身份管理與訪問控制IAM-賬號管理（1）

來自專欄 IAM

（註：下面只談人的賬號，對於伺服器賬號、資料庫賬號等以後再談。）

對於建造一座房子來說，如果想要房子更加堅固，能夠承受更多外力和變化帶來的影響，那必須把地基打牢。4A體系就好比是這座房子，賬號管理就是地基，所以賬號管理是4A體系建設的基礎，是其中最重要的一個環節，所以往往在賬號管理建設的時候需要投入更多的時間和精力。

通常，一個企業或組織在建設4A體系之前，每個業務系統都有自己一套賬號，其管理方式多種多樣，這裡我們列舉其中兩種：

管理方式一：

特點說明：

1)用戶單獨找各個應用系統的管理員申請各個系統的賬號。

2)各個系統的管理員需要單獨管理每個用戶的信息。

3)各個應用系統的賬號名和密碼規則不同。

4)用戶需要記憶多套應用系統的賬號名和密碼，並根據系統要求進行密碼維護。

5)每套系統都要建設賬號管理功能。

6)管理員大量賬號管理方面的重複工作，如賬號新建、密碼修改等。

管理方式二：

特點說明：

1)用戶單獨找各個應用系統的管理員申請各個系統的賬號。部分系統的賬號直接從其他系統同步，保持了賬號和密碼一致

2)大多數系統的管理員需要單獨管理每個用戶的信息。

3)大多數應用系統的賬號名和密碼規則不同。

4)用戶需要記憶多套應用系統的賬號名和密碼，並根據系統要求進行密碼維護。

5)大多數系統都要建設賬號管理功能。

6)管理員大量賬號管理方面的重複工作，如賬號新建、密碼修改等。

不難看出，不管是方式一和方式二，都存在以下幾個問題：

1. 每個用戶都需要記錄多套賬號密碼，需要花費精力去記憶密碼，維護密碼。

2. 用戶訪問任何一套系統，都需要重新登錄。

3. 由於賬號不同，企業或組織難以從統一視角跟蹤用戶的系統訪問和使用記錄。

4. 用戶離職或調動，用戶在各個系統中的賬號或許可權容易清理不及時，造成殭屍賬號或者風險賬號。

為什麼會出現上面這些問題呢？其本質就是，沒有對賬號進行統一管理，業務系統各自為政。那接下來，我們就需要以統一管理的思路去建設賬號管理體系。

那什麼是賬號管理呢？賬號管理其實就是對賬號的生命周期進行管理，包括賬號的創建、修改、啟用、禁用、註銷，另外還包含密碼的管理。為了實現這一系列的功能，我們必須建設一套賬號管理平台，通常我們稱之為賬號管理平台或者身份管理平台。有這個平台之後賬號管理架構就變成了這樣：

特點說明：

1)用戶只需要申請一次賬號。系統A、系統B和系統C根據需要從賬號管理平台同步賬號。

2)管理員在賬號管理平台對用戶做的任何操作，都可以自動同步到其他下游應用系統。提升了賬號管理的規範性和標準化，又減少了管理員的工作量。

3)用戶只有一個賬號，就只有一個密碼（具有金融屬性的系統除外），容易記憶和管理。

4)系統A、系統B和系統C本身不再需要管理賬號，也無需花費精力去設計賬號管理功能。

5)賬號實現了統一管理，那密碼也同步實現了統一管理，可以根據希望實施統一密碼策略。

是不是很簡單呢？根據上面這個架構去建設，基本實現了賬號的統一管理。但是賬號管理不只是系統功能的建設，還包括用戶流程的建設和數據流程的建設。後面會繼續介紹。