iT邦幫忙

2024 iThome 鐵人賽

DAY 9
0
Security

30 天成為 IAM 達人系列 第 9

Day 9: 身份安全應用:身份即服務 (IDaaS)

  • 分享至 

  • xImage
  •  

典型 IAM 系統會具備資料庫或使用者目錄工具。
該工具包含有關每個使用者是誰,
以及他們可以在電腦系統中執行哪些操作的權限掌握。
當身份用戶在不同系統穿梭使用時,IAM 會使用工具內的資訊完成驗證流程,
同時監控他們的身份活動並確保只能執行規範內的系統存取操作。
因此核心的身份安全系統框架會有四個核心元素:
驗證授權、存取管控、生命週期管控、身份治理

驗證和授權 (Authentication)

身份驗證是確定使用者(人類或非人類)是否是他們聲稱的身份的過程,
當使用者登入系統或要求存取資源時,他們會提交憑證來證明其身分,
IAM 系統會根據目錄資料庫檢查這些憑證。如果匹配,則授予存取權限。

存取控制管控 (Access Control)

獨一無二的的數位身分不僅可以幫助組織追蹤用戶存取行為,
還能夠使公司設定和實施更精細的系統存取策略,
同時允許 IAM 向不同的身分授予不同的系統權限的精細管控。

身份生命週期管控 (Identity Lifycycle)

為了監控使用者活動並給予各自相應權限,組織需要區分個別使用者,
IAM 需要為每個用戶分配數位身份來實現這一點。
數位身份是一群身份屬性的集合體,透過這些屬性告訴系統當前使用者是誰或是什麼。
身分屬性通常會包括使用者名稱、登入憑證、ID 號碼、職位和存取權限等數位身份特徵。

身份治理 (Identity Governance)

身分治理是個持續追蹤使用者使用存取權限執行哪些操作的過程,
透過監控用戶活動以確保身份成員不會濫用其權限,以及攔截可能潛入的非授權用戶。

IAM 核心共通功能

如今 IAM 解決方案通常是綜合性方案,可以將多個工具整合提供。
雖然各個 IAM 平台存在許多差異,但它們都傾向於有幾個共同的核心功能,例如:

  1. 目錄服務功能,例如 Microsoft Active Directory
  2. 用於建立、更新和刪除身分帳號的工作流程(自動化或手動)
  3. 單一管控所有應用程式和資產的管控平台
  4. 提供身份驗證選項,例如 MFA、SSO 和條件式身份驗證
  5. 允許定義精細的存取策略並套用在各個用戶帳號
  6. 追蹤身份用戶活動、監控、標記可疑身份活動並確保身份合規性
  7. 將身分生命週期管理、身分驗證和授權措施擴展到外部客戶、合作夥伴的 (CIAM)

目前市面上很多 IAM 解決方案是針對特定生態系統所建構的,
例如,Amazon Web Services (AWS) IAM 和 Google Cloud IAM,
均係控制對各自雲端中託管資源的存取與身份認證與授權過程。

而其他 IAM 解決方案(例如 Microsoft、IBM®、Oracle 等公司生產的解決方案)
則是為了管控組織內、外的的所有 IT 資源而應用而生。
而無論是何種 IAM,基本上也能運用 SAML 和 OpenID Connect (OIDC) 等開放標準,
在應用程式之間交換使用者身份驗證資訊。

身份即服務(IDaaS)

身份即服務 (IDaaS) 即為基於雲端的 SaaS 身份安全方案,
提供在在複雜的企業網路中,整合各種裝置(Windows、Mac、Linux 和行動裝置)登入,
同時提供存取位於網站以及私有雲和公有雲中的資源。
雖然傳統本地方案的 IAM 系統也能滿足大部分功能,
但面對複雜多變的雲、地系統環境,以及遠端、行動用戶角色等多元角色,
IDaaS 可以讓現今企業組織更好地整合來自雲端多元應用服務與架接型態。


上一篇
Day 8: 身份安全挑戰:資料隱私與資料主權
下一篇
Day 10: 身份管理基礎:目錄服務(Directory)
系列文
30 天成為 IAM 達人30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言