什麼是身分與存取管理 (IAM)？

身分與存取管理的定義

身分與存取管理(Identity and Access Management, IAM)是一套架構和程序，組織運用其管理和保護數位身分，並控管使用者對關鍵資訊的存取權。這些系統包含使用者註冊、身分驗證、角色型存取控制(Role-based Access Control, RBAC)，以及法遵稽核與報告。

身分與存取管理系統能夠保護敏感資料和系統不受未經授權的存取與入侵，同時將使用者的數位身分、存取權限和安全性原則簡化及自動化。

掌握身分與存取管理的相關核心概念

數位身分

數位身分是指網路上或線上的個人、組織或電子裝置的一系列資訊。數位身分由任何特徵數字或資料屬性組成，例如：

• 生日
• 網域
• 電子郵件地址
• IP (網際網路通訊協定) 位址
• 病史
• 線上搜尋活動 (例如瀏覽紀錄、電子交易)
• 購買紀錄或行為
• 社會安全碼 (美國)
• 使用者名稱和密碼

數位資源

數位資源包含所有能夠以電子方式存取的數位形式資產，我們通常會使用電腦和網路儲存、處理及傳輸這些資源。在身分與存取管理的背景脈絡中，數位資源的範例包含：

• API (應用程式開發介面)：一組用於建置軟體應用程式或與其互動的規則和通訊協定，能夠允許不同軟體程式彼此通訊
• 雲端服務：可透過網際網路提供計算能力、儲存空間和應用程式的服務
• 資料庫：結構式資料集合，例如 SQL 資料庫、NoSQL 資料庫，以及雲端式資料倉儲
• 數位驗證：SSL (安全通訊端層)/TLS (傳輸層安全性) 驗證，以及其他用於保護通訊和交易的數位驗證形式
• 數位內容：圖像、影片、音訊檔案、動畫和互動式媒體
• 電子郵件和通訊平台：數位通訊工具，例如電子郵件服務、即時訊息應用程式和社群媒體
• 檔案與文件：文字檔案、試算表、簡報、PDF (可攜式文件格式)，以及其他儲存在電腦或雲端儲存服務的文件類型
• IoT (Internet of Things, 物聯網) 裝置：與網際網路連線的裝置，可收集和傳輸資料
• 網路資源：IP 位址、DNS (網域名稱系統) 紀錄、路由器、防火牆和其他網路基礎架構元件
• 軟體應用程式：雲端式應用程式、行動應用程式、桌面軟體和企業系統
• 虛擬機器和雲端執行個體：託管在實體伺服器或雲端基礎架構上的虛擬計算環境
• 網頁和網站：所有能透過網路瀏覽器存取的 HTML (超文本標記語言) 文件，包含資訊網站、電子商務平台和公司部落格

身分管理與存取管理

「身分管理」與「存取管理」這兩個詞彙經常誤遭混用。「身分管理」的功能是確認實體確實為其呈現的身分；相較之下，「存取管理」則是使用經過驗證的身分資訊，決定實體可以使用哪些資源以及如何使用。

身分與存取管理和身分管理

在更為廣泛的網路安全範圍中，「身分與存取管理」和「身分管理」是互相關聯卻又截然不同的兩個領域。「身分管理」主要著重於管理身分，「身分與存取管理」則新增了存取控制措施，用於確保能以安全恰當的方式存取資源。

身分管理	身分與存取管理
主要處理使用者的數位身分生命週期	整合身分管理，以確保這些身分的使用方式皆遵循公司原則和安全性要求
核心功能包括： – 建立、更新和刪除使用者帳戶 – 管理長期身分資訊變更 – 在授予存取權之前驗證使用者的身分	核心功能包括： – 允許使用者在驗證一次以後，便能透過單一登入 (Single Sign-On, SSO) 存取多個系統 – 定義與強制執行決定使用者權限的原則 – 要求執行多種形式的驗證 (亦即多因子驗證MFA) 以加強安全防護 – 根據既定的原則授予或拒絕給予特定資源的存取權

為何企業需要採用身分與存取管理和身分管理

企業需要透過身分與存取管理協助維護安全性和法規遵循，以及提升組織的生產力。

身分與存取管理不僅適用於員工，也適用於承包商、合作夥伴、客戶，以及裝置和程式碼片段，例如 API 或微服務。

這些系統提供 IT 管理員單一事實來源，以便建立和維護紀錄，並在使用者新加入或離開組織時，管理他們的資源存取權。

在企業網路中追蹤許多實體的身分資訊是一大挑戰。身分管理系統能確保唯有經過驗證的使用者 (亦即個人或裝置) 可存取特定應用程式、元件，以及已獲得使用授權的系統，藉此提供企業安全保障。

此外，身分管理系統可讓 IT 團隊將企業原則套用至使用者的存取權。舉例來說，他們可以設定獨立條件，例如必須使用安全的連線才能存取敏感資訊。

身分與存取管理和身分管理的優點

• 套用最小權限原則
  使用精細存取控制，盡可能提供存取資源所需的最低權限。
• 將入職與離職程序自動化
  在使用者加入組織、變更角色或離開組織時，自動授予、修改或撤銷存取權。
• 啟用單一登入(SSO)
  允許使用者使用單一身分登入不同系統。
• 提高生產力
  加快使用者存取資源的速度，縮短 IT 將眾多使用者帳戶相關工作自動化所耗費的時間。
• 清除低強度密碼
  實作密碼原則，強制執行高強度密碼要求。
• 識別潛在風險
  使用人工智慧 (AI) 偵測資料存取的異常狀況。
• 衡量效能
  追蹤身分計畫的成效。
• 減少內部威脅
  套用行為分析，以辨識內部使用者不尋常的存取模式。
• 簡化法規遵循
  為所有使用者、應用程式和資料管理存取權、追蹤使用情形和強制執行原則，將監管法遵報告自動化。
• 支援零信任架構(Zero Trust Archives)
  不光是做出簡單的驗證決策，而是對每名使用者採用最新的完整身分紀錄，確保僅在有需要的時候授予所需資源的存取權。
  

身分與存取管理和身分管理的運作方式

首先，身分管理系統會為其管控之下的每個實體建立一個數位身分，建立完畢後，即可透過身分管理系統管控這些數位身分，包含支援其整體生命週期中的維護、修改和監控作業。

為確保僅授予必要的存取權，身分與存取管理系統讓企業僅根據身分分配設定範圍狹小的權限，而非透過使用者名稱和密碼授予廣泛存取權。

這些方法旨在控管要讓哪些使用者在網路中取得哪些資源、裝置和資產的存取權，防止有人未經授權存取資源，進而提高安全性和生產力，減少風險與安全漏洞。

身分與存取管理系統會持續監控資訊來源，假如資訊來源發生任何變更，IAM 系統就會提取新的資訊，重新計算，接著套用原則，再將該資訊推送至其他系統。一般而言，這些系統都有一組用於處理資料的規則和指令碼。

選擇適合的身分與存取管理系統

評量身分與存取管理軟體前，務必要預先騰出時間建立基準需求評估。實際評估內容會因組織而異，不過選取 IAM 解決方案前，應將下列幾項要點納入考量並作為選擇指引。

產業

基本的身分與存取管理和系統都能為許多組織提供必要功能，不過有些產業會有獨特的要求。部份解決方案專為不同產業量身打造 (例如醫療保健、金融服務)，其中含有能夠解決產業特定需求的功能 (例如法規遵循、進階安全性、分佈在不同地理區域的使用者群體)。

本地端與雲端部署

雲端身分管理解決方案 (IDaaS，即身分即服務) 已成為大多數組織的預設選項，然而部分組織仍需要本地端或混合式選項。請務必要清楚瞭解這些部署選項及其優點和可用支援。

組織規模

身分與存取管理軟體需求會因組織的規模大小而異，以配合 IT 環境的功能和工具、業務據點、使用者位置和工作負載。另一項與組織規模相關的重要考量是預期成長。預計將有大幅成長的組織，必須選擇能夠隨著需求變更一併擴充的系統。

支援要求

第一項支援考量應與部署和實作相關。請務必依據身分與存取管理和身分管理供應商所提供的支援，以及這些支援服務是否符合組織需求，來評估供應商是否適合組織。

系統一旦啟動，就需要持續維護和監控。組織也必須決定究竟要在內部處理這些作業，或者請外部廠商提供支援。

使用者群體

評估身分與存取管理系統時，也應將組織的使用者群體納入考量。舉例來說，您必須思考人類使用者是僅限於員工，或者也包含外部使用者，例如承包商、客戶及合作夥伴。另外，非人類實體 (例如裝置、應用程式、雲端儲存) 也應納入考慮。

須尋找哪些功能

選取身分與存取管理軟體時，務必要為功能排列優先順序。儘管大多數廠商都會提供基本功能，其他額外列出的功能往往有所不同。

評估身分管理系統時須尋找和評量的功能包含下列項目。

管理

• 批次變更使用者和權限的功能
• 為現有和全新雲端以及本地端自動佈建採購的應用程式
• 易於理解及使用的營運、監控及維護主控台和工具
• 自助式密碼管理服務，能讓使用者在無需 IT 支援的情況下設定及變更密碼

驗證與存取

• 能夠登入多個系統的功能，包含舊版應用程式、雲端應用程式、網路資源和伺服器
• 包含或支援驗證技術 (例如一次性密碼、生物特徵辨識、知識型驗證、鑰匙卡、手機型驗證)
• 流暢的驗證使用者體驗，包含認證提供方式
• 提供給公司內外網路使用者的第三方 (例如客戶、承包商和合作夥伴) 存取權

身分目錄

• 基於雲端式的目錄選項，並包含所有使用者的名稱與屬性
• 對應用程式即設定檔主範本的支援：此目錄將使用者在應用程式中的設定檔視為該設定檔的持續事實來源，因此在主要應用程式中對設定檔進行的所有變更，都會套用至其他應用程式的設定檔
• 與身分存放庫的整合種類和品質 (例如 Active Directory 與 LDAP (輕量型目錄存取通訊協定))

平台

• 可自訂功能的使用者介面
• 可靠的雲端式服務
• 在大量工作負載下維持最佳效能
• 可藉由擴充，支援日益增加的使用者人數
• 廠商遵循恰當的安全通訊協定，且擁有合適的驗證
• 提供預先建立且可自訂的報告，以利管理營運
• 可支援稽核要求的記錄功能
• 對外部服務供應商擔任身分供應商的功能
• 跨瀏覽器支援瀏覽器擴充應用程式
• 支援與雲端和本地端應用程式整合的 API

佈建

• 相關人士和管理員可以根據已定義的工作流程核准或拒絕要求對存取權進行的變更
• 根據期限自動終止對多個應用程式存取權的功能
• 自動建立帳戶和存取權限、進行變更，以及移除本地端和雲端應用程式
• 若在佈建系統或應用程式中進行變更，可透過雙向設定檔同步功能維持設定檔屬性的一致性
• 規則管理功能，可讓管理員建立存取規則，並對整體要求和佈建程序套用控制規則
• 可針對要更新的所有系統，將設定檔屬性轉變為必要格式
• 角色管理功能，讓管理員可使用一組相關聯的驗證權限建立角色。
• 使用者可以要求應用程式的存取權，且若符合原則要求 (例如自助式服務存取)，即可自動佈建

系統和應用程式支援

• 在公司原則允許的情況下，讓使用者透過自己的裝置存取公司應用程式的功能
• 各種行動裝置操作系統的行動功能
• 原生和雲端應用程式的單一登入功能
• 對最常見雲端和本地端應用程式的標準整合

身分與存取管理實作挑戰

常見的 IAM 實作挑戰包括：

• 瞭解及管理使用者期待
• 滿足相關人員的要求
• 整合法規遵循標準
• 將多個使用者來源、驗證因子和開放產業標準納入考量時，所需的知識和技能
• 大規模實作身分與存取管理的專業技術

雲端與本地端部署

與許多解決方案一樣，身分與存取管理通常是從本地端移轉至雲端。受託管的雲端式身分與存取管理解決方案屬於身分即服務 (IDentity as a Service, IDaaS) 類別。IDaaS 部署具備多種優點，包括：

• 分散式及備援系統能提升可靠性和安全性
• 效率更高
• 有 SLA (服務等級協議) 背書的更佳運作時間
• 藉由減少系統和基礎架構的購買和維護需求，降低成本
• 可選擇從雲端專屬使用，或者與本地端身分與存取管理解決方案同時部署

身分與存取管理標準

IAM 解決方案必須與其他許多系統整合，才能對企業的所有系統、使用者和角色提供完整的存取權可視性。為了促成這些整合，身分與存取管理平台支援的標準包括下列項目。

OAuth 2.0

OAuth 是一種開放標準身分管理通訊協定，可讓使用者安全存取網站、行動應用程式、物聯網和其他裝置。OAuth 使用的權杖會在傳輸中加密，且不需分享認證。OAuth 2.0 為 OAuth 的最新版本，是主要社群媒體平台和消費者服務廣泛採用的架構。

安全性聲明標記語言 (SAML)

SAML(Security Assertion Markup Language) 是身分與存取控制解決方案和其他應用程式之間用於交換驗證和授權資訊的開放標準，這種方法運用 XML 傳輸資料。身分與存取管理平台允許使用者登入已與 IAM 解決方案整合的應用程式時，一般也會採用這種方法。

OpenID Connect (OIDC)

OpenID Connect 推出之後，OpenID 就變成 OAuth 廣受採用的驗證層。OpenID Connect (OIDC) 與 SAML 一樣廣泛用於 SSO，但 OIDC 使用的是 REST/JSON，而不是 XML。藉由採用 REST/JSON 通訊協定，OIDC 的設計可同時用於原生和行動應用程式，而 SAML 則主要用於網路應用程式。

輕量型目錄存取通訊協定 (LDAP)

LDAP(Lightweight Directory Access Protocol) 是最早的其中一種身分管理通訊協定，可儲存和整理資料 (例如使用者或裝置資訊)，以協助使用者找出組織和個人資料，以及驗證使用者以便存取該資料。這是一種開放式的產業標準通訊協定，可讓應用程式與目錄服務通訊，且經常用於支援使用者驗證，包含單一登入 (SSO) 支援、簡單驗證與安全階層 (SASL) 以及安全通訊端層 (SSL)。

跨網域身分識別管理系統 (SCIM)

SCIM(System for Cross-domain Identity Management) 佈建的建立宗旨是簡化管理使用者身分的程序，讓組織能夠在雲端高效營運，並且輕鬆新增或移除使用者。這種做法有助於減少成本，將風險降至最低，以及簡化工作流程。SCIM 也有利於促進雲端應用程式之間的通訊。

身分與存取管理和身分管理的用途

監管法遵

身分與存取管理可藉由管理使用者存取和權限以及資料治理，協助組織遵循規章要求。IAM 解決方案也能透過自動化報告簡化法遵稽核，因為這些報告會詳述存取權和權限，並針對已安排就緒的資料保護通訊協定提供資訊，防止他人在未經授權的情況下存取敏感資訊。

自攜裝置 (BYOD)

身分與存取管理解決方案不僅可以啟用大量資料和多個應用程式的存取權，還能將該存取權授予多部裝置和多個地點，藉此提高員工生產力。身分管理與 IAM 解決方案可確保已實作適當的身分驗證和存取控制，協助管理員開始使用個人裝置。

物聯網 (IoT)

有了 IAM 解決方案，便能將安全通訊協定延伸至難以管理的 IoT 裝置。這些工具將 IoT 裝置視為使用者，會利用經過證實的身分驗證和授權方式，並善用 IAM 的功能協助進行監督。

身分安全的未來要素

IAM 的近期進展或許包含：

• 動態信任模型(Dynamic trust models)
  會根據行為和互動歷程紀錄調整授權的 AI 模型。
• 無摩擦存取(Frictionless access)
  跨實體、數位和手機的通用生物特徵辨識，包含精密的隱私權通訊協定。
• 通用 ID(Universal ID)
  已聯合且通用的合併身分，讓自攜身分成為常態。

善用 IAM 保護企業

身分與存取管理是企業安全性計畫的一大要素，因為能夠防止關鍵資產和系統不慎或蓄意產生網路進入點，讓網路罪犯有機可乘。善用這些解決方案的企業能享有以下優勢：身分管理預算降低、在因應新業務挑戰和機會時，能夠迅速流暢隨機應變。

「身分與存取管理」和「身分管理」的詞彙表

存取管理
存取管理是指用於控制、監控及管理 IT 資源存取權的一系列實務和工具。

Active Directory (AD)
AD 是 Microsoft 的使用者身分目錄服務，可與其他系統整合以佈建與取消佈建使用者的存取權。

驗證
驗證是指使用者 (亦即個人、應用程式或服務) 在獲得數位系統授權之前，必須經歷的身分確認程序。用於驗證的工具包含密碼、一次性個人身分識別號碼，以及生物特徵辨識資訊。

授權
授權是指根據組織實作及維護的權限設定，驗證使用者能夠存取哪些應用程式、檔案和資料的程序。使用者的身分經過驗證之後，就能獲得存取權限授權。

生物特徵識別驗證
這種驗證方式使用指紋、視網膜、臉部特徵等獨一無二的特色來驗證使用者的身分。

雲端基礎架構權利管理 (CIEM)
CIEM(Cloud Infrastructure Entitlement Management) 是一種安全程序，用於管理整個雲端基礎架構環境中的身分、存取權、特殊權限和使用權限。

取消佈建
取消佈建是指將網路中使用者對應用程式、系統和資料的存取權都移除的行為。

身分即服務 (IDaaS)
IDaaS 是一種雲端型身分與存取管理服務。

身分治理與管理 (IGA)
IGA(Identity Governance and Administration) 是一種原則型的身分管理與存取控制方法，涵蓋整個身分生命週期。

身分佈建
身分佈建用於管理使用者帳戶，確保帳戶能夠存取正確的資源，並以妥當的方式使用資源。

多因子驗證 (MFA)
MFA(Multi-Factor Authentication) 是一種存取管理工具，合併了兩種以上的驗證機制，用於存取 IT 資源，包含應用程式和裝置。

最小權限原則
最小權限原則是一種安全方法，意指將執行任務所需資源的最低程度存取權或權限授予使用者，且授予時間要盡可能短。

特殊權限存取管理 (PAM)
PAM(Privileged Access Management) 可管理特殊權限使用者為執行工作 (例如實作、維護和更新) 而獲得的應用程式、系統或伺服器廣泛存取權。PAM 工具能將這些使用者帳戶與其他帳戶區隔開來，並仔細追蹤與其相關的活動。

角色型存取控制 (RBAC)
RBAC(Role-Based Access Control) 讓企業能夠根據特定使用者類別執行任務所需的存取層級指派一組權限，以建立和強制執行進階存取權。有了 RBAC，不同使用者便可依據其角色、職能和職責獲得存取權限。

職能分工 (SoD)
又稱為職能分離(Segregation of Duties)，是一種安全原則，可防止組織發生錯誤和詐騙事件。

單一登入 (SSO)
SSO(Single Sign-On) 是一種驗證功能，可讓使用者僅憑一組認證存取多個應用程式和網站。

您可能也會對下列項目有興趣：