m o c . 5 h t i g b u 1 m o c . 5 （试读本） b u h t i g 2 m o c . 5 b u h t i g @2021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或 者访问云安全联盟大中华区官网（https://www.c-csa.cn）。须遵守以下：(a)本文只可作个人、信息获取、 非商业用途；(b) 本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循 中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。 3 致谢 云安全联盟大中华区（简称：CSA GCR）IAM 工作组在 2020 年 5 月成立。由戴立伟 担任工作组组长，工作组专家来自微软、华为、中国移动、奇安信、启明星辰、天融信、 碧桂园、Okta、龙湖集团、竹云、万物安全、联软科技、易安联、星展银行、oyo 酒店、 德勤等二十多个单位。 本白皮书由 CSA 大中华区 IAM 工作组专家撰写，感谢以下专家的贡献： 组长：戴立伟 贡献者名单：于继万，朱璐，江澎，张帆，董明富，于乐 ，谷雨，常官清，张彬， m o c . 5 谢琴，李慧，杨清公，赵呈东，程伟强，郭晓锋，Jason Huang，伏明明，郑彬，黄超， 徐阳，周潮洋，丁元东，史晓婧，张智，黄恒华，滕伟，孟茹 贡献单位：竹云，华为，中国移动，奇安信，绿盟，天融信，格尔软件，启明星辰， 易安联，安讯奔，美云智数 b u 研究助理：朱晓璐 （以上排名不分先后） h t i g 关于研究工作组的更多介绍，请在 CSA 大中华区官网（https://c-csa.cn/research/） 上查看。 如本白皮书有不妥当之处，敬请读者联系 CSA GCR 秘书处给与雅正! 联系邮箱： [email protected]；云安全联盟 CSA 公众号： 4 序言 IAM（Identity and Access Management，身份与访问管理）致力于确保组织中的人、 设备等在日益复杂的技术环境中合理访问资源，是保障信息系统高效连接，人员、设备 访问安全，以及实现组织数字化转型目标的核心基础设施，并用于满足日益严苛的合规 性要求。对于企业、政府等组织而言，IAM 都是一项非常关键的职能。它与业务紧密保 持协同，使能组织在支持新业务计划方面变得更敏捷，因此对 IAM 技术开展研究非常 必要。 随着数字化技术的深入应用以及国内外政策法规的不断完善，IAM 技术历经从单一 m o c . 5 功能模块到全面数字身份治理体系的发展历程，业务场景不断延伸，在智慧城市、数字 政府以及各行业数字化转型中均具备丰富的应用场景。 云安全联盟大中华区依据 IAM 技术的发展和应用编制了此白皮书，此白皮书结合 各行业与国内外 IAM 发展状况，对 IAM 发展历程、核心能力包含身份管理、访问控制 b u 与权限管理、合规审计、风险管控等以及现代增强型 IAM 技术的演进路线进行了详细 介绍。同时针对 IAM 在云计算、物联网、零信任等技术领域的落地场景以及 IAM 在相 h t i g 关行业的应用场景和实践案例进行了重点解读和分析。 借此白皮书抛砖引玉，我们与行业专家共同探讨 IAM 的发展趋势，为相关从业者 提供指导。 李雨航 Yale Li CSA 大中华区主席兼研究院院长 ©2021 云安全联盟大中华区-版权所有 5 目录 致谢..................................................................................................................................................4 序言..................................................................................................................................................5 1 介绍..............................................................................................................................................8 1.1 目标读者..........................................................................................................................8 2 系统概述......................................................................................................................................9 2.1 身份管理和访问控制发展行业背景..............................................................................9 2.2 什么是 IAM.................................................................................................................... 14 2.3 Identity、Authentication、Authorization、Audit 的定义和关系及与 IAM 的联系... 14 m o c . 5 2.4 IAM 的核心能力............................................................................................................. 17 2.5 IAM 发展历程及趋势..................................................................................................... 19 3 身份管理................................................................................................................................... 21 3.2 身份识别服务................................................................................................................25 b u 3.3 用户分类管理................................................................................................................26 3.4 用户全生命周期管理....................................................................................................29 h t i g 3.5 用户信息存储................................................................................................................32 3.6 用户的同步和回收能力................................................................................................42 3.7 密码管理........................................................................................................................45 3.8 特权账号管理说明........................................................................................................46 3.9 身份管理的其他业务特征............................................................................................50 4 登录认证................................................................................................................................... 51 4.1 身份信任的概念及模型................................................................................................51 4.2 认证类型及 MFA........................................................................................................... 53 5 访问控制与权限管理............................................................................................................... 94 5.1 访问控制模型说明........................................................................................