隨著內部人員和最終用戶安全威脅持續增長，對于企業來說，現在的重點是，確保IT團隊擁有可靠的身份和訪問管理安全基準。IT領導和管理員應該了解可用的身份和訪問管理工具和相關技術，以幫助精簡企業中的身份驗證、訪問和權限。

[[269312]]

身份和訪問管理(IAM)是業務策略和技術的框架，執行用戶身份管理。IAM平臺結合了身份管理和訪問控制。IT專業人員可以使用IAM框架功能控制用戶對企業網絡的訪問。

企業使用IAM產品來確保授權用戶在適當的情況下訪問預期的資源。企業利用IAM的功能來部署和明確整個企業中的用戶配置、訪問權限、身份驗證和合規性相關的過程。

請參閱此身份和訪問管理安全術語和技術列表，以了解當前IAM市場趨勢的背景知識。

特權身份管理(PIM)。監控企業中超級用戶帳戶的過程被稱為特權身份管理。超級用戶包括首席信息官、首席執行官和數據庫管理員。如果沒有PIM監管這些特權，超級用戶帳戶可訪問企業中最敏感的信息，這無疑將會暴露很多系統漏洞。這是一個重要的身份和訪問管理安全問題。

PIM的部署包括創建策略，明確如何管理超級用戶帳戶以及這些超級用戶可以和不可以對其訪問范圍做什么。還必須明確責任方，以確保執行PIM策略。在PIM中，定期審計或整理特權帳戶目錄也很重要。

身份治理。對用戶身份管理和訪問控制基于策略的集中管理被稱為身份治理。身份治理產品通常包括PIM、身份智能和分析工具。身份治理有助于維護法規合規性并支持IT安全性。這些產品可幫助企業協調和審核IAM策略，并通過審核用戶訪問權限將IAM功能與合規性規則相關聯。

單點登錄(SSO)。單點登錄服務允許最終用戶輸入一組登錄信息便可訪問多個應用程序。單點登錄服務從SSO策略服務器檢索用戶的身份驗證憑據，并基于用戶存儲庫對用戶進行身份驗證。此簡化服務會在用戶具有訪問權限的所有應用程序中對用戶進行身份驗證，從而在給定會話期間用戶無需為每個應用程序輸入密碼。

SSO最大限度地減少了用戶必須記住各種應用程序密碼的負擔，但它與密碼同步不同，密碼同步是將所有密碼設置為相同的單詞。在用戶最初通過SSO服務器進行身份驗證后，當后續應用程序要求該用戶提供憑據時，SSO服務器會代表用戶完成驗證。

用戶配置。企業通常會試圖減少帳戶管理帶來的管理障礙，并且，用戶帳戶配置以一致的方式管理對IT系統資源的訪問。這里的術語“配置”是指提供諸如文件或網絡之類的資源。在用戶配置過程中，用戶賬號協調、對整合新用戶相關物理資源授權和分配都得以簡化。用戶配置過程是身份管理操作的一部分。

基于角色的訪問控制(RBAC)。基于角色的訪問控制是指管理員根據用戶角色控制用戶訪問。管理員根據用戶完成工作所需的訪問權限以及服務，將多個用戶被歸類到一組。這種對用戶到資源數據指向RBAC用戶權限的分析稱為角色挖掘。RBAC可避免用戶訪問與其工作職能無關的信息、服務或資源。它還限制了對各種訪問策略的需求。

當用戶獲得無關資源時，這為意外或故意的內部威脅留下空間。在身份和訪問管理安全性方面，應定期安排審核，以檢查和考慮用戶在系統中的角色變化。管理員還應避免將太多用戶分類到一個組中，這可能會導致用戶可訪問不需要的資源或特權蠕變。

特權蔓延。特權蠕變是指訪問權限的逐步積累超出個體職能范圍。當用戶職位提升或在企業內水平移動到另一個角色時，可能會發生特權蠕動。他們以前的訪問權限很少會被撤銷，即使他們不再需要訪問過去所需的資源。因此，他們的訪問權限擴展，可能導致漏洞利用。

特權蠕變的漏洞利用可能有兩種方式：用戶可能濫用他們自己的超額特權，或者攻擊者利用用戶帳戶這樣做。任何一種方式都有可能導致數據丟失、損壞或被盜。企業需要定期審核或審計訪問權限以緩解風險。這種確認用戶及其適當權限的過程可以檢測特權蠕變。IT團隊通常強制執行最小特權原則，以僅允許訪問執行其職責所需的最少量資源。