iam技术架构（为什么身份和访问管理）

身份和访问管理(IAM)是成熟的安全领域，但这并不意味着它是静态的。虽然IAM通常与安全关联，事实上，它是整体安全计划的重要组成部分，很多人开始了解它代表的业务流程。事实可能是：它模糊了安全和运营之间的界线。

这个领域的最新趋势表明IAM逐渐成为企业主流。在未来这一趋势仍将继续发展，下面5个方面表明IAM的重要性：

1、首席营销官和首席运营官要求获取IAM数据

谷歌、Facebook、Twitter和其他企业最重视什么?答案是他们用户群的信息。他们知道我们是谁、我们何时活跃以及所有我们的浏览习惯。他们使用这些信息来创建有针对性的广告，并从中获利。

并非所有公司对通过基于用户行为的广告获利感兴趣，但大多数公司都可从更好地了解用户中受益。尽管IAM解决方案无法提供所有这些优势，但它可提供最基本的数据点:用户是谁——他们的身份。

需要注意的是，有些基于云的IAM供应商有重点领域。很少供应商会涵盖所有IAM方面，因此他们会有一些局限性。企业有必要了解IAM的四个子域：身份数据、身份管理、访问管理以及访问执行。有些供应商专注于联盟和身份验证，有些则更擅长目录复制，还有些专门负责配置和取消配置。

现在，基于云的IAM解决方案中动态和直观的基于web的工具已经取代管理界面，内部部署解决方案中都是这些复杂、胖客户端或命令行工具。基于云的解决方案具有点击式配置和向导，它们允许客户管理员用户执行所有方面的管理工作。

与可用用例同样重要的是集成功能。内部部署IAM解决方案的优势包括安装连接器、广泛的网络协议、自定义代码功能和几乎无限带宽。领先的基于云的IAM供应商正在试图解决这一问题--通过采用专用网络连接超越LDAPS/JDBC协议，以及利用应用编程接口(API)进行整合。软件即服务(SaaS)操作服务也得到扩展，让尚未由基于web工具管理的功能可通过提交变更请求单到SaaS操作团队来配置。

也许部署基于云IAM解决方案的最重要原因是稳定性、灵活的容量和运营成本降低。这些不再是SaaS供应商之间的区分因素;它们通常比内部部署解决方案更加稳定，更加可扩展。然而，成本优势对于每个公司都各有不同，很多因素会影响到这个计算。根据笔者的经验，还没有看到基于云的IAM解决方案成本高于内部部署解决方案。

安全机会：部署基于云的IAM解决方案不是轻而易举的事情，特别是对内部许可证、基础设施和运营方面已经有很大投资时。如果存在这些投资，下一次升级或扩展周期才是考虑转移到基于云的IAM的时候。这样做可让企业部署标准化解决方案、简化操作以及降低运营成本，同时利用前沿技术。

4、监管合规和审计不再是主要因素

基于IAM目前的成熟度水平，大多数企业的自动化IAM计划和手动流程已经逐渐满足监管和合规要求。在过去15年中，合规性一直是重要因素，企业做了大量公工作才可实现合规性。而现在，对技术和流程变化的需求已经下降，但这并不意味着，这个工作已经完成或者每个人都很开心。

大多数公司在审计和监管合规方面的投资已经发展到回报递减的地步，或者他们根本没有资金可用。有些公司在意识到成本和复杂性后，正从复杂的RBAC模式以及自动化职责分离(SoD)政策撤回。还有些公司发现手动流程足以满足审计目的，而且更便宜，特别是使用离岸团队。

不过，还是有公司在购买IAM，他们购买解决方案并支付年度维护费用，但在当前业务环境中，部署、整合和运营成本太高。这也是IAM影响IT和大多数后台业务流程每个领域的根本事实，这使得全面部署成本高昂且耗时。并且，尽管出现基于云的IAM，但这个根本事实没有改变。

对此的重要警告是《一般数据保护条例(GDPR)》，虽然目前很少有公司在采取行动，也不清楚IAM的含义是什么，但显然，我们都需要看看我们如何让用户根据该条例来管理其身份信息。预计在未来6个月到一年时间内，这种情况会出现明显的不同。

安全机会：尽管SOX、HIPPA、GLBA和其他监管计划没有消失(可能会改变，而不是被淘汰)，但它们不再是IAM计划资金的推动因素。这并不是说没有人问或者新规定不会发布。事实上，内部审计团队和应用程序所有者仍然需要承担繁重的访问重新认证流程。此外，其他需求也正在填补这个需求的减少，因此我们仍然看到IAM投资呈上升趋势。CISO仍然可依靠内部审计和业务部门利益相关者来推动和帮助IAM项目筹资。

5、联合的爆炸式发展

联盟和联合单点登录(SSO)现在是在应用领域提供SSO的标准机制。这些年以来，联合是最迅速采用的标准之一。而最近它发展到新的水平：它成为企业和应用程序的默认身份验证机制。这是因为SSO工具的普及和成熟、大型软件包中对SAML的本地支持以及SaaS应用的部署。

同样重要的是要记住，联盟合作关系已经成为非常简单的配置。在大多数SSO工具中，可通过类似向导的页面在几分钟内添加。通过少量的投资和测试，就可轻松地添加和更改这些连接。甚至有些公司允许企业用户在没有安全团队参与的情况下管理其应用的联合。

对于很多公司来说，联盟合作伙伴关系的数量和关键性变得不方便。五年前，一家公司可能有两个或者四个联盟合作关系，但现在有数百个，在相同端点有相同合作伙伴的副本，由不同业务部门使用。管理数百个配置非常具有挑战，因此，笔者一直建议公司在处理联盟合作关系时，与其他关键任务系统采用相同的管理控制。

安全机会：当一项技术达到这种部署水平和成熟度时，则可有机会取代较旧技术，并将联盟作为技术部署的SSO标准，以及管理SSO整合的变更控制流程。如果安全团队可实现这些目标，则可利用外包资源来管理这些配置。这可让核心安全团队更加关注更紧迫和复杂的问题。

虽然安全领域的很多变化让我们的生活变得更加困难，但IAM可帮助我们提高业务水平、改善用户体验和提高运营效率。