IT一直在不斷發展，企業運作和交互方式也正以前所未有的速度發生變化?，F在，是時候對你的身份和訪問管理策略進行評估并邁向現代化了。

現在通過不同應用和API連接到企業網絡的用戶數量和設備日益增長，同時，隨著物聯網的發展，設備類型也正在呈爆炸式增長。

這讓安全團隊一直處于不利地位，他們艱難地控制著誰以及什么設備可訪問網絡資源，而攻擊者卻可以輕松繞過其他安全控制--因為他們擁有竊取的有效身份和登錄憑證。這使得身份成為關鍵數字資產，身份安全則成為多層防御戰略的核心。很多企業已經嘗試使用現有的身份和訪問管理(IAM)系統來應對這些變化，但這導致身份信息擴散以及安全控制被弱化，造成無托管身份的混亂環境。這是因為很多身份和訪問管理策略已經過時，因此，企業應該作出調整，開發更長期的解決方案。

IAM的基本作用是將環境中所有活動與特定用戶或設備相關聯，并對這些活動進行報告。現在的現實是，如果企業想要保持競爭力，現有的身份和訪問管理已經不夠;IAM還必須處理身份聯合和單點登錄(SSO)，以便可輕松管理和配置大量用戶及設備。而目前很多身份和訪問管理策略仍然是圍繞內部系統，這無法應對移動應用和面向客戶的服務，用戶需要隨時隨地快速方便地訪問任何設備。即使安全團隊認識到身份是新的安全邊界，他們仍然難以平衡用戶需求和安全要求。

如果企業選擇整合額外的身份和訪問管理產品到現有內部部署工具，這也很難確保效率或者安全性?，F在的設備、應用和網絡都支持不同的協議，這種方法會導致內部身份管理解決方案“分裂”，沒有對身份的集中控制。主要的問題是它需要對訪問進行手動和耗時配置和取消配置，這里出現錯誤和遺漏的話，可能會讓用戶感到沮喪、生產效率降低以及數據泄露等。

身份控制層要點

數字化轉型成功的關鍵是向員工、合作伙伴和客戶提供快速方便地聯合身份服務。這意味著現代身份和訪問管理戰略需要SSO(在一個域名中的實體身份可用于另一個域名對相同實體的身份驗證)、集中配置和取消配置。同時，它還必須建立在開放標準之上，為數百萬用戶和設備提供多因素和情境感知身份驗證、可自助服務且具有可擴展性。

目前企業需要管理多種IT資源，當涉及身份管理時，企業需要使用多種身份驗證協議。這種做法的目的是限制處理不同設備和協議類型所需組件數量。這可減少所需不同工具和專家的數量，還可減少不同供應商控制不足夠重疊導致出現缺口的情況。

多年來涌現出很多IAM相關標準和協議。桌面應用通常使用輕量目錄訪問協議(LDAP)，而基于Web的應用通常使用安全斷言標記語言(SAML)或者開放式身份驗證(OAuth)，Windows應用通常使用Kerberos。其他標準包括Central Authentication Service、OZ協議、CoSign協議、WS-Fed、JSON Web Token和OpenID Connect(OIDC)。盡管部署SSO有很多選擇，但可幫助卡法人員在應用和身份提供商之間實現安全無縫集成并不是很多。SAML、OAuth和OIDC正在獲得開發人員的追捧--Ping Identity公司報告顯示49%的受訪公司使用OIDC，但移動和物聯網(IoT)要求更難以部署，這主要因為資源和通信限制以及缺乏有關如何安全地在特定身份提供商平臺進行身份驗證的權威指南。

IoT對身份和訪問管理策略意味著什么

SSO是人類需要的基本功能，因為它可避免密碼的很多缺點。IoT設備并不一定需要SSO帶來的便利，但設備之間的關系非常重要。那些用于多個域名中的設備需要身份及關系管理，因此，只能支持一個域名的IAM無法確保IoT設備的全面身份管理。而通用自啟動架構和身份管理系統等用于處理IoT的技術可幫助減少在設備生命周期內維護身份和關系的復雜性。云安全聯盟在其《物聯網身份和訪問管理》報告中甚至提到，企業應該評估新的身份關系管理技術來替換傳統IAM。

在可預見的未來，CISO將需要在其身份和訪問管理策略中涵蓋多協議環境，因此，最好的辦法是確定必須支持哪些協議，并采用支持這些協議的單一身份管理解決方案。這將確保安全性和一致性，提高用戶生產效率，并節省成本。

然而，構建這種IAM基礎設施超出大多數企業能力范圍，并需要對硬件和人員的巨大投資，這在大多數情況下是非核心活動。在很多情況下，最好的選擇是外包身份管理到專門的提供商。這就是為什么很多CISO轉向身份即服務(IDaaS)來升級其IAM功能。微軟和甲骨文等知名IT供應商以及Ping Identity等新供應商都在推廣基于云的服務和平臺，為客戶跨多個應用提供共享身份，同時提供單一集成視圖。請注意，有些供應商通過云計算提供身份聯合和SSO，但他們并不提供真正集成的全面的企業級IAM解決方案。

基于云的IAM

對于很多企業而言，基于云的IAM的吸引力不僅在于它允許企業快速推出新功能，而且它還可以消除尋找和雇傭安全人員來支持內部IAM產品的麻煩。