Active Directory与Identity和Access管理之间的区别

时间:2017-05-15 19:38:35

标签: active-directory

如果这个问题听起来微不足道,请原谅。但我是身份和访问管理的新手。市场上有许多工具可供IBM,Oracle等使用。

我来自微软的背景,并且认为Identity和Access Managment工具所做的一些事情可以通过Active目录完成。

我很难理解Active Directory与Identity和Access管理的不同之处。

我可以将这些IAM工具与Active目录集成吗?

是否存储在Active Directory中的内部用户的身份和访问管理?

如果有IAM提供的原因或功能(在Active目录的顶部),这种交互如何工作?对于前者我的服务器凭据始终根据活动目录进行检查。无法根据IAM数据库进行检查。这是否意味着IAM使用Active Directory作为存储库?

2 个答案:

答案 0 :(得分:3)

这是一个令人惊讶的常见问题,对许多人来说并没有多大帮助 市场参与者喜欢使用误导性的术语来描述 他们自己的产品。

这样想:

DIRECTORIES,包括活跃目录:

  • 目录是存储有关身份的信息的系统:

    • 数据的物理存储方式各不相同,也不太重要。
    • 存储的数据包括用户ID,名称和其他身份 属性等。
    • 可能存在与用户对象关联的密码,但这些密码 并非总是如此。
    • 可能有群组和群组成员资格,其中包含哪些内容 人们也可以访问。这也是可选的。
    • 目录中的对象可能根本不代表人 - 你可以 有计算机对象,政策对象,打印机等。

  • 目录通过网络服务公开此数据。原则上, 使用LDAP(轻量级目录访问协议)。合并后 使用SSL或TLS,这将成为LDAPS并加密。这是 用于搜索,读取和插入/更新内容的主要协议 进入目录。

  • Active Directory(AD)是Microsoft的主要目录产品 企业使用。还有Azure AD(根本不是AD, 实际上 - 据我所知,没有LDAP服务)和 Active Directory轻量级目录服务(AD-LDS) 对PC登录无用,但在其他方面是一个可靠的LDAP目录。

  • 还有很多其他LDAP目录产品,包括 OpenLDAP(免费/开源),OID(Oracle)和许多其他。

  • AD在很多方面都很有趣:

    • 它与Windows操作系统紧密集成。

    • 企业环境中的用户通常会登录其PC 使用AD ID /密码,而不是存在的本地ID /密码 仅在PC上。

    • AD中有一些工具(组策略对象)用于管理安全性 关于个人电脑和用户的政策。

    • AD具有很强的可扩展性,支持实时和容错 在数百个目录中复制目录内容 服务器,Microsoft称之为域控制器。

身份和访问管理:

  • 目录是存储信息的地方 用户,并在需要时检索它(例如,识别用户 登录系统/应用程序,验证它们并检查什么 他们被授权访问),身份和访问管理 (IAM)系统用于自动化填充的业务流程 并管理目录的内容。

  • IAM系统的一个示例用例是监控HR系统, 检测新员工,移动和终止并自动创建, 在一个或中修改或删除登录帐户和身份属性 更多目录作为回应。

  • IAM系统的另一个示例用例是公开Web 用户可以请求更改自己或其他用户的门户网站。 访问权限或身份信息。此类请求可能是主题 在将它们写入一个或之前进行验证和授权 更集成的目录。

  • IAM系统的其他用例包括密码同步 多个系统和应用程序之间,自助密码 用户遇到登录问题时,请重置或解锁,定期查看 并清除陈旧的访问权限(例如登录帐户和组 会员资格),维护组织结构关系(链接经理 对下属),政策的应用,如隔离 职责(拥有组成员资格的人不应该也有 组成员资格)以及各种报告和分析。

  • IAM系统通常与许多系统集成。这包括 人力资源应用程序或其他记录系统," AD等目录 或OpenLDAP,Unix / Linux,Oracle,MSSQL等系统上的本地帐户, 等等,应用程序中的访问权限,范围内的内部事物 像SAP或Oracle EBS到云托管的应用程序,如Salesforce.com, Concur等等。 IAM系统的价值主张 可以认为是由于流程的产品自动化 系统集成的时代。

身份和访问管理:

底线是目录是存储数据的地方   人和其他对象,IAM系统是您管理数据的方式   具有良好的效率和控制能力。

顺便提一下,有很多术语定义   与IAM有关:

https://hitachi-id.com/resource/iam-concepts/

答案 1 :(得分:1)

“身份”一词使用不一致的另一个主要问题。在大多数 IAM 解决方案中,身份是其他系统中的所有其他账户随后将关联的单一标识符。您在多个系统中拥有一个身份和多个帐户。这就是记录系统、权威来源或黄金来源发挥作用​​的地方,而且很少是 AD。 HR 通常是用于此身份的记录系统,因为它永远不会改变,无论您的就业状况、地点等如何。确实,您的主要 AD 凭据用于让您进入网络,为您提供电子邮件和许多其他资源.但是我们中的许多人拥有多个 AD 帐户,并且有太多场景您在 AD 中指望的唯一标识符实际上会发生变化。在大多数 IAM 解决方案中,SID 通常不是功能选择,因此选择了其他属性,这些属性可以并且将会改变;通常,当您使用此属性进行了过多投资时,您突然意识到您的坚固砖砌房屋现在是一个潜在的纸牌屋。

不幸的是,即使是 MS 也过于轻率地使用 Identity,尤其是在 Azure 领域。当他们应该使用术语“帐户”时,他们谈论身份。在这些 MS 讨论中,您将拥有多个身份。这在 IAM 世界中不起作用。在我们决定 Identity 是对您的单一来源引用之前,我们过去称其为您的“肚脐帐户”,这意味着您希望只有一个肚脐,而“肚脐帐户”是您拥有的所有其他帐户的帐户被绑定到。想想一个高度分布的关系数据库中的主密钥。这是您将跨多个系统的所有不同访问实例链接回个人(包括多个 AD 帐户)的方式。

相关问题
最新问题