身份和访问管理（IAM）可能是最重要的 IT 功能，确保用户能够访问工作所需的资源、用户账号安全和他们访问的企业数字资产的安全。在部署完善的 IAM 框架下，普通员工无法访问企业的财务记录，但 CFO 可以。如果 IAM 部署不完善，可能会对公司来造成灾难性后果，而危害程度取决于身份的访问权限。在今天日益混杂的办公环境中，妥善实施身份和访问管理已成为 IT 部门的头等大事。

本文将带您了解 IAM 的相关内容，包括其含义和优势以及面临的挑战。

什么是身份和访问管理？

Gartner 将 IAM 定义为一种安全规则：“让对的人在对的时间以对的理由访问对的资源。”

换句话说，IAM 是一种 IT 解决方案，使用身份这种唯一用户配置文件管理用户并将用户安全连接到 IT 资源，包括设备、应用、文件、网络等。每个用户都能配置一个唯一的身份，从而控制对 WiFi 和企业服务器等资源的访问，同时限制其访问工作内容以外的数字资产。

企业可以采用核心目录服务平台实现 IAM，该平台将用户身份存储并联合到各种 IT 资源，这些资源还将核心目录服务数据库作为验证和授权用户访问的单一数据源，其中核心目录服务数据库被称为称为身份提供程序（IdP） ，为 IT 部门提供一站式设备和用户管理服务，简化了 IAM 流程。

您的企业需要身份和访问管理吗？  

由于混合办公和远程办公证逐渐成为常态，企业不得不考虑部署 IAM 策略。数据泄露的首要原因就是身份泄露，而要解决身份泄露，IAM 或许是企业首选的安全工具。远程环境迫使企业将 IT 总体战略的重心从网络转向人员。今天的 IT 部门主要负责最大限度保护远程员工的身份安全，同时帮助他们安全访问办公所需资源。而 IAM 则进一步推动了这一战略转变，因为 IAM 的核心内容就是个人安全。

全面的云 IAM 平台包括目录服务和单点登录（SSO）功能，基于零信任原则将用户连接到所需的 IT 资源，同时让 IT 部门对身份进行主要控制。现代化的 IAM 平台让用户可以记住并使用唯一身份，也为 IT 管理员提供最高级别的集中控制。

虽然 IAM 有明显的初始优势，而且事实上也很有必要，但也并不是所有企业都认为有必要部署 IAM。下文列举了 IAM 的优势和问题，有助于了解为什么所有企业都能从中受益。

身份和访问管理的优势   

IAM 将生产力、安全性和对一流工具的访问进行了完美结合。

在 IAM 系统中，员工可以用预置“身份”安全访问办公所需 IT 资源。对员工来说，IAM 的主要优势是流程简单流畅，仅用一组凭证就能快速访问新资源，不必再记住访问资源的密码，更不必重复使用密码，大幅改善了整体登录体验，提高了工作效率。 

另一方面，IAM 提供了集中管控企业数字资产的平台。

如今， IT 管理员必须维护 Windows、Mac 和 Linux 终端的可见性和控制，在确保数据安全的同时将用户连接到大量本地和 Web 资源，并与云平台集成。

下一代身份即服务 （IDaaS） 等基于 SaaS 的 IAM 解决方案就为管理员提供了统一管理平台：管理员可以远程登录 IAM 平台预配或取消预置用户、创建或编辑用户身份、创建访问策略和逐步身份验证以及管理故障排除，且这些功能都能在一个平台内实现。  

基于云的 IAM 解决方案支持数据隐私合规等合规计划，同时还提高了数据安全。
 

据统计，60% 的中小型企业（SME）在遭受网络攻击后的半年内还会再次遭受攻击，这更加凸显了网络安全的重要性。IAM 帮助管理员控制数字资产并保护企业免受网络攻击。

身份和访问管理遇到的挑战

近年来，办公场所不断多元化，远程员工遍布多个平台，在这一背景下，IAM 环境日趋复杂。

过去的 IAM 系统更容易管理，员工办公只需要两三个资源，办公环境都以本地的 Windows 系统为主，线下办公也是常态，方便 IT 部门控制网络和整体办公环境。

IAM 的发展分为几个阶段：第一阶段， macOS 和 Linux 作为 Windows 替代在办公场所不断普及；第二阶段， Salesforce、Google Apps（又名 Google Workspace）等其他可以取代本地应用和基于 Windows 应用的 Web 应用横空出世；

第三阶段，Samba 文件服务器和 NAS 设备以及来自 Box™ 或 Dropbox™ 等厂商的云存储解决方案面世，作为本地文件存储的替代。甚至网络本身也从有线连接演变为 Wi-Fi 无线连接。

这些变化都使 IAM 变得更复杂。微软 Active Directory （AD） 等过时的传统方案仍是大多数 IT 企业身份管理的主要工具，而微软在设计 AD 时并未考虑到支持非 Windows 或云 IT 资源的需求，这就导致企业不得不单独管理非 Windows 资源，或者使用第三方 AD 插件（如Web 应用程序 SSO、目录扩展）让管理变得更复杂。

所幸，企业还有更简单也更全面的方法——基于云的新一代目录和现代 IAM 解决方案可以轻松替换基于 AD 的本地 IAM 程序。宁盾在这一领域有专业的产品和解决方案用以满足企业上云后的身份识别和访问管理需求，包括身份管理、接入管理、应用管理、终端管理四个模块，不分行业类型全场景覆盖，标准化产品，开箱即用，利于企业节省运维管理成本，提高IT效率。

（本篇讲解了什么是身份和访问管理 IAM，下一篇将讲解如何实施 IAM。）