在上期推文《身份管理速成课(上)》中,已经对身份管理的基本概念、企业部署的原因以及理想的解决方案做了详细介绍,本期推文将继续带你了解企业应如何打造适合自己的身份管理方案。
制定身份管理策略
制定身份管理策略时需要考虑很多因素,不同厂商都宣称各家的管理策略是最佳方案,但真正适合企业的策略还是要取决于企业性质。要明确企业的独特需求,需要考虑以下四类因素。
1)IT 基础架构
要确定合适的身份管理解决方案,首先要评估企业的 IT 资源。
首先创建一个涵盖企业使用的所有应用的列表,然后确定应用是基于云还是本地,以及是否有需要直接管理的内部应用。与基于 Windows 的本地架构相反,企业的环境越多样化,就越有可能选择基于 SaaS 的身份管理或下一代身份即服务(IDaaS)。
在办公场所不断变化的背景下,另一个需要考虑的 IT 基础架构因素是远程员工的比例。存在远程员工的企业需要考虑如何授予这类员工访问权限、如何管理其设备以及如何管控其身份验证流程。
2)设备管理
与企业 IT 基础架构密切相关的另一个因素就是设备管理。企业是否需要远程管理策略、映射网络驱动器或禁用员工设备上的访客登录?是否有硬盘驱动器加密或快速锁屏等其他安全要求?满足任何一项的企业都可以考虑部署 IDaaS。
3)身份验证要求
企业的运行环境需要哪些身份验证方法,又启用了哪些策略来定义这些验证方法?考虑这些问题有助于决定组织是否需要 SSH 密钥或双因素认证(2FA)/多因素认证(MFA),此外还应考虑有关密码要求的策略。
安全的复杂密码包括大小写字母、数字和符号,其中字母部分不使用完整的单词更安全,尽管复杂密码提升了账号安全,从另一个角度来看管理员也可能因大量的忘记密码请求而不堪重负。比起复杂的短密码,传统观念也更推崇长密码。
由于 Web 应用可能已经体现了企业环境最广泛多样的方面,企业可能希望采用包含单点登录(SSO)的解决方案。了解企业的身份验证要求后再制定保护企业的合规策略,就能保证身份管理解决方案也满足合规性要求。
4)IT 流程
企业需要确保身份管理工作的流程设计兼顾高效和安全,这主要取决于三个方面:
- 企业计划自动化的流程
- 保持手动实施的流程
- IT 系统是否需要与其他应用(如 HR 平台)集成
为此,企业还需要考虑入离职等情况:入职流程是远程完成,还是本地批准新员工的设备许可并进行设置?员工离职时,如何终止其权限?
其中很多问题都可以总结为企业希望授予终端用户的自助服务级别。终端用户的远程自助管理能力越低,企业就越适合采用基于云的综合 IAM 系统协助管理员的工作流程。
选择适合企业的身份管理解决方案
随着越来越多的 IT 服务向云原生迁移,IaaS(Infrastructure as a Service,基础设施即服务)也越来越受欢迎。但如何选择合适的身份管理策略这一难题可能依然会让企业望而生畏。从安全角度来看,身份管理平台的确是保护用户凭证的最有效工具。
宁盾一体化身份管理平台能够帮助企业集中控制用户访问的同时为凭证提供全方位保护,通过多因素认证、单点登录、统一认证等产品满足企业的身份管理要求。
