技术雷达

业界资讯、技术攻略、体育直播

堡垒机和IAM(身份识别与访问管理)集成实现统一身份认证

技术雷达
堡垒机作为数据中心运维安全管理的重要工具,在实际应用过程中,经常会需要和其他管理类产品或系统进行业务对接,以此来满足用户对运维安全的集中管控目的,实现统一的身份认证。这其中,最常见的对接系统之一就是IAM。
IAM(身份识别与访问管理)是业务管理软件,通过对员工个人账号的统一安全及权限管理,方便员工简单、顺利、安全地访问业务系统。针对员工从入职、日常工作、转换部门、离职的各个流程中,对个人账号进行验证、授权、权限稽核、个人风险、权限回收,实现企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理。很显然,IAM一方面可以统一员工的身份安全,另一方面员工不用在多套业务系统上建立账号和密码,而是通过IAM一个入口,访问所有有权限的业务系统,提高了管理效率。
堡垒机可以和IAM无缝对接

堡垒机自带身份认证模块,也具有双因子认证等强身份认证方式,但这些认证只对使用堡垒机访问数据中心的用户和账号有效,其身份认证的范围并不能扩大到OA、CRM、财务等其他业务系统。而IAM恰恰是对业务系统的统一身份认证管理,两者正好互为补充,解决统一身份认证的问题。
自然人(也就是员工)通过IAM开设访问业务系统的账号并认证完成后,IAM将结果通知给堡垒机,堡垒机识别账号之后自动对该账号开放其相应功能页面,实现无缝对接。IAM识别员工在前,堡垒机在后对自然人实现授权和访问控制。
堡垒机和IAM的三种主流集成方式

方式一:堡垒机-IAM-堡垒机
用户先访问堡垒机,堡垒机自动跳转至IAM的认证页面,用户完成认证之后再自动单点登录回堡垒机。
方式二:IAM-堡垒机
用户访问IAM的统一认证页面,完成认证之后选择对应产品(堡垒机),单点登录至堡垒机继续后面操作。
方式三:堡垒机-IAM
用户访问堡垒机,直接在堡垒机的认证页面输入用户名、密码,堡垒机将认证信息传递至IAM完成校验。
案例剖析

在南洋**银行的案例中,齐治科技将堡垒机与IAM实现了无缝集成。堡垒机支持IAM本地静态密码认证(密码应有健壮性要求,包括长度、复杂度、有效期等),完全满足IAM 系统针对不同的IAM 用户灵活配置密码复杂度。
在*港集团的案例中,齐治堡垒机采用RADIUS方式,与IAM身份认证与访问管理平台对接以统一身份认证

评论

发表回复

您的邮箱地址不会被公开。 必填项已用 * 标注