身份管理入門

什麼是身份管理？廣義講，身份管理系統（也稱為身份及通路管理系統，或IAM系統）可在某個系統内管理個人身份，比如一家公司、一個網絡，甚或一個國家。具體講，企業IT中的ID管理，就是定義并管理單個網絡使用者的角色和通路權限，以及使用者被賦予/拒絕這些權限的情況。

ID管理系統的核心目标，是每人一個身份。該數字ID一旦被建立，在每個使用者的整個“通路生命周期”裡都應受到維護、修改和監視。

是以，用企業身份管理提供商Okta進階副總裁兼首席安全官亞希爾·阿布塞勒哈姆的話說，ID管理的整體目标，是從使用者系統登入到許可授權到按需登出，都能及時在正确的上下文中，為正确的使用者，配置設定正确的企業資産通路權限。

ID管理系統為管理者提供各種工具和技術，可以修改使用者角色，跟蹤使用者活動，建立活動報告，貫徹政策執行。這些系統的設計目标，是要提供在整個企業裡管理使用者通路的方法，以及確定符合企業政策和政府監管規定。

ID管理技術包括（但不限于）密碼管理工具、配置軟體、安全政策執行應用程式、報告和監視App，以及身份存儲庫。ID管理系統在内部部署系統（如微軟SharePoint）和雲系統（如微軟 Office 365）都可用。

ID管理系統必須足夠靈活，足夠健壯，才可以适應當今計算環境的複雜性。原因之一：企業計算環境曾經很大程度上是内部部署的，ID管理系統在員工都在工作場所上班的時候對使用者進行身份驗證和跟蹤管理。那個時候的企業環境，是有着安全圍欄圍着的。而今天，這個圍欄不再存在。

今天的ID管理系統，應能讓管理者很友善地進行通路權限管理，服務對象也應包括各類使用者——國内公司裡上班的雇員和國外遠端辦公的承包商；混合計算環境——企業内計算、軟體即服務(SaaS)應用程式、影子IT和BYOD使用者；計算架構——UNIX、Windows、Macintosh、iOS、安卓、IoT裝置。

最終，ID管理系統應能對整個企業，以一緻而可擴充的方式，對使用者進行集中管理。

最近幾年，身份即服務(IDaaS)以雲端訂閱的方式，作為第三方托管服務而興起，為企業内客戶和雲系統客戶提供ID管理。

為什麼要關注身份管理？

ID管理是任何企業安全計劃的重要部分，因為今天的數字化經濟中，ID管理與企業安全和生産力密不可分。

被盜使用者憑證常常是進入企業網絡及其資訊資産的入口點。企業采用ID管理來保護其資訊資産不受勒索軟體、犯罪黑客行為、網絡釣魚和其他惡意軟體攻擊的威脅。Cybersecurity Ventures 預測，2017年，僅全球勒索軟體破壞的損失，就可達50億美元，比2016年上升了15%。

很多企業裡，使用者權限有時候會比所需的要高。健壯的ID管理系統，可通過確定整個企業内應用一緻的使用者通路規則和政策，為企業添加一層重要的防護。

ID管理系統可增強企業生産力。這些系統的中央管理功能，可減少保護使用者憑證和通路權限的複雜性及開銷。同時，ID管理系統還讓員工在各種環境下更富生産力和安全性，無論他們是在家工作還是在辦公室開工，還是在出差途中。

很多政府要求企業注重身份管理。Sarbanes-Oxley法案、Gramm-Leach-Bliley金融服務法案和HIPAA法案，都要求企業為客戶及員工資訊通路控制負責。ID系統可幫助企業遵從這些規定。

《通用資料保護條例》(GDPR)是更近一些的規定，要求強安全和強使用者通路控制。GDPR強制企業保護歐盟公民的個人資料和隐私。該條例将于2018年5月正式生效，在歐盟國家經營或擁有歐盟公民客戶的每家公司均受其管轄。

2017年3月1日，紐約州金融服務署(NYDFS)新網絡安全規定宣布生效。該規定描述了很多在紐約營運的金融服務公司應遵從的安全營運要求，包括監視授權使用者活動和維護審計日志——ID管理系統通常都會做的那些事。

ID管理系統可以自動化為企業網絡和資料提供安全的使用者通路，減輕IT在這些瑣碎但重要的任務上的負擔，并幫助他們持續符合政府的規定。鑒于如今每個IT職位同時也是安全職位的态勢；全球性網絡安全勞動力緊缺在持續；不合規所遭受的懲罰可讓企業損失數百萬甚至數十億美元；上述這些都是非常重大的好處。

公司怎麼從身份管理系統獲益？

實作ID管理和相關最佳實踐，可以多種形式帶來重大競争優勢。現下，大多數公司需要為外部使用者賦予到内部系統的通路權限。向客戶、合作夥伴、供應商、承包商和雇員開放公司網絡，可提升效率，降低營運成本。

ID管理系統可使公司在不破壞安全的情況下，将通路權限擴充至其各種各樣的資訊系統，包括企業内應用、移動App、SaaS工具等。向外部提供更多通路，可驅動整個企業的協作，提升生産效率、員工滿意度，提振研究和開發，最終形成收益增加。

ID管理可減少IT支援團隊接到的密碼重置類求助電話。ID管理系統能讓管理者自動化這些動作和其他耗時耗力的任務。

ID管理系統可成為安全網絡的基石，因為使用者身份管理是通路控制拼圖的重要一塊。ID管理系統要求公司企業定義自身通路政策，具體描述哪些人可以在哪種情況下對哪些資料資源具有通路權。

是以，管理良好的ID，意味着對使用者通路更好的控制，也就是内部和外部資料洩露風險的降低。這非常重要，因為，伴随着外部威脅的持續上升，内部攻擊同樣愈驅頻繁。根據IBM《2016網絡安全情報索引》，約有60%的資料洩露時由公司自己的雇員導緻的。當然，75%是惡意的，25%是無意的。

正如前文提到的，通過提供工具實作全面安全、審計和通路政策，ID管理系統能夠增強合規。很多系統如今都有確定公司合規的諸多功能。

身份管理系統工作機制是什麼？

過去幾年中，典型的ID管理系統包括4個基本元素：

• 系統用于定義個人使用者的個人資料目錄（不妨想做是ID存儲庫）；
• 用于添加、修改和删除這些資料（與通路生命周期管理相關）的一套工具；
• 監管使用者通路（執行安全政策和通路權限）的系統；
• 審計和報告系統（核實系統上在發生什麼）。

監管使用者通路一直以來都涉及到一系列的使用者身份驗證方法，包括密碼、數字證書、令牌和智能卡。硬體令牌和信用卡大小的智能卡被當成雙因子身份驗證的其中一個部分。雙因子身份驗證結合你知道的某些事（比如你的密碼）和你擁有的某樣東西（令牌或卡），來核實你的身份。智能卡嵌入了一塊內建電路晶片，可能是安全微控制器，或者内部存儲或存儲晶片等價物。出現于2005年的軟體令牌，可存在于任意帶存儲功能的裝置中，從U盤到手機都可以。

今天的複雜計算環境裡，随着安全威脅的提升，強使用者名和密碼不再管用。時至今日，ID管理系統往往綜合了生物特征識别、機器學習和人工智能，以及基于風險的身份驗證等因素。

在使用者層級，最近的使用者身份驗證方法有助于更好地保護身份。舉個例子，iPhone Touch ID 功能的流行，讓很多人适應了用指紋作為身份驗證的方法。更新的 Windows 10 計算機提供指紋傳感器或虹膜掃描作為生物特征識别使用者身份驗證。今年晚些時候即将推出的下一代iPhone，據傳将采用虹膜掃描或人臉識别，取代指紋掃描，來進行使用者身份驗證。

有些公司已開始從雙因子身份驗證轉向三因子身份驗證，結合你知道的(比如密碼)、你擁有的(比如智能手機)，以及你的特征(人臉識别、虹膜掃描或指紋傳感)。從雙因子走向三因子，在確定正确的使用者上又多了一重保障。

在管理層級，今天的ID管理系統提供更先進的使用者審計和報告——感謝上下文敏感的網絡通路控制和基于風險的身份驗證(RBA)之類的技術。

上下文敏感的網絡通路控制基于政策，根據各種屬性預先規定了事件及其結果。例如，沒被列入白名單的IP，就會被封禁。或者，如果沒有表明裝置被托管的證書，上下文敏感網絡通路控制就不會觸發身份驗證過程。

相比之下，RBA更為靈活，往往受到某種程度的AI驅動。有了RBA，基本上就為身份驗證事件打開風險評級和機器學習的大門了。

RBA根據目前風險狀況對身份驗證過程應用不同級别的嚴格度。風險越高，對使用者的身份驗證過程越嚴格。使用者地理位置或IP位址的改變，可能會觸發附加的身份驗證要求，隻有全部通過，使用者才能繼續通路公司的資訊資源。

統一身份管理是什麼？

統一身份管理可讓你與受信合作夥伴共享數字ID。這是讓使用者可使用同一個使用者名、密碼或其他ID，來通路多個網絡的身份驗證共享機制。

單點登入(SSO)就是統一身份管理的一個重要組成部分。單點登入标準，可使在某個網絡、網站或App上通過驗證的使用者，将其經驗證狀态延續到另一個登入系統。該模型僅适用于合作企業之間——所謂受信合作夥伴，可以為彼此的使用者擔保的那種。

受信合作夥伴間的授權消息往往通過安全斷言标記語言(SAML)發送。該開放規範定義了在安全授權方之間交換安全斷言的XML架構。SAML在提供身份驗證和授權服務的不同廠商平台間達成了互操作性。

然而，SAML不是唯一一個開放标準身份協定。其他協定還有OpenID、WS-Trust(Web服務信任)和WS-聯合(受到微軟和IBM的共同支援)，以及OAuth——不暴露密碼的情況下讓使用者賬戶資訊可被Facebook之類第三方服務使用的協定。

實作身份管了解決方案面臨的挑戰或風險有哪些？

ID管理的成功實作，需要深謀遠慮和各部門間的協作。在項目開始前就建立了内聚ID管理政策的企業——目标清晰、利益相關者認可、業務過程有定義，更有可能成功。隻有在人力資源、IT、安全和其他部門都參與的情況下，ID管理才會得到最佳成效。

身份資訊往往來自多個存儲庫，比如微軟活動目錄(AD)或人力資源應用。ID管理系統必須能夠同步這些來自不同系統的使用者身份資訊，提供統一的真相。

鑒于當今IT人才的緊缺，ID管理系統還得能讓企業可以在各種情況和計算環境中管理各種各樣的使用者——自動化實時管理。人工調整成百上千使用者的通路權限和控制，是不現實的。

比如說，解綁離職員工通路權限的工作就會被疏忽掉，尤其是在人工處理的情況下，而這往往是很多企業的現狀。報告員工離職，然後自動解除該員工所用各個App、服務和硬體的通路權配置，需要一個自動化的全面ID管了解決方案。

身份驗證也必須讓使用者易于執行，讓IT部門易于部署，而且最重要的，必須安全。這也是為什麼移動裝置正成為使用者身份驗證中心的原因，因為智能手機可以提供使用者目前位置、IP位址，以及可用于身份驗證目的的其他資訊。

需要謹記的一個風險是：集中式操作也會向黑客和破解者呈現出誘人的目标。整個公司所有ID管理活動都在一個儀表闆上呈現，不僅僅給管理者帶來了便利，也為黑客和破解者減少了攻擊複雜度。一旦被黑，入侵者便可以建立高權限ID，通路龐大的資源。

應該知道的術語有哪些？

流行詞總在變化，但身份管理領域一些關鍵術語還是值得知道一下：

1. 通路管理

通路管理，指的是用于控制和監視網絡通路的過程和技術。通路管理功能，比如身份驗證、授權、信任和安全審計，是内部和雲端系統頂層ID管理系統的組成部分。

2. 活動目錄(AD)

微軟開發的AD，是Windows域網絡使用者身份目錄服務。雖然是專利産品，AD卻被包括在 Windows Server 作業系統中，因而廣為使用。

3. 生物特征識别身份驗證

依靠使用者特征進行身份驗證的安全過程。生物特征識别身份驗證技術包括指紋傳感器、虹膜和視網膜掃描，以及人臉識别。

4. 上下文敏感網絡通路控制

上下文敏感網絡通路控制是一種基于政策的方法，根據請求通路使用者的目前上下文授權網絡資源。例如，以未進入白名單的IP位址請求身份驗證的使用者，就不會被準許。

5. 憑證

使用者用于通路網絡的辨別符，比如使用者密碼、公鑰基礎設施(PKI)證書，或者生物特征資訊(指紋、虹膜掃描)。

6. 解除配置

從ID存儲庫中删除身份并終止通路權限的過程。

7. 數字身份

即ID本身，包括對使用者及其通路權限的描述。(終端，諸如筆記本電腦或智能手機，也可以擁有其數字身份。)

8. 權利

經驗證安全主體所具有的一系列屬性，指明了具體通路權益和特權。

9. 身份即服務(IDaaS)

基于雲的IDaaS為内部和雲端企業系統提供身份與通路管理功能。

10. 身份生命周期管理

與通路生命周期管理類似，該術語指的是維護和更新數字身份的整套過程與技術。身份生命周期管理包含身份同步、配置、解配置，以及對使用者屬性、憑證和權利的持續管理。

11. 身份同步

確定多個身份存儲(比如企業并購的結果)包含給定數字ID的統一資料的過程。

12. 輕量級目錄通路協定(LDAP)

LDAP是管理和通路分布式目錄服務(比如微軟的AD)的開放标準協定。

13. 多因子身份驗證(MFA)

網絡或系統身份驗證時要求一個以上驗證因子(比如使用者名和密碼)的情況。至少還會要求另一個驗證步驟，比如接收發送到智能手機上的短信驗證碼，插入智能卡或U盤，或者滿足生物特征識别身份驗證要求(如指紋掃描)。

14. 密碼重置

身份管理上下文中，密碼重置指的是ID管理系統的一個功能，可以讓使用者重新設定密碼，減輕管理者工作負擔，減少求助電話。重置應用通常通過浏覽器通路。該應用會要求密語，或者詢問一組問題來核實使用者身份。

15. 配置

建立身份，定義其通路權限，以及将身份加入ID存儲庫的過程。

16. 基于風險的身份驗證(RBA)

基于風險的身份驗證，根據身份驗證當時的使用者情況，動态調整驗證要求。比如說，當使用者從之前未關聯的地理位置或IP位址嘗試驗證時，将會遇到額外的身份驗證要求。

17. 安全主體

數字身份，擁有1個或多個可經驗證和授權與網絡進行互動的憑證。