IAM即Identity and Access Management (身份识别与访问管理),是一套全面建立和维护数字身份、提供安全有效IT资产访问的业务流程和管理手段,其通过集成、高效、统一的管理模式和技术框架,运用标准化的身份识别和访问管理,控制用户使用正确的方式从统一的入口访问资源。
IAM领域技术经过数代演进,已较为成熟。与传统3A、4A相比,IAM涉及整个公司的资源协调,适用于企业所有人员、资产、应用的账号管理,主要涵盖:账号集中管理、统一身份认证、细粒度授权、账号全生命周期管理、标准化服务流程与安全审计。
SiCAP开放式安全管理平台,基于IAM技术,将访问请求与请求资源分开,通过统一身份、访问管理来增强对用户的访问控制,可管理多个系统的用户身份信息和访问权限,并提供单点登录(SSO),实现多个系统之间身份信息共享,为客户构建了统一身份认证管理系统,对用户进行全生命周期管理,实现了:
(1) 账号集中管理:对人员、资产、应用的账号进行集中管理,构建统一组织账号信息
(2) 统一身份认证:支持静态口令、动态口令牌(短信口令、手机令牌、数字证书、Radius口令、LDAP口令、AD域口令)等多种认证方式及双因素认证;根据安全要求,不同用户可设置不同认证方式
(3) 细粒度授权管理:
① 支持基于账号-角色-权限的管理方式进行细粒度权限控制
② 支持人员、资产、协议、端口的细粒度权限分配
③ 支持多种授权的SSO单点登录操作和使用
(4) 服务流程:
① 支持账号自主注册,且提供入职、离职、权限申请、调岗、工作移交等业务流程自主申请
(5) 安全审计:
① 支持账号的多维度统计(可用性、弱口令、账号过期、密码过期、多余账号、权限变更、不活跃)
② 支持定期账号稽核与结果核查
③ 提供完善的日志审计,方便追踪溯源