在企业网络安全体系中,身份与访问管理(Identity and Access Management,IAM)是"第一道防线"——它所解决的根本问题是:谁,能访问什么,在什么条件下,做了哪些操作。随着企业数字化转型深入,员工需要访问的系统和应用越来越多,传统"一人一账号、各自管理密码"的模式早已不堪重负。权限滥用、账号共享、离职账户未清理等安全问题屡见不鲜,而IAM正是从根源上解决这些问题的体系化方案。
本文将结合实战经验,从IAM的核心能力、建设路径、技术选型到持续治理,全面解析企业如何构建有效的身份与访问管理体系。
一、IAM不是什么新鲜事——但为什么越来越重要?
IAM的概念可以追溯到20世纪90年代的LDAP目录服务,但今天IAM的重要性被提升到前所未有的高度,背后有三大驱动力:
应用数量的爆炸式增长:一个中型企业可能同时运行ERP、CRM、OA、HRM、PLM、邮件系统、代码仓库、云服务管控台等数十甚至上百个应用系统和平台。每个系统都有自己的用户管理和权限体系,统一管理成为刚需。
零信任架构的普及:零信任的核心理念"永不信任、始终验证"要求每一次访问请求都经过身份验证和授权检查。没有强大的IAM基础设施,零信任根本无法落地。
合规要求的日趋严格:ISO 27001的附录A第5章组织控制措施中,A.5.9(资产管理)、A.5.15(访问控制)、A.5.16(身份管理)、A.5.18(访问权审查)等一系列控制措施都与IAM直接相关。此外,等保2.0、GDPR、个人信息保护法等法规对身份管理和访问控制也有明确要求。
二、IAM体系的核心能力
一个完善的IAM体系通常包含以下八大核心能力:
2.1 身份生命周期管理
从员工入职第一天到离职最后一天,身份的生命周期管理贯穿始终:
- 入职:自动创建账号,根据岗位模板分配默认权限
- 转岗:自动更新权限,收回旧岗位权限、授予新岗位权限
- 离职:自动禁用账号、清理权限、归档操作日志
- 重返:恢复或重新创建身份
实践中最大的痛点是"离职账户清理"。很多企业员工离职后,IT管理员在HR系统的离职流程触发后,手工禁用各系统中的账号。这个过程需要多久?据调研,超过40%的企业需要3天以上才能完成全系统的账号清理——这期间,离职员工的账号就成了内鬼攻击的理想入口。
2.2 单点登录(SSO)
SSO让用户用一组凭证访问所有已接入的应用系统,不再需要为每个系统记忆不同的密码。技术实现上,主流协议包括SAML 2.0、OAuth 2.0、OIDC(OpenID Connect)、CAS等。
SSO带来的直接好处包括:
- 减少密码疲劳,降低弱口令风险
- 集中管理认证策略(如登录失败锁定、MFA强制、会话超时)
- 缩短登录时间,提升员工工作效率
2.3 多因素认证(MFA)
在密码之外叠加第二甚至第三层认证因素(如手机OTP、生物识别、硬件令牌),是防止"撞库"和"钓鱼"的最有效手段之一。
需要特别注意的是,并非所有MFA都安全——SMS验证码存在SIM Swap攻击风险,建议优先使用基于TOTP(基于时间的一次性密码)的认证器应用或FIDO2硬件密钥。对于高安全要求的系统(如堡垒机、云管控台、核心数据库),应强制使用FIDO2或PKI证书认证。
2.4 权限治理与最小权限原则
最小权限原则(Principle of Least Privilege,PoLP)要求每个用户仅拥有完成其工作所必需的最小权限。落地时需要注意:
- 权限粒度的设定:角色权限不能过粗(一揽子权限导致权限泛滥),也不宜过细(维护成本过高)
- 定期权限审查:至少每季度审查一次关键系统的权限分配情况
- 权限膨胀防治:建立"权限领取→使用→回收"的闭环机制
2.5 特权访问管理(PAM)
管理员、DBA、超级用户等拥有高权限的账号,是IAM体系中的"高危群体"。PAM的核心措施包括:
- 特权账号定期自动改密
- 实时会话监控与录屏
- 临时权限申请与审批
- 特权账号的免密管理(禁止明文存储特权账户密码)
2.6 访问审计与日志
IAM体系产生的审计数据是事后追溯和合规审核的重要依据。需要关注的内容包括:登录成功/失败记录、权限变更记录、高权限操作记录、异常登录检测(异地登录、非工作时间登录、陌生设备登录)。
三、IAM建设路径:从0到1的四个阶段
第一阶段:现状摸底(1-2周)
在开始建设之前,先完成以下摸底工作:
- 盘点企业现有系统和应用的数量、类型、部署方式
- 梳理各系统当前的用户管理方式(独立账号/LDAP/AD/无管理)
- 统计当前人均持有账号数量和密码策略
- 记录已有的认证方式(仅密码/密码+短信/无认证)
- 盘点近12个月的安全事件中,与身份和权限相关的事件占比
摸底完成后,形成一份《企业身份管理现状评估报告》,作为后续建设的基准。
第二阶段:核心建设——统一身份源与SSO(4-8周)
第一步是统一身份源。将HR系统作为权威身份源(Source of Truth),通过SCIM协议或中间件将人员信息自动同步到IAM平台。同步内容包括:姓名、工号、部门、岗位、入职日期、离职日期、汇报关系等。
第二步是部署SSO网关。选择一个成熟的IAM平台(如Keycloak/Okta/Azure AD/阿里云IDaaS等),选定OIDC作为主要认证协议,分批接入各业务系统。建议先接入3-5个核心系统(OA/邮件/代码仓库/CRM)作为试点,验证流程通顺后再全面推广。
第三阶段:精细化管理——权限治理与RBAC(4-12周)
建立基于角色的访问控制(RBAC)模型是这一阶段的核心工作。步骤如下:
- 角色梳理:整理企业的组织架构和岗位体系,梳理出核心业务角色(如:销售代表、区域经理、财务审核、IT管理员等)
- 权限映射:为每个角色分配最小必要的系统权限集
- 角色自动分配:配置规则,新员工入职时根据岗位自动获得对应角色
- 申请审批流程:对越权申请设置"审批→授权→到期自动回收"的工作流
第四阶段:持续运营——审查、监控与优化(长期)
IAM不是一次性的项目,而是持续运营的过程。需要建立以下常态化机制:
- 季度权限审查:管理员和业务负责人共同审查关键系统权限
- 异常行为监控:部署UEBA(用户和实体行为分析),识别异常登录、非正常时间操作等
- 定期MFA培训:提高员工对安全意识,尤其针对钓鱼攻击的防范
- 年度IAM健康检查:评估身份管理成熟度,持续改进
四、技术选型建议
IAM平台选型时,可以从以下维度评估:
| 评估维度 | 关注要点 |
|---|---|
| 协议支持 | 是否支持OIDC/SAML/SCIM/LDAP等主流协议 |
| 集成能力 | 是否有现成的应用连接器,是否支持自定义集成 |
| 部署方式 | SaaS、本地部署还是混合部署 |
| MFA能力 | 是否支持TOTP/Push/YubiKey/FIDO2/生物识别 |
| 审计能力 | 登录日志保留时长、审计报告定制能力 |
| 价格模型 | 按用户数还是按应用数计费,是否有隐藏成本 |
对于中小企业(500人以内),开源的Keycloak是一个低成本且功能完善的起点;对于大型企业,Okta、Azure AD、阿里云IDaaS等商业方案在生态集成和服务支持上更有优势。
五、常见踩坑点与避坑指南
坑1:SSO单点损坏变单点故障
SSO网关是整个IAM体系的单点——一旦宕机,所有接入系统都无法登录。解决方案:SSO网关采用多节点集群部署,每个节点配置冗余,同时保留紧急情况下每个系统本地管理员账号的应急登录通道。
坑2:RBAC角色设计过于精细
有些团队试图定义100+个角色来穷尽所有权限场景,结果角色维护成本极高、无人能说清每个角色到底有什么权限。建议先从20-30个核心角色开始,后续根据实际需求逐步细化。
坑3:离职账号清理仍然靠"人情"
即使部署了IAM平台,如果HR系统和IAM平台的同步周期过长(比如每日一次全量同步),离职身份无法实时禁用,依然存在安全隐患。建议将同步频率改为实时或每5分钟一次。
坑4:忽略服务账号管理
很多企业聚焦于人机交互的身份管理,却忽略了应用之间通信使用的服务账号(Service Account)。服务账号通常拥有高权限、密码很少轮换、容易被遗忘。应将服务账号纳入PAM管理体系,实施定期改密和审计。
结语
身份与访问管理不是一个能"一次部署、一劳永逸"的技术项目,而是一个需要持续投入和运营的管理体系。它的本质,是将"谁有权做什么"这件事从隐性的依赖关系,变成显性、可管理、可审计的企业治理能力。对于正在建设或升级IAM体系的安全从业者,核心的建议只有一条:从HR系统开始,以用户旅程为主线,逐步覆盖——不要试图一步到位,但务必确保每走一步都落到实处。