身份管理如何工作？和访问管理有什么区别？

身份管理 (IdM)，也称为身份和访问管理 (IAM)，可确保授权人员（并且只有授权人员）能够访问他们执行工作职能所需的技术资源。它包括策略和技术，这些策略和技术包含一个组织范围的流程，通过包括用户访问权限和基于身份的限制在内的属性来正确识别、验证和授权人员、人员组或软件应用程序。

身份管理系统可防止对系统和资源的未经授权的访问，帮助防止企业或受保护数据的泄露，并在未经授权的人员或程序（无论是从企业内部还是外部）进行访问尝试时发出警报和警报。

身份管理解决方案不仅可以保护软件和数据访问，还可以保护企业中的硬件资源，例如服务器、网络和存储设备，使其免受可能导致 勒索软件 攻击的未经授权的访问。由于越来越多的全球监管、合规和治理要求寻求保护敏感数据免受任何形式的泄露，身份管理在过去十年中变得越来越重要。

IdM 和 IAM 系统通常是企业内部 IT 安全和 IT 数据管理的一部分，身份和访问管理工具可广泛用于用户执行业务功能所依赖的各种设备，从手机和平板电脑到运行 Windows 的台式计算机、Linux、iOS 或 Android。

IdM 和 IAM 是经常互换使用的术语，但身份管理更关注用户身份（或用户名）以及用户所属的角色、权限和组。IdM 还专注于通过各种技术保护身份，例如密码、生物识别、多因素身份验证和其他数字身份。这通常是通过采用身份管理软件应用程序和平台来实现的。

身份管理如何工作？

作为涵盖访问管理和身份管理的整体 IAM 框架的一部分，企业通常同时使用用户管理组件和中央目录组件，例如 Windows 的 Active Directory 或 Apache Directory Studio 或 Linux 系统的 Open LDAP。

用户管理组件处理管理权限的委派、跟踪每个用户和组的角色和职责、配置和取消配置用户帐户以及密码管理。其中部分或全部功能（例如密码重置）通常是自助服务，以减轻 IT 员工的负担。

中央目录是企业所有用户和组数据的存储库。因此，该组件的主要作用是在整个企业中同步目录或存储库，它可以跨越本地和公共或私有云组件。这可以在混合云 或 多云基础架构中随时随地查看用户及其权限的单一视图 。

IAM 框架还包括两个访问组件。身份验证解决了登录（和单点登录）、管理活动会话以及通过令牌或生物识别设备提供强身份验证等问题。授权使用用户记录中的角色、属性和规则来确定是否应授予特定用户、设备或应用程序访问资源的权限。

身份管理和访问管理有什么区别？

身份管理

数字身份是访问的关键。身份包含定义角色的信息和属性，具体提供或拒绝对给定资源的访问，并告知组织中的其他人该身份属于谁或属于什么，如果有人与他们联系，以及他们在整个企业中的位置等级制度。创建身份可能会在整个组织中产生影响，例如通过创建电子邮件帐户、设置员工记录或在组织结构图中生成条目。身份是有生命的东西，它们会随着时间而改变，例如，如果员工担任新角色或搬到新的工作地点。

身份管理的作用是跟踪和管理对企业存储库中定义身份的所有属性和条目的更改。通常，这些更改只能由组织中的少数几个人进行，例如记录调整后工资等级的人力资源代表，或授予一组员工（例如客户服务代表）访问新 CRM 系统功能的应用程序所有者.

访问管理

访问管理是对请求访问特定资源的身份的身份验证，访问决策只是授予该访问权限的是或否决定。这可以是一个分层的过程，访问服务确定用户是否被授权访问网络，而较低的访问层则对所涉及的身份进行身份验证的地方进行身份验证，以访问特定的服务器、驱动器、文件夹、文件和应用程序。

请记住，身份验证与授权不同。尽管身份（用户）可能被授权在公司网络上并在目录中拥有一个帐户，但这并不会自动授予该身份访问企业范围内的每个应用程序的能力。任何给定应用程序或资源的授权将取决于身份的属性，例如它所属的组、其在组织中的级别或先前分配的特定角色。

与身份验证一样，授权的授予可以在组织内的多个层级中进行，例如，既可以作为集中式服务，也可以作为给定应用程序或资源的本地服务，尽管在资源或服务级别进行身份验证是不受欢迎的，因为中央身份验证提供了更多一致的控制。

身份和访问管理之间的区别

身份管理和访问管理之间的区别可以简化如下：

身份管理就是管理与用户、用户组或其他可能需要不时访问的身份相关的属性。

访问管理就是根据现有策略评估这些属性，并根据这些属性做出是或否访问决策。

为什么我们需要身份管理？

最近的 (ISC)² 研究发现， 80% 的违规行为 是由于身份访问问题，即凭据薄弱或管理不善造成的。如果没有适当的控制措施——或者没有正确遵循 IAM 的程序和流程，密码可能会被泄露，网络钓鱼攻击会被启用，并且违规或勒索软件攻击成为现实。幸运的是，现代 IAM 平台提供了许多功能的自动化，以帮助确保使用控制措施，例如当 HR 系统指示员工离开组织时从目录中删除用户。

由于新的隐私和数据保密立法如此频繁地制定，IAM 可以发挥另一个重要作用，即帮助组织遵守无数有效的监管和治理要求，确保只有授权用户才能访问数据，但数据本身就在它应该在的地方。最后，IT 安全主要与访问有关，因此可靠的 IAM 策略是整体 IT 安全的关键组成部分，并为来自防火墙外部或内部的任何威胁提供第一道保护。

身份管理的业务优势是什么？

成功保护资产（包括数字资产）的能力会对组织的价值产生直接的底线影响。IAM 加快了需要访问企业资源以执行工作的任何人的价值实现时间，通常将新员工入职到他们可以访问系统资源的时间从几天缩短到几分钟。

除了通过提高安全性提供增强的业务价值外，还有其他切实的业务利益。IAM 任务的自动化可以让 IT 部门腾出更多精力来专注于以底线为重点的项目，而自助式身份管理工具则可以提高员工、承包商和其他访问公司资源的用户的整体生产力。

实施整体 IAM 框架可以通过提高对新用户入职至关重要的服务的可扩展性来提供增长机会，并且 IT 人力的减少转化为整个 IT 组织更好的投资回报率。身份和访问管理已成为所有这些业务优势的基础，并继续保护企业免受可能导致数据盗窃、恶意攻击或暴露敏感客户、患者或法律信息的威胁。