如果这个问题对您来说很微不足道,请原谅。但是我是身份和访问管理的新手。市场上有IBM,Oracle等提供的多种工具。
我来自Microsoft,并且给人的印象是,身份和访问管理工具可以通过Active Directory完成某些工作。
我努力了解Active Directory与Identity and Access管理有何不同。
我可以将这些IAM工具与Active Directory集成吗?
是否为Active Directory中存储的内部用户提供身份和访问管理?
并且,如果有IAM提供的原因或功能(在Active Directory的顶部),则此交互如何工作?对于前。我的服务器凭据始终根据活动目录进行检查。无法针对IAM数据库进行检查。这是否意味着IAM使用Active Directory作为存储库?
小智 7
这是一个令人惊讶的普遍问题,对市场上的许多参与者喜欢使用误导性术语来描述他们自己的产品并没有帮助。
这样想:
目录,包括活动目录:
目录是一个存储有关身份信息的系统:
目录通过网络服务公开此数据。原则上,使用LDAP(轻型目录访问协议)。当与SSL或TLS结合使用时,它将成为LDAPS并被加密。这是用于搜索,读取目录以及将目录内容插入/更新目录的主要协议。
Active Directory(AD)是Microsoft供企业使用的主目录产品。还有Azure AD(实际上根本不是AD-据我所知没有LDAP服务)和Active Directory轻型目录服务(AD-LDS),它们对PC登录没有用,但在其他方面却很可靠LDAP目录。
还有许多其他的LDAP目录产品可用,包括OpenLDAP(免费/开源),OID(Oracle)和许多其他产品。
AD在许多方面都很有趣:
它与Windows操作系统紧密集成。
公司环境中的用户通常使用AD ID /密码而不是仅存在于PC上的本地ID /密码登录其PC。
AD(组策略对象)中有一些工具可用于管理PC以及与用户有关的安全策略。
AD具有很好的可伸缩性,支持跨数百个目录服务器(Microsoft称为域控制器)的目录内容进行实时且容错的复制。
身份和访问管理:
目录是您存储有关用户的信息并在需要时进行检索的位置(例如,用于识别登录系统/应用程序的用户,对其进行身份验证并检查他们有权访问的内容),身份和访问管理(IAM) )系统用于自动化填充和管理目录内容的业务流程。
IAM系统的一个示例用例是监视HR系统,检测新员工,搬迁和离职并作为响应自动在一个或多个目录中创建,修改或删除登录帐户和身份属性。
IAM系统的另一个示例用例是公开一个Web门户,用户可以在其中请求更改其自己或其他用户的访问权限或身份信息。在将此类请求写入一个或多个集成目录之前,可能需要进行验证和授权。
IAM系统的其他用例包括:多个系统和应用程序之间的密码同步,用户遇到登录问题时重置或解锁自助服务密码,定期查看和清除陈旧的访问权限(例如登录帐户和组成员身份),维护组织图表关系(将经理与下属联系起来),策略的应用(例如职责分工(具有此组成员身份的人也不应具有 该组成员身份))以及各种报告和分析。
IAM系统通常与许多系统集成。这包括HR应用程序或其他“记录系统”,目录(例如AD或OpenLDAP),系统(例如Unix / Linux,Oracle,MSSQL等)上的本地帐户,对应用程序的访问权限,这些应用程序包括SAP或Oracle等本地设备。 EBS到云托管的应用程序,如Salesforce.com,Concur等,等等。IAM系统的价值主张可以认为是由于自动化过程乘以系统集成而得的结果。
身份和访问管理:
最重要的是,目录是您存储有关人和其他对象的数据的地方,IAM系统是您以良好的效率和控制大规模管理该数据的方式。
顺便说一句,这里有很多与IAM相关的术语定义:
https://hitachi-id.com/resource/iam-concepts/
| 归档时间: |
|
| 查看次数: |
6507 次 |
| 最近记录: |