OpenText 主页。
技术主题

什么是身份治理和管理?

联系我们
以问号为重点的信息技术项目图示

概述

市场上有各种各样的身份治理工具,与全功能身份治理和管理(IGA)架构相比,要评估这些工具的功能并不容易。为了应对安全指令,团队往往采取狭隘的方法来管理用户权限或满足组织的职责分离要求。

IGA 不局限于应享权利的可见性,它往往是任何时间点的快照。相反,它采取的是全面综合的管理方法。当建立在强大的身份生命周期管理基础架构上时,IGA 将一个组织的身份和访问管理基础架构的关键组件整合在一起,以确保只有正确的人才能访问敏感信息。

身份治理和管理

如何定义完整的身份治理和管理解决方案?

强大的 IGA 解决方案通过提供以下优势脱颖而出:

  • 提供账户和资源的全面视图--IGA 需要掌握所管理的每个资源的身份、权利和风险信息,以及访问者的身份和角色。
  • 防止橡皮图章式审批--有效的 IGA 解决方案重点防范未经审查的权限申请审批,包括专门为信息和业务所有者(而非 IT 管理人员)设计的工作流程。为了提高对申请的检查水平,它需要提供申请者的所有相关信息,以及为快速阅读而设计的资源,并提供有效的生产力和风险指标。
  • 强有力的验证--提供准确的报告,确认持续合规性,而不仅仅是报告时间快照。必要时,精心设计的 IGA 基础设施可提供分析功能,确认特定用户组的实际访问情况。报告的设计应便于快速审查,易于生成并纳入审计报告。虽然这种级别的认证为安全团队提供了信心,但它要求访问治理与综合 IGA 环境中的身份生命周期和访问管理组件紧密集成。

与其他解决方案相比,完整的 IGA 环境有哪些具体价值?

身份治理和管理可以管理权限并为安全审计人员提供强有力的证明,同时还有可能成为企业 身份和访问管理基础设施 的基础组成部分 :

  • 权限管理是任何组织最低权限战略的基本要素。最低权限安全有助于抵御内部威胁,并在某人的凭据被泄露和利用时限制损失。如果操作得当,它可以用来指导和调用身份生命周期行动,而不是独立于身份生命周期之外。
  • 在治理平台上启用资源的步骤之一是定义其风险和风险标准。敏感资源的适当风险定义可为审批者和审查者提供准确的信息。风险服务也可以利用这些数据来指导适应性访问管理行动。基于会话的访问控制用于潜在身份验证和授权操作的标准往往仅限于用户的上下文(地理位置、IP 范围、设备 ID 等)。考虑到资源本身的风险,提供了一种更细化、更有效的自适应访问方法,可以在优化用户体验的同时提高安全性。通过限制用户因多因子身份验证而被中断的次数,可以减少摩擦,优化用户体验。

OpenText 身份和访问管理部门如何使其 IGA 解决方案

尽管如上所述,建立坚实的 IGA 基础最为重要,但 OpenText 身份和访问管理部门仍在不断推陈出新,使管理自动化在帮助信息所有者保护数据方面更全面、更有效。身份治理和管理在身份和访问管理基础设施中的近期发展方向包括

  • 除了以审批者和审查者可以快速理解的格式提供尽可能最好的信息外,下一代 IGA 还汇集了最低权限最佳实践和组织政策,以自动进行权限分析。通过自动提高敏感信息以及访问这些信息的用户的风险评分,可突出显示需要审查和采取潜在安全措施的关注点。
  • 上一项所述的基于智能的自动化方案最好能辅以对实际使用情况的行为分析。这种类型的分析可以引导人们关注特定身份和资源,重新评估它们对组织造成的风险。
  • 虽然传统的 IGA 并不包括对系统根访问权限的管理,但有必要采用更正式的方法来确保对服务器托管数据和可执行文件访问权限的安全。由于系统管理员有可能绕过各种安全机制,确保 root 权限的重要性不言而喻。除了能够授权和管理不同级别的管理外,这些超级用户还拥有大量的授权访问权限,对其系统相关操作的高级监控提供了潜在的宝贵取证信息。

一个完善的 IGA 环境并不容易实现。获得执行层和各业务所有者的支持可能是一个漫长而不平坦的过程。吸引信息所有者正确使用其资源需要投资,与他们保持联系以了解其环境中需要更新的变化也需要投资。但是,这种安全投资的价值是巨大的。它使企业能够更加灵活地开展数字业务运营,同时将风险降到最低。

为什么要投资身份治理和管理?

一旦了解了 IGA 的全面性,自然就会问您的环境是否需要这种程度的投资。虽然每个组织都可能有独特的要求,但以下是一些常见的考虑因素,可以指导管理的深度和广度:

虽然几乎每个组织都需要保护其财务和人力资源信息,但它们可能有也可能没有其他类型的值得治理的敏感数据

  • 客户信息--这类信息差别很大。即使组织收集 cookie 信息或社会身份来个性化内容,也可能受到各种州或联邦法规的约束。此外,还有其他全球性任务,如《通用数据保护条例》(GDPR)。GDPR 要求值得采用 IGA 级别的保护,因为一旦保留了个人资料或财务信息,就可能需要最 低特权安全。零售商及其服务提供商(PSP)和行业合作伙伴之间也需要进行协调。除非这些业务规模较小,否则很难想象它们能在没有成熟身份治理解决方案的情况下满足隐私保护要求。
  • 无论是专利信息、技术或业务核心竞争力,还是其他商业秘密形式的知识产权,一旦遭到侵犯,都会给组织带来严重风险。无论组织是否实现了权限流程自动化,在制定治理战略之前,都可能需要对有价值的机密进行仔细审查。
  • 患者信息--医疗保健行业的数字化转型迫使医疗服务提供商对其受控信息进行自动权限管理和认证。向电子医疗记录 (EHR) 和其他受保护健康信息 (ePHI) 的转变导致了政府对隐私的严格、具体和惩罚性保护。与其他行业相比,该行业的违规成本最高。除了金钱损失外,健康记录外泄还会损害患者的信任,因为其中包含了患者最敏感的信息。健康和财务信息都可能被用来进行欺诈。
  • 金融服务--作为另一个受到严格监管的行业,金融服务受到一系列旨在防止恶意串通和侵犯隐私的法规的约束。为了防止欺诈或其他类型的盗窃,需要保护隐私。可以肯定的是,每家金融机构都需要自动化治理,并将从直接涉及数据所有者的解决方案中受益匪浅。

身份治理和管理常见问题

身份治理与身份管理有何区别?
身份管理提供访问权限,而身份治理则确保访问权限适当、合理,并在整个身份生命周期内利用政策、认证和审计控制持续实施。

身份治理如何帮助合规和审计?
IGA 可执行最少权限访问,维护完整的审计跟踪,并支持持续认证,因此组织可随时证明合规性,而不仅仅是在审计期间。

为什么许多身份治理项目停滞不前或以失败告终?
IGA 项目往往因应用程序上手缓慢、数据模型僵化和人工审核流程而举步维艰。成功的计划注重自动化、灵活性以及身份和权利的实时可见性。

身份管理能否实时应对访问变化?
是的。现代 IGA 可以在访问权限发生变化时进行检测,并自动进行补救或触发有针对性的重新认证--降低审查周期之间的风险。

组织应从身份管理解决方案中寻找什么?
IGA 平台应能在混合环境中扩展,与复杂系统集成,支持持续治理,并减少 IT 和业务用户的手动操作。

OpenText 如何提供身份治理和管理

OpenText 提供身份治理和管理 (IGA),作为专为复杂、混合型企业设计的综合 IAM 平台的一部分。OpenText 将生命周期管理、访问治理和事件驱动控制整合在一起,而不是将治理视为一个独立的层,以确保访问在环境变化时保持合规。

统一身份生命周期和管理
OpenText 将身份生命周期管理与访问治理相结合,确保用户在加入、更换角色或离开时获得正确的访问权限,并确保访问权限随着时间的推移保持适当。

事件驱动、持续治理
与时间点审查不同,OpenText 支持事件驱动治理。当访问权限发生超出批准流程的变化时,系统可自动修复问题或触发有针对性的微观认证,从而降低审查周期之间的风险。

利用灵活的连接器加快应用程序上架速度
OpenText 通过可适应现实世界数据格式的低代码/无代码连接器加速 IGA 部署。这样,企业就可以管理更多的应用程序,而无需进行脆弱的集成或不断返工。

专为混合和企业级环境打造
OpenText 支持内部部署、云计算和混合部署,非常适合拥有传统系统、受监管环境或复杂身份基础架构的企业。

设计符合审计要求
OpenText 具有持续的策略执行、完整的审计跟踪和业务友好型认证功能,可帮助企业随时证明合规性,而无需进行破坏性的审计工作。

了解有关OpenText Identity GovernanceOpenText Core Identity FoundationSaaS 平台的更多信息。

我们能提供什么帮助?

脚注