在评估身份和访问管理(IAM)平台时，你会发现，其好处远远超过缺点。这就是说，在设计IAM部署和持续维护流程时，你只需要考虑少数身份和访问管理风险。例如，当你开始集中管理用户名和身份验证机制时，你需要注意，该流程会带来很大安全风险。

因此，你需要在IAM部署的开始时就考虑安全性。这包括必要的防火墙和入侵防御系统IPS防护，以及制定严格的访问政策，以严格限制谁有权管理平台。

通过政策降低身份和访问管理风险

另一个潜在的问题是确定管理员如何管理企业内基于角色的访问控制(RBAC)。管理员通常采用RBAC的方法来根据用户访问类似资源的需要，将多个用户捆绑到用户组。虽然采用访问组的做法，可减少需要创建和维护的访问政策数量，但很多企业将过多的用户集中到一个组中，其结果是有些用户被授予权限访问他们不需要的应用程序和服务。

在最好的情况下，这只会导致用户访问不够严格。在最坏的情况下，这可能导致不适当的职责分离，而这可能导致访问控制不合规。

最后，当你在部署IAM时，请务必制定政策，要求定期进行访问控制审计。随着用户角色的转变，这些用户组的访问权限也应该改变。此外，当用户职位改变时，请确保撤消所有先前的访问权限。

这种审计流程可降低身份和访问管理风险，并带来两个重要好处：首先，它会有详细记录的流程供IT部门遵循;其次，它将迫使IT管理员了解用户执行其特定职责所需的应用程序和服务。

身份认证产品相关介绍

• 双因素验证 (2FA) 解决方案

• SAS身份认证服务

• 一次性口令 (OTP) 动态口令身份认证

• MobilePASS - 移动软件认证设备 手机端的动态口令令牌

• IDPrime身份认证智能卡 SmartCard

• 基于证书的 PKI USB 身份认证令牌

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Luna HSM v7.8.4 和 Luna HSM Universal Client v10.7 现已推出

• Thales提前完成收购Imperva交易

• Oracle的欧盟主权云和 Thales CipherTrust：数字主权的新时代

• 简化密钥和证书的审核和修复

• 揭示PKI动态：全球各地区技术趋势和监管见解