70 lines
2.3 KiB
Markdown
70 lines
2.3 KiB
Markdown
---
|
||
title: "Identity Governance"
|
||
type: concept
|
||
tags:
|
||
- Identity-Governance
|
||
- IAM
|
||
- Compliance
|
||
- Access-Management
|
||
sources:
|
||
- learning-sessions-identity-governance-vsm-replacement-20231128-160326-meeting-re
|
||
last_updated: 2023-11-28
|
||
---
|
||
|
||
## Identity Governance
|
||
|
||
身份治理(Identity Governance)是一个用于高效管理数字身份、最小化风险并保持合规的框架。
|
||
|
||
## Core Framework
|
||
|
||
身份治理围绕三个核心问题展开:
|
||
|
||
1. **谁当前有访问权限?** — 当前权限状态审计(Who currently has access to our systems?)
|
||
2. **谁应该有访问权限?** — 权限需求评估(Who should have access?)
|
||
3. **如何执行访问?** — 访问控制机制(How is the access being done?)
|
||
|
||
## Components
|
||
|
||
### Identity Management(身份管理)
|
||
- 数字身份的创建、维护和生命周期管理
|
||
- 用户、组和角色的定义
|
||
|
||
### Access Management(访问管理)
|
||
- 控制谁可以访问哪些资源
|
||
- 认证(Authentication)和授权(Authorization)
|
||
|
||
### Identity Auditing(身份审计)
|
||
- 权限变更追踪
|
||
- 合规性报告
|
||
- 异常检测
|
||
|
||
## Identity Governance vs IAM
|
||
|
||
| 维度 | 身份治理(IG) | 身份与访问管理(IAM) |
|
||
|------|----------------|----------------------|
|
||
| 焦点 | 治理、合规、策略 | 操作、技术实现 |
|
||
| 问题 | 谁应该有权访问? | 如何实现访问控制? |
|
||
| 受众 | 审计员、合规官、业务经理 | IT 管理员、安全工程师 |
|
||
| 工具 | 审批工作流、策略引擎 | 目录服务、SSO、MFA |
|
||
|
||
## Use Cases
|
||
|
||
- **内部用户治理**:员工入职/转岗/离职的权限生命周期管理
|
||
- **外部用户治理**:承包商、合作伙伴的临时权限管理
|
||
- **合规审计**:SOX、HIPAA、GDPR 等合规要求的身份报告
|
||
- **权限优化**:发现并清理过度授权(Privilege Creep)
|
||
|
||
## Implementation Example
|
||
|
||
Micro Focus IGA 的实现架构:
|
||
```
|
||
User → IGA Portal (申请) → 审批工作流 → AD 组更新 → AWS IAM → 云资源访问
|
||
```
|
||
|
||
## Related Concepts
|
||
|
||
- [[Micro-Focus-IGA]]:身份治理的具体产品实现
|
||
- [[AWS-Identity-Center]]:AWS 云平台的身份治理服务
|
||
- [[Federated-Access]]:联合身份认证
|
||
- [[Service-Control-Policies-SCPs]]:AWS 组织层面的权限控制策略
|