IAM(Identity and Access Management 的缩写),即“身份识别与访问管理”,简称“大4A”,具有单点登录、强大的认证管理、基于策略的集中式授权和审计、动态授权、企业可管理性等功能。
IAM定义
IAM是一套全面的建立和维护数字身份,并提供有效地、安全地IT资源访问的业务流程和管理手段,从而实现组织信息资产统一的身份认证、授权和身份数据集中管理与审计。
身份和访问管理是一套业务处理流程,也是一个用于创建和维护和使用数字身份的支持基础结构。
通俗地讲:IAM是让合适的自然人在恰当的时间通过统一的方式访问授权的信息资产,提供集中式的数字身份管理、认证、授权、审计的模式和平台。
关键功能
单点登录 (SSO)
通过对跨多种不同Web 应用程序、门户和安全域的无缝访问允许单点登录,还支持对企业应用程序(例如,SAP、Siebel、PeopleSoft 以及Oracle应用程序)的无缝访问。
强大的认证管理
提供了统一的认证策略,确保Internet 和局域网应用程序中的安全级别都正确。这确保高安全级别的应用程序可受到更强的认证方法保护,而低安全级别应用程序可以只用较简单的用户名/密码方法保护。为许多认证系统(包括密码、令牌、X.509 证书、智能卡、定制表单和生物识别)及多种认证方法组合提供了访问管理支持。
基于策略的集中式授权和审计
将一个企业Web 应用程序中的客户、合作伙伴和员工的访问管理都集起来。因此,不需要冗余、特定于应用程序的安全逻辑。可以按用户属性、角色、组和动态组对访问权进行限制,并按位置和时间确定访问权。授权可以在文件、页面或对象级别上进行。此外,受控制的“模拟”(在此情形中,诸如客户服务代表的某个授权用户,可以访问其他用户可以访问的资源)也由策略定义。
动态授权
从不同本地或外部源(包括Web服务和数据库)实时触发评估数据的安全策略,从而确定进行访问授权或拒绝访问。通过环境相关的评估,可获得更加细化的授权。例如,限制满足特定条件(最小帐户余额)的客户对特定应用程序(特定银行服务)的访问权。授权策略还可以与外部系统(例如,基于风险的安全系统)结合应用。
企业可管理性
提供了企业级系统管理工具,使安全人员可以更有效地监控、管理和维护多种环境(包括管理开发、测试和生产环境)。
与4A关系
IAM原为北京普安思科技有限公司(PAS)的一款统一账号管理与访问控制系统,后经中国移动交流,在原有3A(认证、授权、审计)安全模型上加入了账号管理,形成了4A解决方案。
来源:https://www.cnblogs.com/idlturner/p/11039797.html