我们从以下角度阐述 IAM:
( 1 )身份及授权的集中式管理。
( 2) 安全的验证。
(3 )联合、集中式验证及单一登录。
为了让企业使用自身的身份识别管理系统而进行云服务整合,其首要目的是提供给用户相当程度的方便性,例如集中式单一验证或甚至所有应用程序都使用单一登录,与高度安全的验证及集中式的角色及权限管理。
身份及授权的集中式管理用户数据库早在云时代开始前就存在。 轻量级目录存取通信协议( Lightweight rectory Access Protocol ,LDAP) 从十几年前就运用在不同产品种类以进行企业身份管理。查阅 LDAP 在维基百科的结果,提供了该协议完整的发展历史资料,并列出可以目录服务来支持此协议与身份管理的系统与产品。
至于集中式身份管理,其周边的系统也须采用集中式管理。就 LDAP本身而言,LDAP 目录不算是很重要的数据库,它所提供的数据可用做参考信息,但没有其他功用。
集中式身份管理的特点
身份及角色管理
LDAP 用户目录是由示意图 (Schemas) 组织而成的。通常,每一个使用 LDAP 机制的产品会建立在一个以上的标准示意图架构,例如用OpenLDAPcore.schema 可建立一般用户数据记录的基础信息,其字段包括姓名、公司、称谓、电话号码、地址、电子邮件等。
在角色管理上,IdM或 IAM 的挑战来自于需要提供最可能的通用方式,其困难的地方不在于 LDAP 的存储技术,因为事先定义好的示意图已经被导人,而专为企业开发的示意图,通常也可以分别加在产品中,但困难之处在于开发一个既通用又全面的角色管理。
一个简单的例子是支持工作流程并涉及以下角色的内容管理系统:检查者、内容提供者 / 编辑、内容管理者、核准者、系统管理者。相对地,也有一个系统是建立在没有角色的权限管理上,例如同页应用程序的平台仅包括系统登录、监控、应用程序部署、重新启动服务器、观看记录文件等权限。此系统并不需要任何角色的许可证管理,而是以权限示意图来链接系统用户。