1. 介紹

身份管理是用於有效管理IT系統或應用中用戶相關數據的業務流程和技術的組合，管理的數據包括用戶對象、身份屬性、安全權限和認證因素等。

本文以跨系統和應用間的用戶身份及權限管理所面臨的潛在業務挑戰，引出身份管理組件的定義，也將在這些挑戰的背景下定義身份管理中的功能。

本文將按照如下順序進行闡述：

l 多種多樣的身份存儲

描述組織爲什麼需要在各種各樣的系統中管理用戶的數據。

l 跨應用間的身份及權限管理——挑戰

一步一步的解釋爲什麼在龐大的組織中管理用戶身份數據那麼困難。

l 相關技術——解決方案

不同的技術是怎樣簡化身份管理的流程和保證其安全性的。

l 身份管理——一個簡單的定義

基於前面提到的業務挑戰和相應的技術方案的描述，定義什麼是身份管理。

l 企業之外

身份管理技術可能很快地延伸單個企業的邊界。

l 結論

關於身份管理現狀的一些結論。

l 參考資料

從哪裏瞭解更多關於身份管理的信息。

2. 多種多樣的身份存儲

現在的企業往往都運行着錯綜複雜的IT基礎設施，包括：

l 用來共享文件和打印機的網絡操作系統

l 運行Web服務、數據庫和類似軟件的應用服務器

l 通常用來託管遺留應用程序的大型機和中型機

l Email和其他協作軟件

l 用來維護用戶及其他網絡對象的用戶目錄

l 人力資源、工資和承包商管理等系統

l 不同業務線的應用程序

l 客戶關係管理（CRM）和企業資源計劃（ERP）應用

l 電子商務應用

訪問這些系統的用戶多種多樣，其中包括：

l 員工

l 承包商

l 合作伙伴

l 供應商

l 客戶

幾乎每個系統和應用都會跟蹤自己的用戶，他們怎麼登陸的（比如，使用密碼），他們有哪些權限（比如，他們能夠看到什麼或者能夠做什麼）。比如用戶什麼時候被聘用的，什麼時候業務角色或者標識信息變更了，以及什麼時候離職，這些用戶相關的數據都必須管理起來。

每個系統都有自己的身份安全管理用戶界面、管理員和變更申請流程，這樣的結果就是複雜度增加。這不僅影響了IT運營，同一個真實用戶必須由不同的IT人員在企業基礎實施中的不同部分來進行管理，而且還影響了用戶，需要很長的時間才能完成變更請求，且用戶必須記憶多個登錄ID、密碼和每個應用的登錄流程。

這種複雜性不僅導致了較高的IT成本，較低用戶的工作效率，還導致安全風險的增加。

身份管理技術簡化了對這種分散式、重疊的且可能還相互矛盾的數據的管理。

3. 跨應用間的身份及權限管理——挑戰

本文中的“企業”簡單的指那些至少有數千內部用戶的中、大型的組織。

3.1.不同類型的用戶

廣義上來說，企業管理的用戶分爲兩類：

l 內部用戶：包括員工和承包商

內部用戶會花大量的時間從事與企業相關的工作。他們經常需要訪問多個內部系統且他們的身份數據相對來說也比較複雜一些。

l 外部用戶：包括客戶、合作伙伴和供應商

通常外部用戶比內部用戶數量多。外部用戶一般只訪問很少的一部分系統（比如：CRM、電子商務、退休福利等），而且訪問這些系統的頻率也不高。外部用戶的身份信息沒有內部用戶那麼詳細豐富而且也沒那麼準確。

我們通過一個示例來說明一下外部用戶和內部用戶的不同之處，以及它們是怎麼影響身份管理的：一個銀行中有15000名員工，5000名承包商和500000名的客戶。因此這個銀行的內部用戶包括員工和承包商，總共是20000名。

內部用戶可以登錄到網絡操作系統、公司內網、業務應用、公司主機，郵件系統和因特網網關等。他們的身份信息包括他們的職業以及很多的內部系統的登錄ID相關的數據。內部用戶訪問其身份信息的組件，特別是不同系統中的登錄ID，每天可能需要訪問多次。

外部用戶主要是現在及潛在的銀行客戶。他們的身份信息可能包括一到三個用於互聯網、電話和基於ATM的電子銀行的登錄ID和密碼。他們身份信息還包括諸如郵件地址和銀行賬號之類的客戶信息。外部用戶只是偶爾訪問他們的登錄ID。外部用戶提供的個人信息，比如姓名、家庭電話、郵件地址還不一定是準確的。

3.2.不同類型的身份數據

正如企業必須管理不同用戶類型的身份，企業也必須管理這些用戶不同類型的數據，包括：

l 個人信息：這包括姓名、聯繫方式，比如性別、生日這類人口統計數據。

l 法律信息：這包括企業與用戶之間的法律關係相關信息：社會保險賬號、報酬、合同、起始日期、終止日期等。

l 目標系統登錄憑證：在大多數系統中，登錄憑證就是一個登錄ID和密碼。可能還使用PKI證書進行身份識別，而可能會使用token、生物識別或一組用戶必須回答的私人問題來進行身份驗證。

3.3.身份生命週期

隨着企業部署越來越廣泛的IT基礎設施，管理這些基礎設施會越來越具有挑戰性，特別是管理用戶以及用戶的身份信息、安全權限。

圖1展示了企業管理跨越多個系統的大量用戶所面臨的一些挑戰

圖1 用戶生命週期管理挑戰

在圖中所示的用戶生命週期的每一個階段都存在一些業務挑戰：

1. 新員工入職：

a) 延誤和低效

新用戶需要快速投入工作中，因此爲新用戶設置訪問權限的任何延誤都會損失效率進而增加成本。

b) 申請及審批

IT人員需要確保合理的創建新賬號。這通常意味着要填寫紙質的申請單，然後再審覈和審批這些安全變更，比如新賬號的創建。這個審批流程可能難以使用，可能需要申請人和審批者花費過多的精力，並可能因此導致延誤。

c) 冗餘管理

用戶通常需要多個系統的訪問權限。一個新用戶可能需要一個網絡ID、Email郵箱、防火牆訪問和多個系統的登錄權限。這些賬號通常是由不同的管理員使用不同的工具來創建的，這種重複是昂貴和費時的。

2. 變更管理：

組織內的用戶經常變更角色和職責。他們可能還會變更身份屬性（如更改姓名、聯繫方式、部門和上級經理等）。這些變更會引發IT的工作，以調整用戶的身份信息和安全權限。

組織在管理已有用戶過程中同樣會面臨類似的挑戰：

a) 延誤：爲用戶重新分配權限時，浪費時間來等待IT處理他們的需求。

b) 變更申請：提交申請的方式笨重，且還需要花時間來對此進行審批

c) 冗餘管理：相似的變更通常需要在不同的系統上重複

3. IT支持：

在日常的系統使用過程中，用戶經常會遇到一些需要技術支持的問題：

a) 忘記密碼

b) 賬號被鎖定

c) 拒絕訪問錯誤

總的來說，這些問題通常佔IT服務檯呼叫量的很大一部分比例，這意味着導致直接成本（員工支持）和間接成本（用戶工作效率丟失）。

4. 終止：

所有用戶最終都會離開組織。當用戶離開時，需要可靠的流程來找到並移除他們的安全權限。這些流程必須是：

a) 可靠的：

如果組織不能撤銷已離開的用戶的訪問權限，這個用戶或者冒充他的入侵者可能會濫用基礎設施或者泄露敏感信息。

b) 及時的：

訪問權限終止一定要快，將利用上述漏洞的時間窗口最小化。

c) 完整的：

僅撤銷已離職用戶在主要系統的登錄ID是不夠的。每一個訪問權限都應該被收回，消除用戶在網絡內部濫用它們的可能性。

3.4.關鍵的身份挑戰

大多數企業的身份管理都會存在一些挑戰：

l 安全性：

用戶的權限是否準確的匹配了他們的需求？是否違反了組織的安全策略（比如職責分離）？不再需要的權限是否依然保留着？

l 一致性：

進入到不同系統的身份概要信息應該保持一致。這包括姓名、登錄ID、聯繫方式、終止日期等。事實上，每個系統都有自己的身份概要管理系統，使得這很難做得到。

l 高效性：

爲同一用戶設置不同的系統訪問權限工作是重複的。使用每個系統提供的工具來重複操作導致不必要的成本產生。

l 可用性：

用戶可能需要使用多個登錄ID、多個密碼通過多個登錄界面來訪問不同的系統。這種複雜性對用戶來說是繁重的，他們因此而經常碰到系統訪問的問題，影響用戶的工作效率並導致支持成本的增加。

l 可靠性：

用戶的身份數據應該是可靠的，尤其用來控制敏感數據和資源訪問的信息。這意味着用於在各系統更新信息的流程必須產生的數據必須是完整的、及時的和準確的。

l 可伸縮性：

企業管理着數量龐大的用戶羣的身份信息，可能是上萬的內部用戶和幾十萬的外部用戶。在該環境下使用的任意身份管理系統必須能夠伸縮以支持大量用戶產生的數據量和併發峯值。

4. 相關技術：解決方案

有幾種可以用來管理企業內的用戶身份數據的技術。一般情況下，這些系統專注簡化身份管理流程和一致的管理跨系統間的身份。

4.1.目錄服務

許多身份管理和訪問治理基礎設施的基石，是企業目錄。

目錄服務是一種網絡服務，用於管理用戶信息、組織和服務器、打印機這樣的IT資產。他們執行類似公用電話中的白頁或黃頁電話薄的功能，使網絡中的用戶能夠找到彼此的信息以及有關網絡服務的信息等。

大多數現代的網絡服務使用輕量級目錄訪問協議（LDAP）來進行訪問，它基於一種更古老、更強大也更復雜和沒那麼多流行的X.500協議。

目錄服務只是身份管理和訪問治理的起點，就其本身而言並沒有提供什麼價值。爲了獲得價值，組織還必須：

l 將目錄服務應用於他們的業務應用程序，以消除身份信息孤島。

l 通過有效的技術和業務流程來管理目錄服務中的數據。

主要的平臺供應商都提供了便宜、健壯且易擴展的目錄服務產品。這些包括：

l Microsoft Active Directory

l Novell eDirectory（構建在NDS基礎上）

l SUN ONE Directory（來自Netscape，後來叫iPlanet LDAP）

l IBM Directory（以前叫Tivoli Directory）

l Oracle Internet Directory（OID）

也有些開源的目錄服務產品，比如OpenLDAP、Red Hat Directory Server

4.2.元目錄

元目錄是在不同系統間同步用戶數據的引擎。大多數現代的IAG系統都包含一個元目錄，雖然它們可能並沒有標識出來。

元目錄的工作如下：

l 配置連接器連接至各個目標系統，以向它們讀取和寫入用戶身份數據

l 合併從被集成系統過來的數據流，來構建用戶概要信息的主數據庫。

l 如果主數據庫中用戶信息與低級別的目標系統不一致，目標系統會被更新以反映用戶的當前信息。

l 基於對系統中變更的監控，可能會向目標系統添加或從目標系統中刪除用戶。

元目錄通過將系統中的變化傳播至目標系統的方式簡化用戶管理，省去了手動更新。

由於元目錄不需要暴露用戶界面，也不會與用戶直接交互，因此可以將它當做一個嵌入在IAG基礎設施的一根“管道”。

4.3.Web訪問管理/Web單點登錄

Web訪問管理（WebAM）/Web單點登錄(WebSSO)系統用於對用戶訪問一個或多個web應用過程中的身份驗證和授權進行管理的中間件。它可以使本身不支持聯邦認證的系統和應用實現單點登錄。

WebSSO系統會在用戶瀏覽器初次訪問Web應用時進行攔截，要麼檢查用戶是否已經經過身份驗證（通常根據cookie跟蹤驗證狀態），如果沒有則重定向用戶到登錄界面。用戶可能會界面中使用密碼、token、PKI證書或其他方式來驗證自己的身份。

一旦驗證通過，系統的WebAM組件會控制用戶對應用程序的功能和數據的訪問。這可以通過過濾用戶可以訪問的內容（比如URL過濾器）來實現，或者暴露一個API讓應用程序實時判斷是否應向用戶顯示某些表單、字段或數據元素。

WebAM/WebSSO產品通常使用目錄服務作爲後端存儲庫來識別所有的用戶。他們通常會與“身份管理和訪問治理（IAG）”應用緊密集成，能夠對單個目錄服務的內容進行管理和自助服務管理。

聯邦認證則是一種比WebSSO更好的技術。

4.4.密碼管理

密碼管理是指系統和應用間密碼的同步和自助服務密碼重置的組合。

密碼同步是指能夠幫助用戶在多個系統中只維護唯一一個符合安全策略的密碼的任何流程或技術。

密碼同步是解決企業中密碼管理問題的一種有效的機制:

l 密碼同步後，用戶更容易記住他們的唯一密碼。

l 更簡單的密碼管理意味着因密碼相關的問題而呼叫服務檯的次數會減少。

l 每個用戶字需要一到兩個密碼，這樣用戶就不容易將密碼寫下來。

實現密碼同步有兩種方式：

l 透明的密碼同步，當密碼在一個普通的系統變更後（比如Active Directory），通過密碼管理系統自動的將更新傳播至其他系統或應用

l 基於Web的密碼同步，當用戶被要求一次性修改其所有密碼時，使用一個web應用而不是使用本地工具來一個個更改

自助服務密碼重置是指用戶在忘記密碼或者賬號被鎖定時，可以通過一個替代驗證的方式來自己解決這些問題，而不需要打電話請求服務檯支持的任何技術或者流程。

忘記密碼或者因觸發了入侵鎖定的用戶可以從其工作臺中啓動自助服務程序，或者使用自己或別人的瀏覽器，或者通過電話呼叫的方式，通過回答一系列私人問題或硬件token甚至生物特徵來解決問題，不需要他們使用本來就已經忘記了或已被禁用的密碼。用戶可以通過這種方式指定一個新的、未鎖定的密碼或者要求隨機生成一個密碼。

自助服務密碼重置加快了用戶問題出現後的解決速度，同時減少了服務檯的電話量。並且它還能確保這些密碼問題在是在經過強認證後才能得到解決，進而消除了服務檯處理方式的一個重要的弱點——社會工程攻擊。

4.5.企業單點登錄

用戶往往希望使用自己的ID和密碼登陸到一個主系統後，再訪問其他系統時能夠自動登錄而不需要再次輸入自己的ID和密碼。

大多數遺留系統和C/S系統不能夠採用Kerberos或SAML這樣的現代基礎設施來共享驗證。但是可以將用戶身份存儲在這些系統之外，然後在用戶進入應用提示登錄時自動輸入憑證並提交。

企業單點登錄（ESSO）系統只是做了：用戶登錄到保存了他在每個應用中的登錄ID和密碼的E-SSO應用。用戶通過E-SSO客戶端軟件運行這些應用時，E-SSO客戶端軟件會打開相應的程序，然後計算並向其發送模擬用戶輸入登錄ID和密碼的鍵盤擊鍵。

由於需要安裝客戶端軟件，因此E-SSO系統僅適用於內部用戶使用。

E-SSO系統在大型生產環境中實施的效果有限，有以下方面的原因：

l 部署和集成的成本

l 安全方面的考慮，SSO系統存儲了每個用戶在每個系統中的密碼

l 可用性方面的考慮，因爲如果SSO系統出現故障，整個用戶羣都會無法登陸到他們的系統，因此工作基本就停止了。

4.6.用戶供給

用戶供給系統是共享的IT基礎設施，用於拉動將分散存儲在各個系統和應用中的用戶屬性、安全權限到一個公共的基礎設施中管理。

用戶供給的目的是實現用戶創建和失效登錄ID、用戶主目錄、郵件文件夾、安全權限和相關項的管理更加快速、更便宜和更可靠。這通過自動化和編制的流程來實現的，比如入職、離職的流程，以及將這些流程連接至各個系統中。用戶供給系統通過一個或多個自動化流程來進行工作：

l 自動供給：

檢測某個系統（比如HR）產生了新的用戶記錄後，訪問其他系統或應用並自動推送用戶信息。

l 自動停用：

檢測權威系統上刪除或失效某個用戶後，自動在所有其他的系統或應用中停用這些用戶

l 身份同步：

檢測到某個系統中更改用戶的個人信息，比如電話號碼、部門編號等，自動在其他系統中爲同一用戶做相應的變更。

l 自助服務申請：

允許用戶更新他們自己的信息（比如新的電話號碼）和申請新的權限（比如訪問一個應用或共享）

l 委託管理：

允許管理人員、應用所有者和其他相關利益人在各自的職權範圍內修改用戶和權限。

l 獲得認可：

定期邀請管理人員、應用所有者在各自的職權範圍內審查用戶清單和安全權限，並標識不恰當的項目作進一步的審查和移除。

l 授權流程：

驗證所有提出的變更，不論其來源，並邀請企業的相關利益人在將它們集成到系統和應用之前進行審覈。

l 綜合報告：

提供有關多個系統和應用中的有哪些用戶，用戶有哪些權限，哪些是休眠賬號，哪些是孤兒賬號，以及它們的變更歷史這樣的數據。

同樣地，用戶供給系統必須能夠將這些流程連接至目標系統或應用，通過連接器可以：

l 列出現有的賬號和組

l 創建新賬號和刪除已有賬號

l 讀取和寫入用戶對象關聯的身份屬性

l 讀取和設置各種標誌，比如“賬號已啓用/禁用”、“賬號已鎖定”、“入侵者鎖定”等

l 更改已有賬號的登錄ID（即用戶重命名）

l 讀取用戶的組成員關係

l 讀取用戶組的成員列表

l 向用戶組添加成員和從中刪除成員

l 創建、刪除和設置用戶組的屬性

l 在目錄服務組織單元（OU）之間移動用戶

4.7.基於角色的訪問控制

基於角色的訪問控制（RBAC）是一種用來管理權限的方式，目的是降低安全管理的成本，確保用戶只有用恰當的權限，和及時的終止用戶不再需要的權限。

在單個系統或應用中，RBAC意味着將權限直接賦給某個角色，然後將用戶附在相應的角色上。用戶不是直接獲得權限的，而是通過角色成員來獲得的。在單個系統中，角色通常也稱爲安全組或者用戶組。

單個系統的RBAC是經過了時間考驗的成功的策略，他允許管理員對用戶和權限進行分組，並將相應的一組權限賦給用戶組的用戶，而不是直接將一個個權限賦給每個用戶。

身份管理和訪問治理沿襲並超越單個應用中的RBAC。IAM系統中的角色可能是一組跨越多個系統和應用的權限。角色的關鍵因素是用少量的業務人員能夠理解的角色代替很多技術權限。這樣業務人員就可以合理的確定哪些用戶應該具有什麼角色。這也隱式指定了用戶擁有哪些具體的技術權限。

角色包括權限——登錄賬號和安全組成員。角色經常是嵌套的，比如一個角色可以包含其他角色。通過角色嵌套可以降低管理的成本。

4.8.獲得認可

合規需求和安全策略日益要求組織對哪些人可以訪問企業的敏感數據及員工和客戶的個人信息保持有效的控制。

l 系統必須限制只允許正確的用戶在正確的時間內訪問。

l 組織必須能夠提供審計證據證明這些控制是到位並有效的。Sarbanes-Oxley法案第404條款明確規定管理層必須每年評估一次內部控制的有效性。

l 組織必須能夠報告目前或過去有哪些內部用戶訪問了敏感數據。

要滿足這些需求是很具挑戰性的，因爲用戶往往擁有獨特且不斷變化的業務職責，從而很難使用常規的角色和規則來有效的管理。

確立權限模型的複雜在於多種多樣的權限結合在一起，事實上隨着時間的推移，用戶積累的權限越來越多，但是他們很少主動要求IT終止舊的和不再需要的權限。用戶職責發生變更後，可能需要保留原來的權限作爲備份，但是很難預測用戶什麼時候不再需要以便安全的收回這些權限。

這些挑戰意味着很難對確定所有的權限模型，用戶需要在同一時間內訪問多個系統和應用，而且不太可能模擬成千上萬用戶長時間的在多個系統中的這些需求。

獲得認可是定期要求業務相關利益人審查用戶的權限，對合理的權限分配進行簽署，對可疑的權限進行標記以便刪除。

這裏有幾個組件可以用來獲得認可：

l 發現：

在權限被評審之前，必須從系統和應用中收集它們並映射至用戶。技術標識應該替換成易讀的描述以便審覈人能夠理解。由於權限一直處於變化中，因此這應該是定期進行和自動化的過程，而不是一次性的數據加載。

l 誰來執行審查？

可選項包括企業管理層——要求審查其下屬，應用程序或數據的所有者——要求審查誰可以訪問他們的應用程序和數據，或者安全管理員——要求審查權限中的高風險項。

l 什麼時候執行審查？

審查的頻率依權限問題所產生的業務風險程度而定。

l 審查哪些類型的權限？

最高級別的是審查企業的僱傭情況——問題用戶是否仍能訪問任何系統？稍微細粒度的就是審查角色——問題用戶是否依然擁有這些角色？粒度最細的就是審查基本的權限——問題用戶是否在該系統中擁有登錄ID或者是否屬於這個安全組？

l 哪些具體的權限應該審查？

不是每個權限都會導致重大的業務風險。比如，社交委員會郵件列表中的用戶成員就沒必要進行審查。根據每個權限可能造成的業務風險來決定是否進行審查和審查的頻率。

l 拒絕的權限會發生什麼？

審查者可能標註某個權限是不恰當的，這種情況下就應該採取一些措施。是否在IT問題系統中提高其處理優先級或者觸發連接器立即回收這個權限？是否應該在權限被審查之前進一步的審查？

5. 身份管理：一個簡單的定義

綜合以上內容，我們可以總結身份管理的一個包擴企業身份管理技術各種功能的簡單的定義：

身份管理和訪問治理是一個用來管理用戶相關信息的共享平臺和一致的流程，包括他們是誰，怎麼驗證他們以及他們可以訪問什麼。

6. 企業之外

身份管理可以延伸到單個企業之外：

l 客戶希望不需要反覆的驗證訪問多個Web站點

l 員工希望不需要重新註冊和重新認證就能夠訪問供應商的web資源

l 企業希望訪問並自動推送他們自己的用戶至合作伙伴和供應商的資源

身份聯邦使得不同域下的應用程序能夠共享用戶信息。

l 聯邦的站點必須有一些預先建立的關係，比如是貿易的雙邊或者同屬一個集團。

l 用戶相關信息的交換：

——身份：這個用戶是誰？

——驗證：這個用戶怎麼登錄進來的？什麼時候登錄的？

——授權：這個用戶可以做什麼？

l 聯邦認證支持在不同站點之間實現單點登錄：

——用戶首先登錄到一個站點（公司A）

——然後點擊進入另一個站點（公司B）

——站點A將用戶信息傳遞至站點B

——站點B不要求用戶提供他的ID和密碼直接進入

l 在某些部署模式下，聯邦可以減少一些用戶管理：

——站點B信任站點A操作它自己的用戶

——站點B不會爲站點A的用戶創建自己的對象

有一些用於聯邦認證的標準，其中包括安全斷言標記語言（SAML-V1和V2）和WS*Security。

爲了能實現預期效果，聯邦認證要求一個站點的軟件可以和另一個站點的軟件在身份、驗證和授權方面進行通信：

l 不同的組織使用不同的軟件產品來管理用戶身份、驗證、授權

l 不同的軟件產品依賴於標準的協議進行交互

l 有很多聯邦方面的標準：

——Liberty Alliance ID-FF和ID-WSF

——安全斷言標記語言（SAML）

——WS-Federation

——Shibboleth

l 標準是複雜的，不同的產品實現有所不同，所以產品之間可能並不100%兼容是合理的。

跟標準相關的問題太多太多了…

7. 總結

身份管理是一類旨在簡化企業內外的用戶身份管理的技術。它包括：

l 目錄服務，特別是使用LDAP

l 密碼管理

l 企業單點登錄

l Web訪問管理和Web單點登錄

l 用戶供給

l 聯邦認證

8. 參考資料

互聯網上很多用於在多個系統間進行身份管理的項目

——Liberty alliance：http://www.projectliberty.org/

——W3C P3P項目：http://www.w3.org/P3P/

——安全斷言標記語言（SAML）：http://www.oasis-open.org/committees/security/#documents

身份管理的定義