< Terminology >
IAM专业术语库
我们使用的身份和访问管理术语及概念的在线定义
-
IAM
IAM
Identity and Access Management,身份管理与访问控制,能有效控制人或物等不同类型用户访问行为和权限的技术框架,是一套全面的身份治理体系,包含身份管理、访问权限控制、身份认证、自适应的多因素智能融合认证、电子身份创建与回收的自动化管控、访问行为审计、权限互斥的合规管理以及确保实时预警和有效防范的风险管理机制。 -
身份联邦
身份联邦
Identity Federation,指多个应用间进行身份互信,实现身份联邦认证。 -
2C管理
2C管理
To Customers,指对企业拥有消费者、客户的身份管理。 -
2B管理
2B管理
To Business Partners,指对企业经销商、供应商等合作伙伴的身份管理。 -
社交认证
社交认证
指应用身份验证通过与社交软件互信,用社交软件进行身份验证的技术,如微信、QQ、微博、钉钉等。 -
用户画像
用户画像
提供多维度基础属性、到访意图及行业变化趋势,帮助用户洞悉目标群体,锁定热点走向,优化内容运营,并可通过全网分析洞察潜在流量,深度挖掘画像价值。 -
数字身份
数字身份
Digital Identity,在数字世界中,通过IAM技术将物理世界身份与数字世界的身份进行映射,是个人、组织或设备在网络空间中使用的在线或网络身份。 -
SCIM
SCIM
System for Cross-domain Identity Management,是一种开放标准旨在简化身份数据的推送和管理。在不同数据存储的系统之间,特别是不同域下的SaaS应用之间,以快速、便捷、成本较低的方式实现身份数据同步的需求越来越多。 -
身份认证
身份认证
通过CA数字证书、指纹、动态口令等不同的安全认证方式解决“你是谁”的身份验证与识别问题。 -
2E管理
2E管理
To Employees,指对企业内部员工的身份管理。 -
融合认证
融合认证
旨在打造一套通用的认证平台,组织可以通过统一架构快速获取不同的认证方法(包括生物识别认证、非生物认证、标准认证协议)新的认证服务即插即用,并可提供统一API,一次对接,全局使用,同时框架提供灵活认证编排、认证安全等级划分,方便组织灵活调度认证方式。 -
设备指纹
设备指纹
指可以用于唯一标识出该设备的设备特征或者独特的设备标识,通过获取关联设备的硬件、系统、网络、状态等信息,通过专有加密算法,赋予其唯一的设备标识符,并注册为信任设备,将用户身份与设备指纹信息进行关联、绑定,提升认证安全等级。 -
IDM
IDM
Identity Management,身份管理,是指用于识别、认证、授权个人或团体的管理流程。 -
CAS
CAS
Central Authentication Service,中央认证服务,是耶鲁大学发起的一个开源项目,旨在为 Web 应用系统提供一种可靠的单点登录方法。 -
身份凭证
身份凭证
指用户用以获取信息资源访问权的标识,如用户的口令、公钥基础设施(PKI)证书,生物特征信息(指纹、虹膜、人脸、声纹等)。 -
IoT身份管理
IoT身份管理
是指对物联网设备的管理,实现人与物、物与物的身份管控,实现对物品、设备身份的智能化感知、识别和管理。 -
FIDO
FIDO
Fast IDentity Online,是一套轻量级身份鉴别框架协议,由U2F(Universal Second Factor,通用第二因素)、UAF (Universal Authentication Framework,通用认证框架)、FIDO2协议构成。 -
UBA
UBA
User Behavior Analytics,用户行为分析,指基于特定规则、机器学习算法等技术对用户行为进行全面分析,可在身份欺诈、金融诈骗、敏感数据访问、精准营销等场景应用。 -
AM
AM
Access Management,指用于控制网络访问过程的技术。为防止对信息系统的未经授权的访问,应当有正规的程序来控制对信息系统和服务的访问权限分配。 -
OAuth2.0
OAuth2.0
是一个开放标准,允许用户授权第三方移动应用访问他们存储在另外的服务提供者上的信息,而不需要将用户名和密码提供给第三方移动应用或分享他们数据的所有内容。 -
孤儿账号
孤儿账号
又称幽灵账号,系统中存在但无法被关联到具体人员的账号。 -
用户生命周期管理
用户生命周期管理
是指维护和更新数字身份的一整套过程和技术,实现员工入职、调岗、离职、返聘、退休等人事变动过程中身份同步、配置、撤销和对用户属性、凭证及权益的管理,实现企业数字身份的常态化、精准化、自动化、安全化管理。 -
ABAC
ABAC
Attribute Base Access Control,基于属性的访问控制,是将访问控制的主体、客体、环境、行为的相关属性作为策略依据,对系统内部实体安全特征进行统一建模,通过属性间关系的定义来描述授权和访问控制约束,支持细粒度和大规模的访问控制。 -
有效账号
有效账号
指可关联到具体人员且经常使用,同时需满足组织内部账号管理规范。 -
AD
AD
Active Directory,是指Windows服务器操作系统中的目录服务, 提供了一系列集中管理和访问网络资源的目录服务功能。 -
TBAC
TBAC
是指维护和更新数字身份的一整套过程和技术,实现员工入职、调岗、离职、返聘、退休等人事变动过程中身份同步、配置、撤销和对用户属性、凭证及权益的管理,实现企业数字身份的常态化、精准化、自动化、安全化管理。 -
IDaaS
IDaaS
Identity as a Service,旨在为组织提供统一身份管理、统一认证、单点登录、智能风险控制、安全合规审计、身份大数据等云端身份安全服务能力,保护企业的一切连接,为数字身份安全赋能,实现为互联网应用、企业自建应用及云端SaaS应用身份安全保驾护航。 -
RBAC
RBAC
Role-Based Access Control,基于角色的访问控制,权限与角色相关联,用户通过被授予适当角色而获得角色对应的权限。 -
SSO
SSO
Single Sign On,单点登录,是一种帮助用户快捷访问网络中多个站点的安全通信技术,认证一次即可访问有权限的其它应用系统,不需记忆多个口令密码。 -
SAML
SAML
Security Assertion Markup Language,安全声明标记语言,是一个基于XML的标准,用于在不同的安全域(之间交换认证和授权数据。在SAML标准定义了身份提供者(Identity provider)和服务提供者(service provider),这两者构成了不同的安全域。SAML是OASIS组织安全服务技术委员会的产品。 -
重复账号
重复账号
指在应用系统有一个以上账号被同时使用。 -
权限管理
权限管理
指根据系统设置的安全规则或者安全策略,用户可以访问而且只能访问自己被授权的资源,权限管理分为功能级权限管理、数据级权限管理。 -
僵尸账号
僵尸账号
指账号被关联至具体人员,但长期未被使用且账号状态正常,如离职账号。 -
PAM
PAM
Privilege Account Management,特权账号管理,指对系统运维账号包括服务器、中间件、数据库、网络安全设备、防火墙等账号进行生命周期管控,实现事前预警、事中阻断、事后审计三种维度的安全保护。 -
LDAP
LDAP
Lightweight Directory Access Protocol,是一种基于X.500的跨平台标准协议,能够提供非匿名的访问方式和不同层次的访问控制来确保事务的安全,是身份认证领域中经常使用的技术。
< REGULATIONS >
政策与行业法规
国际、国内相关政策法规对身份安全都有明确要求
-
《中国网络安全法》
《网络安全法》明确提出,国家实施网络可信身份战略,网络可信身份认证体系是网络安全的核心。支持研究开发安全、方便的电子身份认证技术,推动不同电子身份认证之间的互认。推动已有的网络身份认证体系的互联互通,建立跨平台的网络可信身份体系。
-
《国家网络安全等级2.0标准》
2019年5月10日,网络安全等级保护制度2.0标准正式发布,实施时间为2019年12月1日。国标等保2.0的身份安全标准分三部分:身份鉴别、访问控制、安全审计。
-
《GDPR-通用数据保护条例》
GDPR要求所有组织对个人数据的使用,必须征得个人的同意,而且个人可随时收回使用权;要求企业必须梳理其当前个人信息资产分布,确保用户有唯一地方可以修正这些信息;在用户的要求下,用户数据可以从一个组织转移到其他组织。
-
《PSD2》
PSD2是从支付层面,把一些特特性开放给消费者。PSD2对安全要求的环节非常多,包含用户、终端、边缘、框架。基础架构还包括了CIA、加密。PSD2将风险分析作为必须验证的环节。风险要素包含物理位置、IP地址、工作时间、设备ID、设备指纹、用户属性等。
< RIGID DEMAND >
为什么IAM是各行业的刚需
-
政务领域
政务数据共享是基础,数据安全是重中之重。
-
制造行业
通过IAM体系,打造可信设备、可信用户与可信产品的全链条身份安全体系。
-
军工行业
信息技术自主可控是保障网络主权、维护信息安全的前提。
-
汽车行业
建立以客户为中心的生态系统,利用大数据驱动企业管理智能化。
-
地产行业
身份管理,互联互通,赋能地产行业数字化转型。
-
建筑行业
建立以工程项目为中心的身份安全管控体系。