪黑客、钓鱼软件等恶意软件的攻击。Cybersecurity Ventures预测，今年，全球仅勒索软件造成的损失成本将超过50亿美元，比2016增长了15%。

　　在很多企业中，用户的访问权限有时越权了。强大的身份管理系统可以通过在整个企业中确保用户访问规则和策略的一致应用，增加重要的保护层。

　　身份管理系统能够提高企业生产效率。系统的集中管理功能降低了保护用户凭证和访问的复杂性及成本。同时，身份管理系统提高了员工们在各种环境中的生产效率（同时保持安全）——无论他们是在家里、办公室还是在旅途中工作。

　　很多政府要求企业重视身份管理。Sarbanes-Oxley、Gramm-Leach-Bliley和HIPAA等条例要求企业负起客户和员工信息访问控制的责任。身份管理系统可以帮助企业遵守这些条例。

　　一般数据保护条例（GDPR）是欧盟近期出现的规定，要求有较强的安全性和用户访问控制功能。GDPR强制要求企业保护欧盟公民的个人数据和隐私。GDPR将于2018年5月生效，会影响在欧盟国家开展业务，把欧盟公民作为客户的每一家企业。如果希望了解详细信息，请阅读GDPR的要求、期限和事实。

　　2017年3月1日，纽约州金融服务局（NYDFS）的新网络安全条例正式生效。该条例规定了在纽约运营的金融服务公司安全方面的很多要求，包括要监控授权用户的活动，维护审计日志——这是身份管理系统通常要做的工作。

　　通过自动完成企业网络和数据安全用户访问的很多方面的工作，身份管理系统减轻了IT部门一些普通但重要的任务，并帮助他们遵守政府的规定。目前，考虑到每一个IT职位都是安全相关的职位；全球网络安全工作人员一直处于短缺状态；不遵守相关条例的惩罚会让企业付出数百万甚至数十亿美元的成本，因此，这些都是非常重要的优势。

　　身份管理系统能给企业带来什么好处？

　　实施身份管理和相关的最佳实践可以在几个方面给企业带来显著的竞争优势。如今，大多数企业都要给企业以外的用户访问内部系统的权限。向客户、合作伙伴、供应商、承包商和雇员开放您的网络能够提高效率，降低运营成本。

　　身份管理系统支持企业在各种本地应用、移动应用和SaaS工具上对其信息系统进行访问，而不会影响安全性。通过向外界提供更多的访问途径，您可以在整个企业中推动协作，提高生产效率和员工满意度，加强研究和开发，最终增加收益。

　　身份管理有助于减少求助电话的数量，这些电话往往是要求IT支持部门重置密码。身份管理系统使得管理员能够实现这些任务的自动化，其他耗时而且成本较高的任务也能自动完成。

　　管理用户身份是访问控制场景不可或缺的部分，因此，身份管理系统是安全网络的基石。一个身份管理系统要求企业定义访问策略，特别是要列出谁可以访问哪些数据资源，以及在什么样的条件下才能访问。

　　因此，管理好身份意味着能够很好的控制用户访问，这就降低了出现内部和外部泄露的风险。由于现在外部威胁不断增加，而且内部攻击也非常频繁，因此，这一点非常重要。据IBM的2016年度网络安全情报指数，大约有60%的数据泄露是由企业自己员工造成的。其中，75%是故意的，25%是意外造成的。

　　如前所述，身份管理系统可以通过提供工具来实现全面的安全、审计和访问策略，从而增强了合规能力。很多系统现在提供了确保企业能够合规的功能。

　　身份管理系统是怎样工作的？

　　过去几年中，一个典型的身份管理系统包括四个基本要素：一个系统用来定义每一用户的个人数据目录（可以将其看成是身份数据库）；一组用于添加、修改和删除数据的工具（与访问生命周期管理相关）；一个控制用户访问的系统（执行安全策略和访问权限）；一个审计和报告系统（确定您的系统发生了什么）。

　　控制用户的访问传统上涉及到一些身份验证方法，用于验证用户的身份，包括密码、数字证书、令牌和智能卡等。硬件令牌和信用卡大小的智能卡是双重身份验证的组成部分，它将您所知道的（您的密码）与您所拥有的（令牌或卡）结合起来，以验证您的身份。智能卡嵌入了集成电路芯片，它可以是一个安全微控制器，也可以是智能的内部存储器，或者单独的内存芯片。软件令牌是2005年出现的，可以放在任何有存储能力的设备上，例如USB和手机。

　　在当今复杂的计算环境中，随着安全威胁的增加，强用户名和密码是必不可少的。今天，身份管理系统通常包含生物特征识别、机器学习和人工智能，以及基于风险的身份验证等。

　　在用户层面上，最近的用户身份验证方法有助于更好地保护身份。例如，很多人已经非常熟悉流行的具备Touch ID功能的iPhone手机，用他们的指纹作为身份验证方法。较新的Windows 10计算机提供指纹传感器或者虹膜扫描方法，用于生物识别用户身份验证。据传闻，将于今年下半年推出的下一款iPhone将包括虹膜扫描或者面部识别方法来认证用户，而不是指纹扫描。

　　Abousselham说，一些企业正在从双重身份验证发展到三重身份验证，结合了您所知道的一些东西（您的密码）、您拥有的东西（智能手机），以及您自己（人脸识别、虹膜扫描、指纹传感器）。他说：“当从双重发展到三重时，您就更加确信该用户是正确的用户。”

　　在管理层面上，今天的身份管理系统提供了更高级的用户审核和报告功能，这得益于上下文环境感知的网络访问控制和基于风险的认证（RBA）等技术。

　　上下文环境网络访问控制功能是基于策略的。Okta产品总监Joe Diamond说，它基于各种属性预先确定了一个事件及其结果。例如，如果一个IP地址不在白名单里，就会阻止它。或者，如果没有证书表明某一设备是接受管理的，那么上下文环境感知网络访问控制功能会加强认证过程。

　　相比之下，RBA更自由一些，通常能发挥人工智能的作用。采用RBA，Diamond说：“您可以启用风险评分和机器学习功能来对某一事件进行身份验证。”

　　基于风险的身份验证功能根据当前的风险情形动态地将不同级别的限制要求应用到身份验证过程中。风险越高，认证过程对用户的限制就越大。用户地理位置或者IP地址的更改可能会触发额外的身份验证要求，然后用户才能访问企业的信息资源。

　　什么是联合身份管理？

　　联合身份管理使您能够与受信任的伙伴共享数字身份。它是一种身份验证共享机制，允许用户使用相同的用户名、密码和其他ID来访问多个网络。

　　单点登录（SSO）是联合身份管理的重要组成部分。单点登录标准允许在一个网络、网站或者应用程序上验证过其身份的人，移动到另一网络时进行身份验证。该模型仅用于合作企业之间，即可信任的合作伙伴之间，企业为彼此的用户提供相互担保。

　　可信任合作伙伴之间的身份认证信息通常是使用安全声明标记语言。这一开放规范定义了一个用于在安全认证之间交换安全声明的XML框架。SAML实现了不同供应商平台之间的互操作性，可在平台之间提供身份认证和授权服务。

　　然而，SAML并不是唯一的开放标准身份认证协议。其他的包括OpenID、WS-Trust（Web服务信任的缩写）和WS-Federation（其中有来自微软和IBM的支持），以及OAuth，它支持脸书等第三方服务访问用户的账户信息，而且不会泄露密码。

　　实现身份管理解决方案会面临什么样的挑战或者风险？

　　要想成功的实现身份管理需要远见卓识以及部门间的合作。在项目开始之前，建立各方面紧密结合的身份管理策略，包括清晰的目标、加入各相关方、明确的业务流程等，这样做的公司是最有可能成功的。Shaw说，“当人力资源、IT、安全和其他部门也参与到其中时，身份管理才能工作的最好。”

　　通常，身份信息可能来自多个数据库，例如微软Active Directory（AD）或者人力资源应用程序等。身份管理系统必须能够在所有这些系统上同步用户身份信息，提供一个单一的真实来源。

　　鉴于目前IT人员的短缺，身份管理系统必须使企业能够自动实时地管理处于不同情形和计算环境中的各种用户。人工调整数百甚至数千个用户的访问权限和控制是不可行的。

　　例如，取消离职员工的访问权限可能会导致出现漏洞，特别是在人工操作时，这类情况太常见了。报告员工离开公司，然后在他或者她使用的所有应用程序、服务和硬件上自动取消其访问权限，这需要一个自动的、全面的身份管理解决方案。

　　Abousselham说，对于用户来讲，应该很容易进行身份认证，IT部署起来也容易，最重要的是它必须是安全的。他补充说，这解释了为什么移动设备成为用户身份认证的主要手段，因为智能手机提供了用户的当前地理位置，IP地址等信息，这些都可以用于认证目的。

　　应牢记的风险是：黑客和骇客们最喜欢攻击的是集中式的操作。通过为企业的身份管理活动设置仪表板功能，这些系统降低了管理的复杂性。一旦出现漏洞，入侵者就能够创建具有很大权限，访问很多资源的身份。

　　应该知道哪些术语？

　　流行语实在太多了，但在身份管理领域，有一些关键术语是一定要了解的：

　　● 访问管理（Access management）：访问管理是指用于控制和监视网络访问的过程和技术。访问管理特性，例如身份验证、授权、信任和安全审计等，都是内部和基于云系统的关键身份管理系统的组成部分。

　　● 活动目录（Active Directory，AD）：微软开发了AD，为Windows域网络提供用户身份目录服务。虽然是专有的，但AD包含在Windows服务器操作系统中，因此被广泛部署。

　　● 生物特征识别（Biometric authentication）：根据用户特有的特征对用户进行身份验证的安全过程。生物特征识别技术包括指纹传感器、虹膜和视网膜扫描，以及面部识别等。

　　● 上下文环境感知网络访问控制（Context-aware network access control）：上下文感知网络访问控制是一种基于策略的方法，根据用户要访问的当前上下文环境来授予用户对网络资源的访问权。例如，如果用户试图从没有被列入白名单的IP地址进行身份认证，那么将会阻止他。

　　● 凭证（Credential）：用户用来访问网络的标识符，例如用户密码、公钥基础设施（PKI）证书，或者生物特征识别信息（指纹、虹膜扫描）。

　　● 取消配置（De-provisioning）：从身份数据库中删除身份并终止访问权限的过程。

　　● 数字身份（Digital identity）：身份本身，包括对用户的描述以及他/她/它的访问权限。（之所以有“它”，是因为笔记本电脑和智能手机等端点设备会有自己的数字身份。）

　　● 授权（Entitlement）：为已通过验证的安全主体设定访问权利和权限的一组属性。

　　● 身份即服务（Identity as a Service，IDAAS）：基于云的IDAAS为本地或者云端的企业系统提供身份和访问管理功能。

　　● 身份生命周期管理（Identity lifecycle management）：类似于访问生命周期管理，该术语是指维护和更新数字身份的整套过程和技术。身份生命周期管理包括身份同步、配置、取消配置，以及对用户属性、凭证和权限的持续管理。

　　● 身份同步（Identity synchronization）：保证存储的多个身份（即，采集的结果）对于某一数字身份而言其数据是一致的。

　　● 轻量级目录访问协议（Lightweight Directory Access Protocol，LDAP）：LDAP是基于开放标准的协议，用于管理和访问分布式目录服务，例如微软的AD。

　　● 多重身份验证（Multi-factor authentication，MFA）：MFA是指需要多个因素对网络或者系统进行身份验证，例如不仅仅是用户名和密码。至少还需要一个额外的步骤，例如接收通过SMS发送到智能手机的认证码、插入智能卡或者USB棒，或者满足指纹扫描等生物特征识别身份认证要求。

　　● 密码重置（Password reset）：在这种情况下，它是身份管理系统的一个特性，允许用户重新建立自己的密码，从而减轻管理员的工作，减少求助电话。用户经常通过浏览器使用重置应用程序。应用程序要求用户提供秘密的单词或者一组问题来验证用户的身份。

　　● 配置（Provisioning）：创建身份、定义访问权限并将其添加到身份库中的过程。

　　● 基于风险的身份验证（Risk-based authentication，RBA）：当用户要进行身份验证时，基于风险的身份验证功能根据用户的情况动态地调整身份验证要求。例如，当用户试图从先前没有关联的地理位置或者IP地址进行身份验证时，这些用户可能会面临其他的身份验证要求。

　　● 安全主体（Security principal）：具有一个或者多个凭证的数字身份，可以通过与网络交互进行身份验证和授权。

　　● 用户行为分析（User behavior analytics ，UBA）：UBA技术检测用户行为模式，自动应用算法和分析功能，探测表明有潜在安全威胁的重要异常事件。UBA不同于其他安全技术，其重点是跟踪设备或者安全事件。UBA有时也与实体行为分析相结合使用，被称之为UEBA。

　　James A. Martin是旧金山一名经验丰富的科技记者和博客写手，由于其在CIO.com上的技术生活直播博文而获得了2014年ASBPE国家金奖。James还是内容营销顾问。

　　原文网址：

　　http：//www.csoonline.com/article/2120384/identity-management-the-abcs-of-identity-management

　　作者/James A. Martin 编译/Charles