IAM 的定義和用途
無論員工在何處工作,他們都必須能存取應用程式、檔案和資料等組織資源。傳統的運作方式是讓大部分員工在現場工作,就能透過防火牆保護公司資源。員工從現場登入後,即可存取所需項目。
但如今混合式工作變得更常見,無論員工是在現場或遠端工作,都需要能安全存取公司資源的方式。這時候就需要使用身分識別和存取權管理 (IAM)。組織的 IT 部門需要一種方式來控制使用者能否存取的內容,這樣就能限制只有需要使用敏感性資料和功能的使用者和項目,才能存取這些內容。
IAM 讓經驗證的實體能安全存取公司資源 (例如電子郵件、資料庫、資料和應用程式),並且在理想的情況下,將干擾降到最低。其目標是藉由管理存取權,讓正確的人員可以做好工作,並拒絕像駭客這類不正確的對象進入。
需要安全存取的人不只有使用公司機器的員工,還包括承包商、供應商、商業合作夥伴,以及使用個人裝置工作的人員。IAM 會確保每個人員在正確的時間和機器上,應具有適當層級的存取權。根據這項原因,再加上 IAM 在組織網路安全性所扮演的角色,這個服務成為了現代 IT 中很重要的一環。
有了 IAM 系統,組織就能快速準確地驗證人員身分,也可以在人員每次試圖使用所需資源時,驗證他們是否具有必要的存取權限。
IAM 的運作方式
授與組織資源安全存取的方式可分成兩個部分:身分識別管理與存取管理。
身分識別管理會檢查對身分識別管理資料庫的登入嘗試,該資料庫會持續記錄應有存取權的每個人。隨著人員加入或離開組織、角色與專案改變和組織規模演變,這項資訊必須持續不斷地更新。
這類儲存在身分識別管理資料庫的資訊包括員工姓名、職稱、主管、直屬員工、行動電話號碼和個人電子郵件。比對某人的使用者名稱與密碼等登入資訊與其在資料庫中的身分識別就稱為驗證。
為了增加安全性,許多組織會要求使用者使用稱為多重要素驗證 (MFA) 的方法來證明其身分識別。MFA 又稱為雙向驗證或雙重要素驗證 (2FA),比只使用使用者名稱和密碼增加了更多安全性。這會在登入程序中增加一個步驟,讓使用者必須透過替代驗證方法來驗證其身分識別。這類驗證方法包括行動電話號碼和個人電子郵件。IAM 系統通常會傳送一次性代碼到替代驗證方法中,使用者必須在一定的時間內在登入入口網站輸入該代碼。
存取權管理是 IAM 的第二部分。在 IAM 系統驗證試圖存取資源的人員或項目與其身分識別相符後,存取管理會持續追蹤該人員或項目擁有哪些資源的存取權限。多數組織會授與不同層級的資源和資料存取權,而且這些層級是由職稱、年資、安全性許可和專案等因素所決定。
在使用者的身分識別經驗證後,將正確的存取層級授與對方,就稱為授權。IAM 系統的目標是確保每次發生存取嘗試時,都能執行正確安全的驗證和授權。
IAM 對組織的重要性
IAM 對於網路安全性相當重要,其中一個原因是 IAM 能協助組織 IT 部門取得正確平衡,限制多數人無法存取重要資料和資源,但仍讓部分人員可以存取這些項目。IAM 讓組織可以設定授與員工和裝置的安全性存取控制,同時讓外人難以或完全無法進入。
IAM 很重要的另一個原因是,網路罪犯使用的手法每天都在演進。網路釣魚電子郵件這類精心策畫的攻擊,是發生入侵和資料外洩最常見的來源之一,而且這種攻擊會鎖定使用者現有的存取權。如果未使用 IAM,組織就難以管理存取其系統的人員或項目。這些外洩和攻擊可能相當猖獗,因為組織不僅難以找出具有存取權的對象,要撤銷遭入侵的使用者存取權更是困難。
雖然沒有完美的保護方法,但 IAM 解決方案是預防攻擊和將攻擊影響降到最低的最佳方式。在發生外洩事件後,許多 AI 支援的 IAM 系統會在產生更嚴重的問題前偵測和阻止攻擊,而不是限制所有人的存取權。
IAM 系統的優點
合適的 IAM 系統能為組織帶來諸多優點。
給與正確的人員適當的存取權
IAM 系統能夠建立和強制執行集中式規則和存取權限,就能更輕鬆確保使用者能存取所需的資源,而不會存取不需要的敏感性資訊。這就稱為角色型存取控制 (RBAC)。RBAC 是一種可調整的方法,能限制只有需要存取權來執行其角色的人員能夠存取。角色可以根據一組固定權限或自訂設定來指派。
徹底發揮生產力
生產力和使用者體驗的重要性不亞於安全性。雖然實作複雜的安全性系統來預防入侵可能很吸引人,但因採用多次登入和密碼而對生產力設下多道障礙,也會帶來惱人的使用者體驗。單一登入 (SSO) 和整合式使用者設定檔這類 IAM 工具就能授與員工多種通道 (例如內部部署資源、雲端資料和協力廠商應用程式) 的安全存取權,無須多次登入。
資料入侵防護
雖然沒有任何安全性系統絕對有效,使用 IAM 技術能大幅減少資料遭入侵的風險。MFA、無密碼驗證和 SSO 這類 IAM 工具讓使用者除了使用可能會忘記、遭分享與駭入的使用者名稱和密碼以外,還能以其他方式驗證身分。IAM 解決方案能為登入程序增加不易遭駭入或分享的額外安全性層級,藉此擴展使用者登入選項並降低風險。
資料加密
IAM 能有效提升組織安全性,其中一個原因是許多 IAM 系統提供加密工具。這些工具能保護傳入和傳出組織的敏感性資訊,而像是條件式存取等功能可讓 IT 系統管理員設定裝置、位置或即時風險資訊等條件項目為存取的條件。這表示資料即便遭遇外洩事件也能保持安全,因為只有在經驗證的條件下才能解密資料。
減少 IT 的手動工作
IAM 系統可將許多工作自動化,例如協助人員重設密碼、解鎖帳戶和監控存取記錄以識別異常狀況等等,藉此節省 IT 部門的時間和心力。這能讓 IT 部門獲得更多可自由運用的時間,並專注在其他重要的工作上,像是為整個組織實作零信任策略。IAM 對於零信任而言至關重要,而零信任是建立在明確驗證、使用最低權限存取權和假設外洩準則之上的安全性架構。
改善共同作業和效率
員工、廠商、承包商、供應商之間能順暢進行共同作業,就是跟上現代工作步調的關鍵。IAM 藉由確保能安全、快速和輕鬆地進行共同作業,來予以實現這種步調。IT 系統管理員也可以建立角色型自動化工作流程,加速轉換角色和僱用新員工的權限程序,就能節省入職時間。
IAM 和合規性法規
如果沒有 IAM 系統,組織就必須手動追蹤擁有其系統存取權的所有實體,以及這些實體使用該存取權的方式與目的。這讓手動稽核變成費時費工的程序。IAM 系統會自動化此程序,並提升稽核和回報的速度,讓過程更簡單。在稽核期間,IAM 系統能讓組織展示敏感性資料存取權已受到妥善管理,這是許多合約與法律的必要項目。
稽核只是符合特定法規要求的項目之一。許多法規、法律與合約都要求要有資料存取管理和隱私權管理,而這正是 IAM 的設計要點,可派上用場。
IAM 解決方案能驗證和管理身分識別、偵測可疑活動並回報事件,這些對於滿足認識您的客戶、可疑活動報告的交易監控和紅旗規則等合規性要求而言是必要條件。歐洲的一般資料保護規定 (GDPR)、美國的健康保險流通與責任法案 (HIPAA) 和沙賓·歐克斯法案等資料保護標準等等也會要求嚴格的安全性標準。擁有合適的 IAM 系統就能輕鬆滿足這些要求。
IAM 技術和工具
IAM 解決方案會整合各種技術與工具,來協助在企業規模上實現安全驗證和授權:
- 安全性聲明標記語言 (SAML) – SAML 實現 SSO。使用者成功經過驗證後,SAML 會通知其他應用程式該使用者是驗證過的實體。SAML 很重要的原因是能在不同作業系統和機器上執行,就能夠對各種環境授與安全存取。
- OpenID Connect (OIDC) – OIDC 為 0Auth 2.0 (一種授權架構) 新增身分識別的層面。這會在識別提供者和服務提供者之間傳送包含使用者資訊的權杖。這些權杖可以加密,並包含像是名稱、電子郵件地址、生日或相片等使用者資訊。權杖便於服務和應用程式使用,讓 OIDC 有助於驗證行動裝置遊戲、社交媒體和應用程式使用者。
- 跨網域身分識別管理系統 (SCIM) – SCIM 會協助組織以標準化的方式,在各種應用程式和解決方案 (提供者) 管理使用者身分識別。
提供者對使用者身分識別資訊有不同的要求,而 SCIM 能在與提供者整合的 IAM 工具中為使用者建立身分,讓使用者無需建立其他帳戶就擁有存取權。
實作 IAM
IAM 能影響所有部門的每一個使用者,因此在實作前訂定完善的計畫對於成功部署 IAM 解決方案而言相當重要。計算需要存取權的使用者人數,並匯編組織使用的解決方案、裝置、應用程式和服務清單是良好的開端。這些清單有助於比較 IAM 解決方案,以確保這些解決方案與組織現有的 IT 設定相容。
接下來,您必須規劃 IAM 系統將會需要因應的不同角色和狀況。此架構將成為 IAM 系統的結構,並建立 IAM 文件的基礎。
實作 IAM 要考慮的其他層面是解決方案的長期藍圖。隨著組織成長和擴展,對於 IAM 系統的需求也會改變。事先為此成長做好規劃就能確保 IAM 解決方案與業務目標保持一致,並且是為長期成功而設定。
IAM 解決方案
隨著對於安全存取跨平台和裝置上資源的需求成長,IAM 的重要性變得更明確和必要。組織需要有效的方式來管理企業規模的身分識別和權限,以促進共同作業並提升生產力。
實作能融入現有 IT 生態系統的 IAM 解決方案,並使用 AI 等技術協助 IT 系統管理員監控和管理整個組織的存取權,是加強貴組織安全性態勢的最佳方法之一。若要了解 Microsoft 能如何協助您保護任何應用程式或資源的存取權、保護並驗證所有身分識別、提供最必要的存取權,並簡化登入程序,請探索 Microsoft Entra 和其他 Microsoft 安全性解決方案。
深入了解 Microsoft 安全性
常見問題集
-
身分識別管理與管理協助驗證使用者身分識別的屬性有關。屬性會儲存在身分識別管理資料庫中。屬性的範例包括名稱、職稱、指派的工作場所、主管、直屬員工,而系統可以使用一種驗證方法來驗證對方的真實身分。這類驗證方法包括行動電話號碼和個人電子郵件。
存取權管理在驗證使用者的身分識別後,可以控管使用者所擁有的存取權。這些存取控制的依據可能是角色、安全性許可、教育程度或自訂設定。
-
身分識別和存取權管理是用於確保只有正確的人員能存取組織資料和資源。這種網路安全性做法讓 IT 系統管理員能限制組織資源的存取權,只有需要存取的人員才擁有存取權。
-
身分識別管理系統是一種資料庫,會儲存需要存取組織資料和資源的人員與裝置識別資訊。資料庫儲存的屬性包括使用者名稱、電子郵件、電話號碼、主管、直屬員工、指派的工作場所、教育程度和安全性許可層級。這些屬性是用來協助驗證使用者的真實身分。身分識別管理系統應隨著人員加入或離開公司、角色改變和專案的開始或結束,而持續不斷更新。
-
身分識別和存取權管理軟體提供工具協助組織驗證嘗試登入的人員和裝置身分,並確保經驗證的使用者能存取正確的資源。這是一種驗證識別碼、管理存取和標記安全性缺口的集中式方式。
-
IAM 是重要的雲端運算元件,因為使用者名稱和密碼的強度已經不足以保護組織安全並防止資料外洩。密碼可能會遭到入侵、分享或遺忘,而且有許多組織的規模龐大到不可能手動管理並監控存取嘗試。IAM 系統能將身分識別屬性維持在最新狀態、根據角色授與並限制存取權,並標記異常狀況和安全性漏洞,讓您輕鬆維護安全性。
追蹤 Microsoft