身份管理 (IdM)，也稱為身份和訪問管理 (IAM)，可確保授權人員（并且只有授權人員）能夠訪問他們執行工作職能所需的技術資源。它包括策略和技術，這些策略和技術包含一個組織范圍的流程，通過包括用戶訪問權限和基于身份的限制在內的屬性來正確識別、驗證和授權人員、人員組或軟件應用程序。

身份管理系統可防止對系統和資源的未經授權的訪問，幫助防止企業或受保護數據的泄露，并在未經授權的人員或程序（無論是從企業內部還是外部）進行訪問嘗試時發出警報和警報。

身份管理解決方案不僅可以保護軟件和數據訪問，還可以保護企業中的硬件資源，例如服務器、網絡和存儲設備，使其免受可能導致 勒索軟件 攻擊的未經授權的訪問。由于越來越多的全球監管、合規和治理要求尋求保護敏感數據免受任何形式的泄露，身份管理在過去十年中變得越來越重要。

IdM 和 IAM 系統通常是企業內部 IT 安全和 IT 數據管理的一部分，身份和訪問管理工具可廣泛用于用戶執行業務功能所依賴的各種設備，從手機和平板電腦到運行 Windows 的臺式計算機、Linux、iOS 或 Android。

IdM 和 IAM 是經常互換使用的術語，但身份管理更關注用戶身份（或用戶名）以及用戶所屬的角色、權限和組。IdM 還專注于通過各種技術保護身份，例如密碼、生物識別、多因素身份驗證和其他數字身份。這通常是通過采用身份管理軟件應用程序和平臺來實現的。

身份管理如何工作？

作為涵蓋訪問管理和身份管理的整體 IAM 框架的一部分，企業通常同時使用用戶管理組件和中央目錄組件，例如 Windows 的 Active Directory 或 Apache Directory Studio 或 Linux 系統的 Open LDAP。

用戶管理組件處理管理權限的委派、跟蹤每個用戶和組的角色和職責、配置和取消配置用戶帳戶以及密碼管理。其中部分或全部功能（例如密碼重置）通常是自助服務，以減輕 IT 員工的負擔。

中央目錄是企業所有用戶和組數據的存儲庫。因此，該組件的主要作用是在整個企業中同步目錄或存儲庫，它可以跨越本地和公共或私有云組件。這可以在混合云 或 多云基礎架構中隨時隨地查看用戶及其權限的單一視圖 。

IAM 框架還包括兩個訪問組件。身份驗證解決了登錄（和單點登錄）、管理活動會話以及通過令牌或生物識別設備提供強身份驗證等問題。授權使用用戶記錄中的角色、屬性和規則來確定是否應授予特定用戶、設備或應用程序訪問資源的權限。

身份管理和訪問管理有什么區別？

身份管理

數字身份是訪問的關鍵。身份包含定義角色的信息和屬性，具體提供或拒絕對給定資源的訪問，并告知組織中的其他人該身份屬于誰或屬于什么，如果有人與他們聯系，以及他們在整個企業中的位置等級制度。創建身份可能會在整個組織中產生影響，例如通過創建電子郵件帳戶、設置員工記錄或在組織結構圖中生成條目。身份是有生命的東西，它們會隨著時間而改變，例如，如果員工擔任新角色或搬到新的工作地點。

身份管理的作用是跟蹤和管理對企業存儲庫中定義身份的所有屬性和條目的更改。通常，這些更改只能由組織中的少數幾個人進行，例如記錄調整后工資等級的人力資源代表，或授予一組員工（例如客戶服務代表）訪問新 CRM 系統功能的應用程序所有者.

訪問管理

訪問管理是對請求訪問特定資源的身份的身份驗證，訪問決策只是授予該訪問權限的是或否決定。這可以是一個分層的過程，訪問服務確定用戶是否被授權訪問網絡，而較低的訪問層則對所涉及的身份進行身份驗證的地方進行身份驗證，以訪問特定的服務器、驅動器、文件夾、文件和應用程序。

請記住，身份驗證與授權不同。盡管身份（用戶）可能被授權在公司網絡上并在目錄中擁有一個帳戶，但這并不會自動授予該身份訪問企業范圍內的每個應用程序的能力。任何給定應用程序或資源的授權將取決于身份的屬性，例如它所屬的組、其在組織中的級別或先前分配的特定角色。

與身份驗證一樣，授權的授予可以在組織內的多個層級中進行，例如，既可以作為集中式服務，也可以作為給定應用程序或資源的本地服務，盡管在資源或服務級別進行身份驗證是不受歡迎的，因為中央身份驗證提供了更多一致的控制。

身份和訪問管理之間的區別

身份管理和訪問管理之間的區別可以簡化如下：

身份管理就是管理與用戶、用戶組或其他可能需要不時訪問的身份相關的屬性。

訪問管理就是根據現有策略評估這些屬性，并根據這些屬性做出是或否訪問決策。

為什么我們需要身份管理？

最近的 (ISC)2 研究發現， 80% 的違規行為 是由于身份訪問問題，即憑據薄弱或管理不善造成的。如果沒有適當的控制措施——或者沒有正確遵循 IAM 的程序和流程，密碼可能會被泄露，網絡釣魚攻擊會被啟用，并且違規或勒索軟件攻擊成為現實。幸運的是，現代 IAM 平臺提供了許多功能的自動化，以幫助確保使用控制措施，例如當 HR 系統指示員工離開組織時從目錄中刪除用戶。

由于新的隱私和數據保密立法如此頻繁地制定，IAM 可以發揮另一個重要作用，即幫助組織遵守無數有效的監管和治理要求，確保只有授權用戶才能訪問數據，但數據本身就在它應該在的地方。最后，IT 安全主要與訪問有關，因此可靠的 IAM 策略是整體 IT 安全的關鍵組成部分，并為來自防火墻外部或內部的任何威脅提供第一道保護。

身份管理的業務優勢是什么？

成功保護資產（包括數字資產）的能力會對組織的價值產生直接的底線影響。IAM 加快了需要訪問企業資源以執行工作的任何人的價值實現時間，通常將新員工入職到他們可以訪問系統資源的時間從幾天縮短到幾分鐘。

除了通過提高安全性提供增強的業務價值外，還有其他切實的業務利益。IAM 任務的自動化可以讓 IT 部門騰出更多精力來專注于以底線為重點的項目，而自助式身份管理工具則可以提高員工、承包商和其他訪問公司資源的用戶的整體生產力。

實施整體 IAM 框架可以通過提高對新用戶入職至關重要的服務的可擴展性來提供增長機會，并且 IT 人力的減少轉化為整個 IT 組織更好的投資回報率。身份和訪問管理已成為所有這些業務優勢的基礎，并繼續保護企業免受可能導致數據盜竊、惡意攻擊或暴露敏感客戶、患者或法律信息的威脅。