IT一直在不断发展，企业运作和交互方式也正以前所未有的速度发生变化。现在，是时候对你的身份和访问管理策略进行评估并迈向现代化了。

现在通过不同应用和API连接到企业网络的用户数量和设备日益增长，同时，随着物联网的发展，设备类型也正在呈爆炸式增长。

这让安全团队一直处于不利地位，他们艰难地控制着谁以及什么设备可访问网络资源，而攻击者却可以轻松绕过其他安全控制--因为他们拥有窃取的有效身份和登录凭证。这使得身份成为关键数字资产，身份安全则成为多层防御战略的核心。很多企业已经尝试使用现有的身份和访问管理(IAM)系统来应对这些变化，但这导致身份信息扩散以及安全控制被弱化，造成无托管身份的混乱环境。这是因为很多身份和访问管理策略已经过时，因此，企业应该作出调整，开发更长期的解决方案。

IAM的基本作用是将环境中所有活动与特定用户或设备相关联，并对这些活动进行报告。现在的现实是，如果企业想要保持竞争力，现有的身份和访问管理已经不够;IAM还必须处理身份联合和单点登录(SSO)，以便可轻松管理和配置大量用户及设备。而目前很多身份和访问管理策略仍然是围绕内部系统，这无法应对移动应用和面向客户的服务，用户需要随时随地快速方便地访问任何设备。即使安全团队认识到身份是新的安全边界，他们仍然难以平衡用户需求和安全要求。

如果企业选择整合额外的身份和访问管理产品到现有内部部署工具，这也很难确保效率或者安全性。现在的设备、应用和网络都支持不同的协议，这种方法会导致内部身份管理解决方案“分裂”，没有对身份的集中控制。主要的问题是它需要对访问进行手动和耗时配置和取消配置，这里出现错误和遗漏的话，可能会让用户感到沮丧、生产效率降低以及数据泄露等。

身份控制层要点

数字化转型成功的关键是向员工、合作伙伴和客户提供快速方便地联合身份服务。这意味着现代身份和访问管理战略需要SSO(在一个域名中的实体身份可用于另一个域名对相同实体的身份验证)、集中配置和取消配置。同时，它还必须建立在开放标准之上，为数百万用户和设备提供多因素和情境感知身份验证、可自助服务且具有可扩展性。

目前企业需要管理多种IT资源，当涉及身份管理时，企业需要使用多种身份验证协议。这种做法的目的是限制处理不同设备和协议类型所需组件数量。这可减少所需不同工具和专家的数量，还可减少不同供应商控制不足够重叠导致出现缺口的情况。

多年来涌现出很多IAM相关标准和协议。桌面应用通常使用轻量目录访问协议(LDAP)，而基于Web的应用通常使用安全断言标记语言(SAML)或者开放式身份验证(OAuth)，Windows应用通常使用Kerberos。其他标准包括Central Authentication Service、OZ协议、CoSign协议、WS-Fed、JSON Web Token和OpenID Connect(OIDC)。尽管部署SSO有很多选择，但可帮助卡法人员在应用和身份提供商之间实现安全无缝集成并不是很多。SAML、OAuth和OIDC正在获得开发人员的追捧--Ping Identity公司报告显示49%的受访公司使用OIDC，但移动和物联网(IoT)要求更难以部署，这主要因为资源和通信限制以及缺乏有关如何安全地在特定身份提供商平台进行身份验证的权威指南。

IoT对身份和访问管理策略意味着什么

SSO是人类需要的基本功能，因为它可避免密码的很多缺点。IoT设备并不一定需要SSO带来的便利，但设备之间的关系非常重要。那些用于多个域名中的设备需要身份及关系管理，因此，只能支持一个域名的IAM无法确保IoT设备的全面身份管理。而通用自启动架构和身份管理系统等用于处理IoT的技术可帮助减少在设备生命周期内维护身份和关系的复杂性。云安全联盟在其《物联网身份和访问管理》报告中甚至提到，企业应该评估新的身份关系管理技术来替换传统IAM。

在可预见的未来，CISO将需要在其身份和访问管理策略中涵盖多协议环境，因此，最好的办法是确定必须支持哪些协议，并采用支持这些协议的单一身份管理解决方案。这将确保安全性和一致性，提高用户生产效率，并节省成本。

然而，构建这种IAM基础设施超出大多数企业能力范围，并需要对硬件和人员的巨大投资，这在大多数情况下是非核心活动。在很多情况下，最好的选择是外包身份管理到专门的提供商。这就是为什么很多CISO转向身份即服务(IDaaS)来升级其IAM功能。微软和甲骨文等知名IT供应商以及Ping Identity等新供应商都在推广基于云的服务和平台，为客户跨多个应用提供共享身份，同时提供单一集成视图。请注意，有些供应商通过云计算提供身份联合和SSO，但他们并不提供真正集成的全面的企业级IAM解决方案。

基于云的IAM

对于很多企业而言，基于云的IAM的吸引力不仅在于它允许企业快速推出新功能，而且它还可以消除寻找和雇佣安全人员来支持内部IAM产品的麻烦。