مدیریت هویت و دسترسی (IAM) چیست؟
مدیریت هویت و دسترسی (Identity and Access Management) که به اختصار با IAM نشان داده میشود، تضمین میکند که افراد و نقشهای شغلی مناسب در سازمان شما (هویتها) میتوانند به ابزارهایی که برای انجام کارهای خود نیاز دارند دسترسی داشته باشند. مدیریت هویت و سیستمهای دسترسی، سازمان شما را قادر میسازد تا برنامههای کاربردی کارمندان را بدون نیاز به ورود به هر برنامه به عنوان کاربر سرپرست، مدیریت کند. سیستمهای مدیریت هویت و دسترسی، سازمان شما را قادر میسازد تا طیف وسیعی از هویتها از جمله افراد، نرمافزار و سختافزار مانند دستگاههای روباتیک و IoT را مدیریت کند.
IAM چیست؟
شرکتها برای تامین امنیت آنلاین و افزایش بهرهوری کارکنان به IAM نیاز دارند.
- امنیت) امنیت سنتی اغلب یک نقطه شکست دارد – رمز عبور. اگر رمز عبور کاربر لو برود – یا بدتر از آن، آدرس ایمیل بازیابی رمز عبور آنها در دست افراد متفرقه بیفتد – سازمان شما در برابر حمله سایبری آسیب پذیر میشود. سرویسهای IAM نقاط شکست را محدود میکنند و آنها را با ابزارهایی پشتیبانی کرده تا وقتی اشتباهی رخ میدهد، اشتباهات را شناسایی کنند.
- بهرهوری) هنگامی که به پورتال اصلی IAM خود وارد میشوید، کارمند شما دیگر نگران داشتن رمز عبور مناسب یا سطح دسترسی مناسب برای انجام وظایف خود نخواهد بود. نه تنها هر کارمندی به مجموعه کاملی از ابزارها برای شغل خود دسترسی پیدا میکند، بلکه میتوان دسترسی آنها را به جای مدیریت فردی، بهعنوان یک گروه یا نقش مدیریت کرد و حجم کاری متخصصان فناوری اطلاعات را کاهش داد.
آیا IAM انطباق با مقررات را بهبود میبخشد؟
امنیت نیز یک امر قانونی و بخشی از مقررات و قراردادها است. استانداردهای حفاظت از دادهها مانند مقررات حفاظت از دادههای عمومی اروپا و HIPPA و قانون Sarbanes-Oxley در ایالات متحده استانداردهای سختگیرانهای را برای امنیت دادهها اعمال میکنند. با راهکار IAM، کاربران و سازمان شما میتوانند اطمینان حاصل کنند که بالاترین استانداردهای امنیتی، ردیابی و شفافیت اداری در عملیات روزمره شما رعایت میشود.
IAM چگونه کار میکند؟
راهکارهای مدیریت هویت به طور کلی دو وظیفه را انجام میدهند:
- IAM تأیید میکند که کاربر، نرمافزار یا سختافزار همان کسی یا چیزی هستند که ادعا میکنند. این کار با تأیید اعتبار آنها در پایگاه داده صورت میپذیرد. ابزارهای هویت ابری IAM نسبت به راهکارهای سنتی نام کاربری و رمز عبور، ایمنتر و انعطاف پذیرتر هستند.
- سیستمهای مدیریت دسترسی هویت فقط سطح مناسبی از دسترسی را میدهند. به جای نام کاربری و رمز عبور که اجازه دسترسی به کل مجموعه نرمافزاری را میدهد، IAM اجازه میدهد تا بخشهای جزئی از دسترسی، یعنی نقش ویرایشگر، بیننده و نظر دهنده در یک سیستم مدیریت محتوا به درستی تقسیم شود.
IAM چه کاری انجام میدهد؟
سیستمهای IAM این عملکردهای اصلی را ارائه میدهند:
عملکرد | ابزارها |
مدیریت هویت کاربران | سیستمهای IAM میتوانند تنها دایرکتوری مورد استفاده برای ایجاد، اصلاح و حذف کاربران باشند، یا ممکن است با یک یا چند فهرست دیگر ادغام شوند و با آنها همگام شوند. مدیریت هویت و دسترسی نیز میتواند برای کاربرانی که نیاز به نوع تخصصی دسترسی به ابزارهای سازمان دارند، هویتهای جدیدی ایجاد کند. |
تعیین ابزارها و سطوح دسترسی کاربران | تعیین ابزارها و سطوح دسترسی (ویرایشگر، بیننده، مدیر) برای اعطا به یک کاربر، تامین نامیده میشود. ابزارهای IAM به دپارتمانهای فناوری اطلاعات اجازه میدهند تا با مشورت مدیران آن بخش، کاربران را بر اساس نقش، بخش یا گروههای دیگر تامین کنند. از آنجایی که تعیین دسترسی هر فرد به هر منبع زمان بر است، سیستمهای مدیریت هویت تامین را از طریق سیاستهای تعریف شده بر اساس کنترل دسترسی مبتنی بر نقش (RBAC) امکان پذیر میکنند. به کاربران یک یا چند نقش اختصاص داده میشود که معمولا بر اساس عملکرد شغلی است و سیستم RBAC IAM به طور خودکار به آنها دسترسی میدهد. محروم کردن نیز برعکس عمل میکند. برای جلوگیری از خطرات امنیتی ناشی از مجوزهای کارکنان سابق که دسترسی به سیستمها را حفظ میکنند، IAM به سازمان شما اجازه میدهد تا به سرعت دسترسی آنها را حذف کند. |
احراز هویت کاربران | سیستمهای IAM با تأیید اینکه کاربر همان کسی است که ادعا میکند، احراز هویت میکنند. امروزه احراز هویت امن به معنای احراز هویت چند عاملی (MFA) و ترجیحا احراز هویت تطبیقی است. |
مجوز دادن به کاربران | مدیریت دسترسی تضمین میکند که کاربر به سطح و نوع دقیق دسترسی به ابزاری را که حقش است، دسترسی دارد. کاربران همچنین میتوانند به گروهها یا نقشها تقسیم شوند تا گروههای بزرگی از کاربران بتوانند از امتیازات یکسان برخوردار شوند. |
گزارش نویسی | ابزارهای IAM پس از اکثر اقدامات انجام شده در پلتفرم (مانند زمان ورود به سیستم، دسترسی به سیستمها و نوع احراز هویت) گزارشها را برای اطمینان از انطباق و ارزیابی خطرات امنیتی ایجاد میکنند. |
دسترسی با یک بار ورود | راه حلهای مدیریت هویت و دسترسی با یک ورود (SSO) به کاربران این امکان را میدهد که هویت خود را به جای منابع مختلف، با یک پورتال احراز کنند. پس از احراز هویت، سیستم IAM به عنوان مرجع هویت برای سایر منابع در دسترس کاربر عمل میکند و الزام کاربر به خاطر سپردن چندین رمز عبور را حذف میکند. |
تفاوت بین مدیریت هویت و مدیریت دسترسی چیست؟
مدیریت هویت تأیید میکند که شما چه کسی هستید و اطلاعات مربوط به شما را ذخیره میکند. یک پایگاه داده مدیریت هویت، اطلاعاتی درباره هویت شما – به عنوان مثال، عنوان شغلی و گزارشهای مستقیم شما – نگه میدارد و تأیید میکند که شما واقعا فردی هستید که در پایگاه داده توضیح داده شده است.
مدیریت دسترسی از اطلاعات مربوط به هویت شما استفاده میکند تا مشخص کند که به کدام مجموعه نرمافزاری اجازه دسترسی دارید و هنگام دسترسی به آنها مجاز به انجام چه کارهایی هستید. به عنوان مثال، مدیریت دسترسی تضمین میکند که هر مدیری که گزارشهای مستقیم دارد به یک برنامه برای تأیید جدول زمانی دسترسی داشته باشد، اما نه در این حد که بتواند برگه زمانی خود را تأیید کند.
IAM ابری در مقابل محلی
در گذشته بیشتر سیستم مدیریت هویت و دسترسی توسط سروری در محل فیزیکی یک سازمان مدیریت میشد که به آن on-prem میگفتند. اکثر سرویسهای IAM اکنون توسط یک ارائهدهنده در فضای ابری مدیریت میشوند تا از هزینههای تعمیر و نگهداری فیزیکی سازمان جلوگیری شود. IAM همچنین برای اطمینان از زمان کار، سیستمهای توزیعشده و اضافی و SLAهای کوتاه مدت موثر است.
مدیریت هویت و دسترسی AWS چیست؟
مدیریت هویت و دسترسی خدمات وب آمازون (AWS) در واقع یک سیستم IAM است که در AWS تعبیه شده است. با استفاده از AWS IAM، میتوانید کاربران و گروههای AWS را ایجاد کنید و به آنها اجازه دسترسی به خدمات و منابع AWS را بدهید. AWS IAM به صورت رایگان در دسترس است. خدماتی که سرویس AWS IAM ارائه میدهد، شامل موارد زیر است:
- کنترل دسترسی دقیق به منابع AWS
- احراز هویت چند عاملی AWS
- ویژگیهای تجزیه و تحلیل برای اعتبارسنجی و تنظیم دقیق سیاستها
- ادغام با راه حلهای مدیریت هویت خارجی
برای پیاده سازی مدیریت هویت و دسترسی به چه ابزارهایی نیاز دارم؟
ابزارهای مورد نیاز برای پیادهسازی IAM شامل ابزارهای مدیریت رمز عبور، نرمافزار تامین، برنامههای اجرایی سیاست امنیتی، برنامههای گزارش و نظارت و مخازن هویت است. ابزارهای IAM میتوانند شامل موارد زیر باشند، اما به آنها محدود نمیشوند:
MFA
احراز هویت چند عاملی به این معنی است که ارائه دهنده IAM شما به بیش از یک نوع مدرک نیاز دارد که نشان دهد شما همان کسی هستید که ادعا میکنید. یک مثال رایج، نیاز به رمز عبور و اثر انگشت است. سایر گزینههای MFA شامل تشخیص چهره، اسکن عنبیه و توکنهای فیزیکی مانند Yubikey است.
SSO
SSO مخفف عبارت single sign-on است. اگر راه حل IAM شما دسترسی با یک بار ورود را ارائه میدهد، به این معنی است که کاربران شما میتوانند تنها یک بار وارد سیستم شوند و سپس ابزار مدیریت هویت و دسترسی را به عنوان یک «پورتال» برای مجموعههای نرمافزاری دیگری که به آنها دسترسی دارند، بدون وارد شدن به هر یک در نظر بگیرند.
استراتژی اجرای IAM شامل چه مواردی است؟
به عنوان سنگ بنای معماری اعتماد صفر (zero trust)، یک راه حل IAM باید با استفاده از اصول اعتماد صفر مانند حداقل دسترسی به امتیازات و سیاستهای امنیتی مبتنی بر هویت اجرا شود.
مدیریت هویت مرکزی
یک اصل کلیدی اعتماد صفر، مدیریت دسترسی به منابع در سطح هویت است، بنابراین داشتن مدیریت متمرکز آن هویتها میتواند این رویکرد را بسیار سادهتر کند. این میتواند به معنای مهاجرت کاربران از سیستمهای دیگر یا حداقل همگام سازی IAM خود با سایر دایرکتوریهای کاربر در محیط خود مانند دایرکتوری منابع انسانی باشد.
دسترسی ایمن
از آنجایی که ایمن سازی در سطح هویت کلیدی است، یک IAM باید مطمئن شود که هویت افرادی را که وارد سیستم میشوند تأیید میکند. این میتواند به معنای اجرای MFA یا ترکیبی از MFA و تأیید اعتبار تطبیقی باشد تا بتواند زمینه تلاش برای ورود به سیستم را هم در نظر بگیرد، مثل: مکان، زمان، دستگاه و غیره.
کنترل مبتنی بر سیاست
کاربران باید فقط مجوز انجام وظایف مورد نیاز خود را داشته و امتیازی بیش از حد لازم نداشته باشند. یک IAM باید طوری طراحی شود که به کاربران بر اساس نقش شغلی، بخش آنها یا هر ویژگی دیگری که مناسب به نظر میرسد، به منابع دسترسی داشته باشد. بهعنوان بخشی از راهکار هویت مدیریت شده مرکزی، این سیاستها میتوانند اطمینان حاصل کنند که منابع بدون توجه به جایی که کاربران به آنها دسترسی دارند، ایمن هستند.
سیاست اعتماد صفر
یک خط مشی اعتماد صفر به این معنی است که راه حل IAM یک سازمان به طور مداوم هویت کاربران و نقاط دسترسی خود را کنترل و ایمن میکند. در گذشته، سازمانها بر اساس خطمشی «به محض ورود، دسترسی دارید» عمل میکردند، اما سیاستهای اعتماد صفر تضمین میکنند که هر یک از اعضای سازمان دائما شناسایی شده و دسترسی آنها مدیریت میشود.
حسابهای ممتاز ایمن
همه حسابها در یک سیستم مدیریت دسترسی، یکسان ایجاد نمیشوند. حسابهای دارای ابزارهای ویژه یا دسترسی ممتاز به اطلاعات حساس را میتوان با نوعی از امنیت و پشتیبانی تامین کرد که با وضعیت آنها به عنوان دروازهبان سازمان سازگار باشد.
آموزش و پشتیبانی
ارائه دهندگان IAM برای کاربرانی که بیشتر درگیر محصول هستند – از جمله کاربران و مدیران – خدمات آموزشی میدهند و اغلب برای سلامت طولانی مدت نصب IAM شما و کاربران آن خدمات پشتیبانی مشتری را ارائه میدهند.
فناوریهای IAM
انتظار میرود یک سیستم IAM بتواند با بسیاری از سیستمهای مختلف ادغام شود. به همین دلیل، استانداردها یا فناوریهای خاصی وجود دارد که انتظار میرود همه سیستمهای IAM از آنها پشتیبانی کنند: زبان نشانهگذاری دسترسی امنیتی، اتصال OpenID، و سیستم مدیریت هویت بین دامنهای.
زبان نشانه گذاری دسترسی امنیتی (SAML)
SAML یک استاندارد باز است که برای تبادل اطلاعات احراز هویت و مجوز بین یک سیستم ارائه دهنده هویت مانند IAM و یک سرویس یا برنامه استفاده میشود. این متداولترین روشی است که برای IAM استفاده میشود تا به کاربر امکان ورود به برنامهای را که با پلتفرم IAM ادغام شده است، ارائه دهد.
OpenID Connect (OIDC)
OIDC یک استاندارد باز جدیدتر است که به کاربران امکان میدهد از یک ارائه دهنده هویت به برنامه خود وارد شوند. این بسیار شبیه SAML است، اما بر اساس استانداردهای OAuth 2.0 ساخته شده است و از JSON برای انتقال دادهها به جای XML استفاده میکند که SAML از آن استفاده میکند.
سیستم مدیریت هویت بین دامنهای (SCIM)
SCIM استانداردی است که برای تبادل خودکار اطلاعات هویتی بین دو سیستم استفاده میشود. اگرچه SAML و OIDC میتوانند اطلاعات هویتی را در طول فرآیند احراز هویت به یک برنامه منتقل کنند، از SCIM برای به روز نگه داشتن اطلاعات کاربر هر زمان که کاربران جدیدی به سرویس یا برنامه اختصاص داده میشوند، دادههای کاربر به روز میشوند یا کاربران حذف میشوند استفاده میشود. SCIM یکی از اجزای کلیدی تامین کاربر در فضای IAM است.
