身份与访问
身份与访问管理 (IAM)
别称: IAM, 身份管理
定义
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
身份与访问管理 (IAM) 是一套由策略、流程和工具组成的框架,帮助组织管理人员和机器身份的全生命周期,并管控其对应用、数据和基础设施的访问。核心能力包括身份的开通与回收、身份认证、授权、单点登录、多因素认证、角色与权限管理以及审计日志。IAM 是零信任架构的核心,因为每一次访问决策都依赖经过验证的身份及其属性。薄弱的 IAM 是数据泄露的主要原因:遗留账号、过度授权和未被管控的服务账号经常被攻击者利用。
示例
- Okta、Microsoft Entra ID 与 Ping Identity 作为企业级 IAM 平台。
- 通过入职-调动-离职流程自动授予和回收应用访问权限。