标签: 安全运维
-
堡垒机和IAM(身份识别与访问管理)集成实现统一身份认证
IAM(身份识别与访问管理)是业务管理软件,通过对员工个人账号的统一安全及权限管理,方便员工简单、顺利、安全地访问业务系统。针对员工从入职、日常工作、转换部门、离职的各个流程中,对个人账号进行验证、授权、权限稽核、个人风险、权限回收,实现企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理。很显然,IAM一方面可以统一员工的身份安全,另一方面员工不用在多套业务系统上建立账号和密码,而是通过IAM一个入口,访问所有有权限的业务系统,提高了管理效率。 堡垒机可以和IAM无缝对接 堡垒机自带身份认证模块,也具有双因子认证等强身份认证方式,但这些认证只对使用堡垒机访问数据中心的用户和账号有效,其身份认证的范围并不能扩大到OA、CRM、财务等其他业务系统。而IAM恰恰是对业务系统的统一身份认证管理,两者正好互为补充,解决统一身份认证的问题。 自然人(也就是员工)通过IAM开设访问业务系统的账号并认证完成后,IAM将结果通知给堡垒机,堡垒机识别账号之后自动对该账号开放其相应功能页面,实现无缝对接。IAM识别员工在前,堡垒机在后对自然人实现授权和访问控制。 堡垒机和IAM的三种主流集成方式 方式一:堡垒机-IAM-堡垒机 用户先访问堡垒机,堡垒机自动跳转至IAM的认证页面,用户完成认证之后再自动单点登录回堡垒机。 方式二:IAM-堡垒机 用户访问IAM的统一认证页面,完成认证之后选择对应产品(堡垒机),单点登录至堡垒机继续后面操作。 方式三:堡垒机-IAM 用户访问堡垒机,直接在堡垒机的认证页面输入用户名、密码,堡垒机将认证信息传递至IAM完成校验。 案例剖析 在南洋**银行的案例中,齐治科技将堡垒机与IAM实现了无缝集成。堡垒机支持IAM本地静态密码认证(密码应有健壮性要求,包括长度、复杂度、有效期等),完全满足IAM 系统针对不同的IAM 用户灵活配置密码复杂度。 在*港集团的案例中,齐治堡垒机采用RADIUS方式,与IAM身份认证与访问管理平台对接以统一身份认证