What is identity and access management (IAM)?

Identity and access management (IAM) verifies user identities and controls what resources each user can access within an organization.

What is an identity provider (IdP)?

An identity provider (IdP) is a service that manages user identities and handles user authentication Single sign-on (SSO) services are identity providers.

How does IAM support remote workforce access?

IAM provides a way to verify and authenticate users both inside and outside of a controlled office environment. This enables organizations to provide access to resources from a range of locations, which is essential for supporting a remote workforce.

What are authentication factors?

Authentication factors are traits used to verify a user’s identity. The three primary authentication factors are something the user knows (like a password), something the user has (like a smartphone or token), and something physically intrinsic to the user (such as a fingerprint)

What is multi-factor authentication (MFA)?

Multi-factor authentication (MFA) requires users to verify their identity using two or more different authentication factors before they are given access to an application or a network. For example, a user might insert a hard key or provide their fingerprint in addition to typing a password. MFA is more secure than single-factor authentication because it is harder for unauthorized parties to falsify or steal two different authentication factors instead of one.

What is single sign-on (SSO)?

Single sign-on (SSO) lets users access multiple cloud applications with one set of login credentials. SSO simplifies access management for IT teams. It allows users to rely on only one set of credentials so that they do not have to memorize multiple complex passwords or keep track of several MFA keys. And, it gives organizations a single place for implementing password policies and other security requirements, instead of doing so separately for each application.

What is identity-as-a-service (IDaaS)?

Identity-as-a-service (IDaaS) is a cloud-based service that verifies and manages user identities, often as part of an organization’s overall IAM system.

What is Zero Trust security?

Zero Trust security is a model in which threats are assumed to already be present inside a network. In a Zero Trust model, every user and device must have their identity strictly verified, even from inside a secured network.

What is the principle of least privilege?

The principle of least privilege means giving users only the minimum access or permissions they need to perform their job.

#main-nav-header { display:none; }

解决方案

产品

定价

资源

合作伙伴

为何选择 Cloudflare

注册

联系销售

支持

什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 系统可以确认用户的身份和控制用户特权。

学习目标

阅读本文后，您将能够：

了解在计算背景下“身份”的涵义
了解什么是用户访问
探索为何身份和访问管理对于云而言至关重要

想要继续学习吗？

订阅 TheNET，这是 Cloudflare 每月对互联网上最流行见解的总结！

复制文章链接

什么是身份和访问管理 (IAM)？

身份和访问管理 (简称为 IAM 或 IdAM) 是一种说明客户身份及其行为权限的方式。IAM 类似于夜店门口的保镖，他们手里有一份名单，知道该让谁进，不该让谁进，谁有权利进入 VIP 区域。IAM 也被称作是身份管理 (IdM)。

从更倾向于技术层面来看，IAM 是一种管理用户的一组数字身份以及每种身份对应之特权的方式。这是一个统称，涵盖了许多具有相同基本功能的不同产品。在企业内部，IAM 可以是单个产品，也可以是多个流程、软件产品、云服务和硬件的组合，让管理员能够对于个人用户可以访问的企业数据进行查看和控制。

在计算背景下的身份是怎样的？

一个人的所有身份无法上传并储存在一台计算机中，因此在计算背景下的“身份”指的是能够便于以数字化方式测量和记录的某种资产集。看看身份证或护照就知道了，并非一个人的所有信息都储存在身份证中，但它包含了足够多的个人特征，将一个人的身份迅速与其身份证相匹配。

要验证身份，计算机系统需要评价用户的专属特征。如果能够匹配，那么可以确认用户身份。这些特征也被称为“身份验证因素”，因为它们有助于验证某人自称的身份跟其实际身份是否匹配。

用途最广的三大身份验证因素是：

用户了解的内容
用户拥有的内容
用户身份

用户了解的内容：此因素是一则仅用户掌握的私密信息，如用户名和密码组合。

假如，John 想要在家查看工作电子邮件。首先，他要建立自己的身份，从而登录他的电子邮件账户，因为如果 John 的电子邮件被除他之外的人访问，那么公司的数据将受到侵害。

John 输入他的电子邮件 [email protected] 登录，密码只有他自己知道 - 例如，“5jt*2)f12?y”。假定除 John 外，没有人知道这个密码，因此，电子邮件系统识别了 John 的身份，允许他访问他的电子邮件账户。如果其他人尝试冒充 John 的身份，在输入他们的电子邮件地址时输入 “[email protected]”，但不知道输入 “5jt*2)f12?y” 这个密码，他们便不会成功。

用户拥有的内容：此因素指的是授予授权用户的实体令牌。关于此身份验证因素的最基本的例子是进入房门的实体钥匙。假定只有房子主人、租户或其他被允许进入的人拥有钥匙。

在计算背景下，这个实体物品可以是遥控钥匙、USB 设备甚至是智能手机。假设 John 的企业希望双重确认所有自称某种身份的用户都是谁，因此需要查看两个身份验证因素，而不是一个。这样一来，就不只是输入密码那么简单了（“用户了解的内容”因素），John 还需要向电子邮件系统展示自己拥有的专属实物。除了 John，世界上没有第二个人拥有他的个人智能手机，因此，电子邮件系统会发送给他一则一次性代码，John 输入此代码即可证明自己拥有这部手机。

用户身份：此因素指的是关于某人身体的实体资产。目前所使用的这种身份验证因素的常见案例是人脸 ID - 这是许多现代智能手机所拥有的功能。另外一个案例是指纹扫描。一些高安全性企业所使用的一些罕见方式包括视网膜扫描和验血。

假设 John 的企业决定提高安全级别，因此让用户确认三个因素，而不是两个（这种情况较为罕见）。这样一来，John 需要输入密码，确认拥有自己的智能手机，然后扫描指纹，这样电子邮件系统才会确认他就是 John。

总结：在现实世界中，一个人的身份是其个人特征、历史、地点和其他因素的复杂组合。在数字化世界中，一个人的身份则是由这三个身份验证因素的部分或全部组成，它们以数字化形式储存在身份数据库中。为了防止欺骗者冒充真正的用户，计算机系统会将用户身份对比身份数据库进行核实。

什么是访问管理？

“访问”指的是客户能够查看的数据以及他们在登录后可以执行的操作。John 登录电子邮件后，他可以查看之前发送和接收的所有电子邮件，但无法看到同事 Tracy 发送和接收的电子邮件。

换言之，因为用户身份得到验证并不意味着他们可以随心所欲地访问系统或网络内的任何内容。譬如，公司内的一名职位较低的员工能够访问其公司的电子邮件账户，但无法访问工资单记录或机密人力资源信息。

访问管理是控制和跟踪访问的流程。系统内的每位用户拥有在系统内满足其个人需求的不同特权。会计师确实需要访问和编辑工资单记录，因此，他们在确认自己的身份后可以查看和更新那些记录，并访问他们的电子邮件账户。

为什么 IAM 对云计算而言如此重要？

在云计算中，数据在 Internet 上远程储存和访问。因为用户可以几乎从任何地点和设备上连入 Internet，多数云服务与设备和地点并无关联。用户不再需要位于办公室或通过公司拥有的设备才能访问云。实际上，远程工作人员正变得越来越普遍。

因此，身份成了控制访问的最重要的方面，而不是网络外围。*决定用户可以访问的云数据以及他们是否有权访问的，不是他们的设备或地点，而是他们的身份。

要了解为何身份如此重要，可以参看此图。假设一名网络罪犯想要访问公司数据中心的敏感文件。在云计算尚未广泛应用的时期，网络罪犯需要绕过保护公司内部网络的防火墙，或是潜入办公楼或贿赂内部员工，从而亲自访问服务器。这名罪犯的主要目的是绕过网络外围。

然而，有了云计算，敏感文件可以储存在远程云服务器中。因为公司员工需要访问这些文件，他们可以通过浏览器或应用程序登录来实现。如果网络罪犯想要访问这些文件，他们需要的是员工的登录凭证（如用户名和密码）和 Internet 连接；罪犯无需绕过网络外围。

IAM 有助于避免因特权升级而导致的基于身份的攻击和数据泄露（当一名未授权的客户访问太多时）。因此，IAM 系统对于云计算而言至关重要。

*网络外围指的是内部网络的边缘地带。它是一个虚拟的界限，将安全管理的内部网络跟未加以控制的无保障的 Internet 分离开来。办公室的所有电脑，以及办公室打印机的所有连接设备，都在此外围内，但世界各地数据中心的远程服务器则不在此列。

访问管理 (IAM) 在哪里适配云架构？

IAM 通常是用户达到企业云基础设施其他部分所需要经过的云服务。它还可以部署在企业内部网络现场。最终，有些公共云供应商会将 IAM 和其他服务捆绑在一起。

使用多云或混合云结构的企业可能使用 IAM 的独立供应商。将 IAM 跟其他公共云或私有云服务分离，可以让他们更加灵活：他们在切换云供应商时依然能够维护其身份和访问其数据库。

什么是身份提供商 (IdP)？

身份提供商 (IdP) 是一款帮助管理身份的产品或服务。身份提供商一般管理着实际登录流程。适配此类身份提供商的单点登录 (SSO) 提供商可以是 IAM 框架的一部分，但通常不会帮助管理用户访问。

什么是身份即服务 (IDaaS)？

身份即服务 (IDaaS) 是一款确认身份的云服务。它是由云供应商提供的 SaaS 产品，是一种将部分身份管理外包的方式。在某些情况下，IDaaS 和 IdP 是可以互换的 - 但在其他情况下，IDaaS 供应商在身份验证和管理之上提供其他功能。根据 IDaaS 供应商提供的功能，IDaaS 可以是 IAM 框架的一部分，也可以是整个 IAM 系统。

Zero Trust 身份与 IAM

Zero Trust 安全模型对连接到私有网络资源的每位用户和每台设备（无论位于网络边界之内还是之外）进行严格的身份验证。Zero Trust 与 IAM 密切相关，因为它需要检查身份和限制访问。企业实施安全访问服务边缘 (SASE) 模型时，必须将 Zero Trust 纳入其中。

Zero Trust 使用多因素身份验证 (MFA)，检查上述两个或三个身份因素，而不是只检查一个。它还需要执行访问控制的最低权限原则。最重要的是，确认个人的身份后，Zero Trust 仍然不会自动信任该人的行为。而是会监测每个请求并进行逐一检查，以确认是否存在破坏活动。进一步了解 Zero Trust。

Cloudflare 如何协助 IAM 和云？

Cloudflare Access 是一种 IAM 产品，能够监控用户对托管于 Cloudflare 的任何网域、应用程序或路径的访问。它能与 SSO 提供程序集成，同时也允许管理员更改和自定义用户权限。Cloudflare Access 有助于为本地员工和远程员工实施安全策略。

Cloudflare 可以在任何云基础设施设置前部署，这样可以让公司更加灵活地实现包括 IAM 提供商在内的多云或混合云部署。

常见问题解答

什么是身份和访问管理 (IAM)？

身份和访问管理 (IAM) 会验证用户身份，并控制每个用户可以访问的企业内资源。

什么是身份提供商 (IdP)？

身份提供商 (IdP) 是一种管理用户身份并处理用户身份验证的服务。单点登录 (SSO) 服务是身份提供商。

IAM 如何支持远程办公员工的访问？

IAM 提供了一种方法，可以在受控的办公环境内部和外部对用户进行身份验证和认证。这让企业能够为员工提供从多个地点资源访问的服务，是支持员工远程办公的关键。

什么是身份验证因素？

身份验证因素是用于验证用户身份的特征。三种主要的身份验证因素分别是：用户知道的东西（例如：密码）、用户拥有的东西（例如：智能手机或令牌），以及用户固有的生物特征（例如：指纹）

什么是多因素身份验证（MFA）？

多因素身份验证 (MFA) 要求用户使用两种或多种不同的身份验证因素来验证身份，然后才允许其访问应用或网络。例如，除了输入密码之外，用户还需要插入硬件密钥或提供指纹。MFA 比单因素身份验证更加安全，因为未经授权的第三方更难伪造或窃取两种不同的身份验证因素，而不是一种身份验证因素。

什么是单点登录（SSO）？

单点登录 (SSO) 让用户能够使用一组登录凭据访问多个云应用。SSO 简化了 IT 团队的访问管理。这让用户只需使用一组凭据就可以访问，无需记住多个复杂的密码或跟踪管理多个 MFA 密钥。而且，它还为企业提供了一个统一的平台来实施密码策略和其它安全要求，而无需为每个应用单独执行实施。

什么是身份即服务 (IDaaS)？

身份即服务 (IDaaS) 是一种云服务，用于验证和管理用户身份，通常构成企业整体 IAM 系统的一部分。

什么是 Zero Trust 安全？

Zero Trust 安全是一种模型，假设网络内部已存在威胁。在 Zero Trust 模型中，必须严格验证每个用户和设备的身份，即便是受保护的安全网络内部的用户和设备也是如此。

什么是最低权限原则？

最低权限原则是指仅授予用户执行其工作所需的最低访问权限。

入门

关于访问管理

关于零信任

VPN 资源

学习中心导航