Auto-sync: 2026-04-24 08:02

2026-04-24 08:02:47 +08:00
parent cc8ebc60e3
commit 7cecf10c79
28 changed files with 2350 additions and 29 deletions
--- a/wiki/concepts/Identity-Governance.md
+++ b/wiki/concepts/Identity-Governance.md
@@ -0,0 +1,69 @@
+---
+title: "Identity Governance"
+type: concept
+tags:
+  - Identity-Governance
+  - IAM
+  - Compliance
+  - Access-Management
+sources:
+  - learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re
+last_updated: 2023-11-28
+---
+
+## Identity Governance
+
+身份治理（Identity Governance）是一个用于高效管理数字身份、最小化风险并保持合规的框架。
+
+## Core Framework
+
+身份治理围绕三个核心问题展开：
+
+1. **谁当前有访问权限？** — 当前权限状态审计（Who currently has access to our systems?）
+2. **谁应该有访问权限？** — 权限需求评估（Who should have access?）
+3. **如何执行访问？** — 访问控制机制（How is the access being done?）
+
+## Components
+
+### Identity Management（身份管理）
+- 数字身份的创建、维护和生命周期管理
+- 用户、组和角色的定义
+
+### Access Management（访问管理）
+- 控制谁可以访问哪些资源
+- 认证（Authentication）和授权（Authorization）
+
+### Identity Auditing（身份审计）
+- 权限变更追踪
+- 合规性报告
+- 异常检测
+
+## Identity Governance vs IAM
+
+| 维度 | 身份治理（IG） | 身份与访问管理（IAM） |
+|------|----------------|----------------------|
+| 焦点 | 治理、合规、策略 | 操作、技术实现 |
+| 问题 | 谁应该有权访问？ | 如何实现访问控制？ |
+| 受众 | 审计员、合规官、业务经理 | IT 管理员、安全工程师 |
+| 工具 | 审批工作流、策略引擎 | 目录服务、SSO、MFA |
+
+## Use Cases
+
+- **内部用户治理**：员工入职/转岗/离职的权限生命周期管理
+- **外部用户治理**：承包商、合作伙伴的临时权限管理
+- **合规审计**：SOX、HIPAA、GDPR 等合规要求的身份报告
+- **权限优化**：发现并清理过度授权（Privilege Creep）
+
+## Implementation Example
+
+Micro Focus IGA 的实现架构：
+```
+User → IGA Portal (申请) → 审批工作流 → AD 组更新 → AWS IAM → 云资源访问
+```
+
+## Related Concepts
+
+- [[Micro-Focus-IGA]]：身份治理的具体产品实现
+- [[AWS-Identity-Center]]：AWS 云平台的身份治理服务
+- [[Federated-Access]]：联合身份认证
+- [[Service-Control-Policies-SCPs]]：AWS 组织层面的权限控制策略