内容发布更新时间 : 2024/5/23 17:45:14星期一 下面是文章的全部内容请认真阅读。

IAM身份访问管理系统简介

Identity and Access Manager身份访问管理系统简介

概述

Identity and Access Manager身份访问管理系统（以下简称IAM）能够将企业网络环境中的应用系统、数据库、主机、网络设备和安全设备等资源的账号、认证、访问控制、审计工作进行集中化的整合，通过账号同步、强认证、授权、访问控制和单点登录等技术手段，将使用资源的用户和各种资源上的账号纳入统一管理之下。

IAM为企业提供统一的账号管理视角，对所有基于账号的管理、认证、授权、审计进行集中的统一管理，提高了账号管理的安全，帮助系统管理员提高了工作效率，降低了管理负担，同时改善了普通用户在不同资源中登录认证的重复繁琐过程，为日常工作提供了更高的安全性。

解决方案

企业账号管理最核心的问题是：目前普遍采用的是以应用或设备为中心的账号管理，认证、授权、审计全部是基于账号的模式，但是目前扁平授权的体系，使得账号与用户之间并无逻辑的关联，无法实现统一的认证、授权、审计以及账号管理。

要解决这个扁平授权的账号与用户脱离问题，我们需要安全管理平台完成的是人（自然人）与账号（资源）的分离，也就是自然人与各用系统的安全管理功能组成分离，新的横向模式是“人（自然人）→授权→角色→业务系统账号（资源）”，新模式下的有效的隔离，使得自然人的身份可以被集中管理；业务系统的账号可以被集中管理；提供统一登录门户以及强认证；集中管理对自然人的授权；自然人对资源的操作过程进行集中审计，使得用户与账号之间有机的建立逻辑联系。

平台总体架构图如下：

北京普安思科技有限公司

- 1 -

IAM身份访问管理系统简介

功能特点

? 集中账号管理

IAM可以为企业所有的资源使用人员如普通用户、系统管理人员、驻场代维人员、合作伙伴、临时工作人员等定义主账号，按照公司的组织方式对人员进行管理。通过一对一的主账号管理模式，可以在该平台实现对所有资源使用人员进行集中定义、集中维护等生命周期管理。示意图如下：

? 集中身份认证管理

用户登录IAM可以采用静态口令、动态口令、第三方认证平台（AD域、RADIUS等）

北京普安思科技有限公司

- 2 -

IAM身份访问管理系统简介

的用户身份认证方式。用户只有在成功的通过了认证之后，才能被IAM确认为唯一合法的身份，之后赋予其相应的资源访问权限。这样，用户的整个访问流程都被纳入IAM的管理和监控之中，提高了账号使用的安全性。

? 集中授权管理

IAM可以采用基于账号组、角色或岗位等方式为主账号进行集中授权，授权方式可以依据企业的需求或基于应用系统的授权模式来选择。示意图如下：

? 集中日志审计管理

IAM将用户在身份访问管理系统中的登录行为完整的记录下来，同时各类系统管理人员在资源中的系统维护操作也被完整记录下来，审计人员可以随时查看用户是否存在非法、越权操作，及时发现问题并采取措施，将安全隐患排除。对于那些已经发生的问题，管理员可以以回放的方式查看用户的所有操作，追究责任，并将用户对应的资源账号停用，阻止其继续操作。

北京普安思科技有限公司

- 3 -