典型 IAM 系統會具備資料庫或使用者目錄工具。
該工具包含有關每個使用者是誰,
以及他們可以在電腦系統中執行哪些操作的權限掌握。
當身份用戶在不同系統穿梭使用時,IAM 會使用工具內的資訊完成驗證流程,
同時監控他們的身份活動並確保只能執行規範內的系統存取操作。
因此核心的身份安全系統框架會有四個核心元素:
驗證授權、存取管控、生命週期管控、身份治理
身份驗證是確定使用者(人類或非人類)是否是他們聲稱的身份的過程,
當使用者登入系統或要求存取資源時,他們會提交憑證來證明其身分,
IAM 系統會根據目錄資料庫檢查這些憑證。如果匹配,則授予存取權限。
獨一無二的的數位身分不僅可以幫助組織追蹤用戶存取行為,
還能夠使公司設定和實施更精細的系統存取策略,
同時允許 IAM 向不同的身分授予不同的系統權限的精細管控。
為了監控使用者活動並給予各自相應權限,組織需要區分個別使用者,
IAM 需要為每個用戶分配數位身份來實現這一點。
數位身份是一群身份屬性的集合體,透過這些屬性告訴系統當前使用者是誰或是什麼。
身分屬性通常會包括使用者名稱、登入憑證、ID 號碼、職位和存取權限等數位身份特徵。
身分治理是個持續追蹤使用者使用存取權限執行哪些操作的過程,
透過監控用戶活動以確保身份成員不會濫用其權限,以及攔截可能潛入的非授權用戶。
如今 IAM 解決方案通常是綜合性方案,可以將多個工具整合提供。
雖然各個 IAM 平台存在許多差異,但它們都傾向於有幾個共同的核心功能,例如:
目前市面上很多 IAM 解決方案是針對特定生態系統所建構的,
例如,Amazon Web Services (AWS) IAM 和 Google Cloud IAM,
均係控制對各自雲端中託管資源的存取與身份認證與授權過程。
而其他 IAM 解決方案(例如 Microsoft、IBM®、Oracle 等公司生產的解決方案)
則是為了管控組織內、外的的所有 IT 資源而應用而生。
而無論是何種 IAM,基本上也能運用 SAML 和 OpenID Connect (OIDC) 等開放標準,
在應用程式之間交換使用者身份驗證資訊。
身份即服務 (IDaaS) 即為基於雲端的 SaaS 身份安全方案,
提供在在複雜的企業網路中,整合各種裝置(Windows、Mac、Linux 和行動裝置)登入,
同時提供存取位於網站以及私有雲和公有雲中的資源。
雖然傳統本地方案的 IAM 系統也能滿足大部分功能,
但面對複雜多變的雲、地系統環境,以及遠端、行動用戶角色等多元角色,
IDaaS 可以讓現今企業組織更好地整合來自雲端多元應用服務與架接型態。