当前位置:首页 > 业界动态 > 正文

身份管理:管理身份生命周期

身份管理:管理身份生命周期

本文内容

有一些用于管理组织中的身份的解决方案和策略,并且拥有适当的控制措施至关重要。

达伦·马-埃利亚

改编自“使用 Active Directory 身份生命周期管理保护关键数据”(实时发布)

最终管理身份就是管理对公司资源的访问。 用户使用其身份对资源进行身份验证,然后使用该身份的属性(例如组成员身份)来获得对资源的授权访问权限。

在典型的大中型组织中,您可能会发现以下身份源:

所有这些标识符都存储当前的挑战。 每个事件都需要自己的配置事件(和取消配置事件),这些事件通常需要不同的数据存储:目录、数据库、平面文件,或者在某些情况下,专有格式。 每个都有自己的授权机制和一组独特的授予访问权限的方法。

Windows 使用安全组,Oracle 数据库使用内置自定义角色,其他 LOB 应用程序使用不同的机制。 最近,SaaS 应用程序变得越来越普遍,这意味着您现在需要提供对内部和外部应用程序的访问。

重要的是不要模糊身份验证和授权之间的界限。 某些产品可以集成到 Active Directory 中进行身份验证(例如,通过 Kerberos),但仍然保留自己的授权机制,不直接利用 Active Directory 的安全组等。这种混合集成可能会或可能不会帮助您的混合过程。

这种身份存储组合增加的复杂性在于确保将适当的用户配置到您的环境中,并在时机成熟时取消配置。 它还增加了重要的生命周期管理,因为如果不使用通用框架将身份全部编织在一起,那么很容易“迷失”身份。 许多组织拥有的身份比系统中存储的用户还要多。 当被问及为什么会这样时,答案通常是这样的:“哦,那些是不再在这里的老用户”。 这种糟糕的身份管理是未经授权的访问、菜谱审核失败或两者兼而有之。

降低身份存储库

如果您所在的组织拥有各种身份存储库,您就已经知道您的工作的各个方面都在一个统一的框架内管理这些身份。 但还有一点需要考虑。 一种选择是通过找到一个可以折叠其他独立系统的通用身份系统来减少身份存储库的数量。 Active Directory 正日益成为更多系统和应用程序的通用身份系统。

有一些第三方产品和内置产品可让您使用 Active Directory 作为 Linux、Unix 和 Mac 的主要身份验证机制。 这些解决方案通常利用 Active Directory 作为这些系统的 Kerberos 身份验证领域,其方式与 Windows 系统在这些操作系统中使用可插入身份验证模块 (PAM) 架构的方式非常相似。

事实上,通过许多此类机制,您可以将 Linux、Unix 或 Mac 计算机“加入”Active Directory,就像 Windows 台式计算机或服务器一样。 您现在可以使用 Active Directory 帐户对用户进行身份验证,并最终授权他们使用 Active Directory 组获取 Unix 资源,而不是使用本地帐户登录 Unix 或 Linux 系统。

在这些非 Windows 机器上,任何使用 PAM 对用户进行本地帐户身份验证和授权的应用程序现在都可以使用 Active Directory 集成来支持 Active Directory 帐户身份验证和授权。 同样,这将取决于应用程序,但这意味着一旦与底层操作系统集成,您就可以“免费”获得一些 Active Directory 集成。

此外,许多第三方应用程序和应用程序平台支持使用某种形式的 Active Directory 进行身份验证和授权,包括打包应用程序,例如 Oracle 公司和 IBM 公司的 SAP 和 Java Web 应用程序服务器。 甚至 Oracle 数据库也使用各种集成方法支持 Active Directory,从与 Oracle LDAP 目录服务的集成到与 Kerberos 身份验证和授权的集成。

地位优势

无论您使用哪种方法,尝试减少必须纳入身份管理生命周期的身份存储库数量都有明显的优势。 如果 Active Directory 可以将您的许多业务应用程序和系统整合到这一点,您就可以专注于配置和取消配置 Active Directory 的任务。 因此,从内部和外部系统和应用程序取消配置大多数用户的任务可以变成在 Active Directory 和其他几个地方禁用用户帐户的简单问题。

从组织的人力资源系统开始进行身份识别的情况并不罕见。 然后,该系统从身份存储中推出其他身份要求,例如 Active Directory 或特定于应用程序的身份存储。 它通常做的是一个正式的配置和取消配置系统在各种连接的系统上执行这些类型的更新 - 保持身份同步,并在用户离开组织时将其从所有连接的系统中删除。

此类解决方案可能有自己的目录服务,其中聚集了来自连接系统的所有数据。 这通常称为元目录。 解决方案可能只是跟踪连接系统之间的映射,映射到另一个系统中的关键字段。

此映射的目标是找到身份存储中唯一标识用户的字段。 这可确保 Active Directory 中的 John Smith 与 HR 刚刚聘用的 John Smith 相同,并且该特定应用程序下的身份访问相同的 John Smith 元目录存储。 当 John Smith 离开组织时,他的用户 ID 会一次性从 HR 系统、Active Directory 和特定于应用程序的存储中禁用。

降低风险

这就是身份生命周期管理在实际上相当大的系统中变得重要的地方。 现实世界的构建系统会跟踪您组织中的人员以及因数据丢失、监管风险和对业务影响等原因有权访问的人员。

**数据丢失:**毫无疑问,大多数处理私人信息(例如客户数据)的企业面临的最可怕的风险之一是信息的无意丢失。 如今,任何相当大的组织都面临着多种可能的数据丢失途径:从员工与客户一起外出到管理和敏感财务信息列表,到在机场休息室的未加密笔记本电脑上的 USB 密钥被盗。 其中一些场景是可以通过适当的工具和程序来预防的,但到目前为止,您可能犯的最严重的错误是因为某人具有错误的访问级别或对本应在很久以前就已删除的数据丢失的系统的访问权限。

这些计划很糟糕,因为它们都是可以预防的,具有凝聚力的身份计划专注于确保每次用户进入、更换工作或离开组织时良好的流程和良好的自动化到位。 在当今的互联网世界中,丢失数据尤其糟糕,因为公司的在线声誉及其保留或丢失客户数据的能力可能会直接影响其利润以及客户的信任程度。

良好的身份管理计划在数据丢失时有何帮助? 很简单——如果您对系统有良好的控制,并且有良好的流程来通过仅授予用户完成工作所需的数据的访问权限来对用户进行身份验证,那么错误数据落入坏人之手的机会将会大大减少。

这一挑战中最令人担忧的部分是威胁形势正在迅速变化。 Verizon 最近委托编写的一份数据泄露报告表明,虽然外部组织的攻击仍然是数据丢失的主要媒介,但来自不良系统安全性和有组织的内部欺诈活动导致的无意错误的内部威胁是一个主要问题。

事实上,Verizon 的调查显示,绝大多数由“普通”用户发起的内部威胁都无法访问,这是对实施明确控制措施的认可。 因此,对访问的数据和系统进行良好的控制可以对防止数据丢失和内部用户进行恶意活动产生重大影响。 仅当您拥有可以提供和正确访问权限的系统时,例如,当您拥有一个配置系统,可以根据用户的本地业务功能级别(其中识别了用户的授权级别)来识别正确的用户时,这些控制才可能实现。

**监管风险: **数据丢失风险 组织受到政府监管而带来的风险。 萨班斯-奥克斯利法案 (SOX)、健康保险流通与责任法案 (HIPAA)、支付卡行业 (PCI) 等法规在保护客户和非公共数据方法方面都有不同程度的明确规定。

所有这些规定的任务都必须保护这些数据。 如果未能保护此类数据,将面临巨额罚款并可能产生刑事后果。 如果您的组织可能有此类法规,并且您没有可靠的计划来满足与您的要求相关的各种数据泄露风险,那么您就会遇到麻烦。 除其他控制措施外,制定可靠的身份管理计划可以帮助您更好地控制谁正在访问您的系统。

**业务影响:** 除了数据丢失和合规性风险之外,良好的身份管理还可以提高系统可用性并减少业务影响。 身份管理系统控制对业务数据和应用程序的访问,而不仅仅是系统。 通过身份管理系统实施系统授权的“最小权限”方案,以便只有管理员才能访问他们负责的服务器资源,这将大大有助于防止不必要的服务器停机。

您要不惜一切代价避免管理员拥有比其角色更多的权利,在错误的时间对错误的服务器进行更改并导致您的业务系统瘫痪。 有无数的轶事表明,拥有 Active Directory 域管理访问权限的管理员(基本上是对 Active Directory 中大多数对象的读写不受限制的访问权限)意外删除了关键应用程序的服务。 帐户,或无意中将对象从一个组织单位 (OU) 向下移动。

这可能会导致不同的组策略应用于 OU,并随后改变它们的行为。 这些示例中的任何一个都足以导致重大中断,可能只是因为有人在配置用户帐户并授予该用户超出其需要或有能力处理的权限时没有遵循策略。

组策略是另一个成熟的领域,可以建立一个良好的系统来控制谁可以访问和进行更改。 组策略更改可能会对组织产生巨大影响。 这些类型的更改受益于确保严格控制委托模型缠绕策略。 这通常涉及确保正确的 Active Directory 组中的正确用户能够修改组策略对象。

已授予许可

所有这些访问问题的底线是,拥有一个良好的身份管理系统(具有资源配置和更新用户帐户及其适当组和其他授权的标准流程)有助于确保正确的用户可以访问正确的资源。

请记住,“来”进行实际资源分配的资源不属于用户资源供应过程的一部分。 然而,正确利用您的身份是配置过程的重要先决条件。

Darren Mar-Elia 是 Microsoft 组策略 MVP、流行的组策略网站 gpoguy.com 的创建者以及《Microsoft Windows 组策略指南》(Microsoft Press,2005 年)的合著者。他也是 SDM 的创始人兼 CTO软件

有关此内容和其他发布者实时标题的更多信息,请查看实时发布者。

相关内容

0
收藏0

最新文章

随机文章

取消
扫码支持支付码