IAM白皮书

1 2（试读本） 3@2021云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 4致谢云安全联盟大中华区（简称：CSAGCR）IAM工作组在2020年5月成立。由戴立伟担任工作组组长，工作组专家来自微软、华为、中国移动、奇安信、启明星辰、天融信、碧桂园、Okta、龙湖集团、竹云、万物安全、联软科技、易安联、星展银行、oyo酒店、德勤等二十多个单位。本白皮书由CSA大中华区IAM工作组专家撰写，感谢以下专家的贡献：组长：戴立伟贡献者名单：于继万，朱璐，江澎，张帆，董明富，于乐，谷雨，常官清，张彬，谢琴，李慧，杨清公，赵呈东，程伟强，郭晓锋，JasonHuang，伏明明，郑彬，黄超，徐阳，周潮洋，丁元东，史晓婧，张智，黄恒华，滕伟，孟茹贡献单位：竹云，华为，中国移动，奇安信，绿盟，天融信，格尔软件，启明星辰，易安联，安讯奔，美云智数研究助理：朱晓璐（以上排名不分先后）关于研究工作组的更多介绍，请在CSA大中华区官网（https://c-csa.cn/research/）上查看。如本白皮书有不妥当之处，敬请读者联系CSAGCR秘书处给与雅正!联系邮箱：info@c-csa.cn；云安全联盟CSA公众号： ©2021云安全联盟大中华区-版权所有5序言IAM（IdentityandAccessManagement，身份与访问管理）致力于确保组织中的人、设备等在日益复杂的技术环境中合理访问资源，是保障信息系统高效连接，人员、设备访问安全，以及实现组织数字化转型目标的核心基础设施，并用于满足日益严苛的合规性要求。对于企业、政府等组织而言，IAM都是一项非常关键的职能。它与业务紧密保持协同，使能组织在支持新业务计划方面变得更敏捷，因此对IAM技术开展研究非常必要。随着数字化技术的深入应用以及国内外政策法规的不断完善，IAM技术历经从单一功能模块到全面数字身份治理体系的发展历程，业务场景不断延伸，在智慧城市、数字政府以及各行业数字化转型中均具备丰富的应用场景。云安全联盟大中华区依据IAM技术的发展和应用编制了此白皮书，此白皮书结合各行业与国内外IAM发展状况，对IAM发展历程、核心能力包含身份管理、访问控制与权限管理、合规审计、风险管控等以及现代增强型IAM技术的演进路线进行了详细介绍。同时针对IAM在云计算、物联网、零信任等技术领域的落地场景以及IAM在相关行业的应用场景和实践案例进行了重点解读和分析。借此白皮书抛砖引玉，我们与行业专家共同探讨IAM的发展趋势，为相关从业者提供指导。李雨航YaleLiCSA大中华区主席兼研究院院长 ©2021云安全联盟大中华区-版权所有6目录致谢..................................................................................................................................................4序言..................................................................................................................................................51介绍..............................................................................................................................................81.1目标读者..........................................................................................................................82系统概述......................................................................................................................................92.1身份管理和访问控制发展行业背景..............................................................................92.2什么是IAM....................................................................................................................142.3Identity、Authentication、Authorization、Audit的定义和关系及与IAM的联系...142.4IAM的核心能力.............................................................................................................172.5IAM发展历程及趋势.....................................................................................................193身份管理...................................................................................................................................213.2身份识别服务................................................................................................................253.3用户分类管理................................................................................................................263.4用户全生命周期管理....................................................................................................293.5用户信息存储................................................................................................................323.6用户的同步和回收能力................................................................................................423.7密码管理........................................................................................................................453.8特权账号管理说明........................................................................................................463.9身份管理的其他业务特征............................................................................................504登录认证...................................................................................................................................514.1身份信任的概念及模型................................................................................................514.2认证类型及MFA...........................................................................................................535访问控制与权限管理...............................................................................................................945.1访问控制模型说明........................................................................................................945.2权限管理要素和系统设计..........................................................................................1125.3常见云原生权限策略说明..........................................................................................1185.4数据权限管理方式（如通过API网关完成鉴权）..................................................1245.5权限定编定岗..............................................................................................................126 ©2021云安全联盟大中华区-版权所有75.6权限合规与互斥..........................................................................................................1285.7权限定期审阅..............................................................................................................1315.8权限挖掘.............................................................................................................