مدیریت هویت و دسترسی Identity and Access Management (IAM)

با هر معماری در حال توسعه نرم افزار هستید شاید بد نباشد یکی از بدیهی ترین ماژول های نرم افزار خود را چه در سطح enterprise مانند بانک ها و چه small business مجددا و هربار طراحی و پیاده سازی نکنید. در این مقاله استفاده از IAM برای مدیریت هویت و دسترسی کاربران توضیح داده شده. انشالله مورد استفاده توسعه دهندگان قرار بگیره تا هم در ضمینه توسعه و هم امنیت کاربران گام موثری برداشته شه.

مدیریت هویت و دسترسی (IAM) مربوط به تعریف و مدیریت نقش ها و امتیازات دسترسی کاربران و شرایطی است که در آن این امتیازات به کاربران اعطا می شود (یا از آنها سلب می شود). این کاربران ممکن است مشتری باشند یا کارمند. هدف اصلی سیستم های IAM یک هویت دیجیتال برای هر فرد است. پس از ایجاد هویت دیجیتال، باید در سراسر نرم افزار برای هر کاربر، حفظ، اصلاح و نظارت شود.

بنابراین سیستم های IAM ابزارها و فن آوری هایی را برای تغییر نقش کاربر ، ردیابی فعالیتهای کاربر ، ایجاد گزارش در مورد آن فعالیتها و اجرای سیاستها به طور مداوم در اختیار مدیران قرار می دهند. این سیستم ها به گونه ای طراحی شده اند که وسیله ای برای مدیریت دسترسی کاربر در کل شرکت و اطمینان از انطباق با سیاست های شرکت ها می دهند.

ابزارهای IAM

امنیت API با IAM: امکان استفاده از IAM در تجارت B2B، ادغام با cloud و معماری microservices وجود دارد. همچنین از راه حل های امنیتی مانند (SSO) برای ورود به سیستم بین برنامه های تلفن همراه یا دسترسی مدیریت شده توسط کاربر استفاده می شود. این امر به تیم های امنیتی امکان مدیریت مجوز دستگاه های IOT و داده های قابل شناسایی شخصی را می دهد.

تجزیه و تحلیل هویت (IA) به تیم های امنیتی امکان می دهد تا رفتارهای مخاطره آمیز کاربر را با استفاده از قوانین ، یادگیری ماشین و الگوریتم های آماری دیگر شناسایی و متوقف کنند.

هویت به عنوان سرویس (IDaaS) شامل راه حل های "نرم افزار به عنوان سرویس" (SaaS) است. ارائه SSO از یک پورتال به برنامه های وب و برنامه های تلفن همراه از این قبیل امکانات است.

راه حل های احراز هویت مبتنی بر ریسک (RBA): شرکت می تواند برای کاربران پرخطر ورد دو عاملی (2FA) را درخواست کند و به کاربران کم خطر اجازه دهد تا با یک فاکتور احراز هویت کنند. سیستم های IAM باید به اندازه کافی انعطاف پذیر و مقاوم باشند تا بتوانند پیچیدگی های محاسباتی و کسب و کاری امروز را در خود جای دهند. چرا که در گذشته با راه اندازی شبکه های اختصاصی در شرکت ها حصار امنیتی برای نرم افزارها وجود داشت اما امروز دیگر آن حصار وجود ندارد.

چرا به IAM نیاز دارم؟

مدیریت هویت و دسترسی بخشی مهم در برنامه امنیتی هر سازمانی است، زیرا در دنیای دیجیتالی امروز امنیت و بهره وری با سازمانها در ارتباط ناگسستنی است. Credential کاربری که به خطر افتاده، اغلب به عنوان یک نقطه ورود به شبکه سازمان و دارایی های اطلاعاتی آن عمل می کند. شرکت ها از مدیریت هویت برای محافظت از دارایی های اطلاعاتی خود در برابر تهدیدات فزاینده باج افزارها، هک، فیشینگ و سایر حملات استفاده می کنند.

هزینه های خسارت باج افزارهای جهانی فقط در سال 2018 بیش از 5 میلیارد دلار بوده است که 15 درصد بیشتر از 2016 است. در بسیاری از سازمان ها ، کاربران گاهی اوقات امتیازات دسترسی بیش از حد لازم را دارند. یک سیستم قوی IAM می تواند با اطمینان از کاربرد مداوم قوانین و خط مشی های دسترسی کاربر در سراسر سازمان ، یک لایه مهم محافظتی ایجاد کند. هویت و سیستم های مدیریت دسترسی می توانند بهره وری کسب و کار را افزایش دهند. قابلیت های مدیریت مرکزی سیستم ها می تواند از پیچیدگی و هزینه حفاظت از اعتبار کاربر و دسترسی کاربر و توسعه آن در هر نرم افزار بکاهد. در عین حال ، سیستم های مدیریت هویت، کاربران را قادر می سازد تا در محیط های مختلف ، خواه از خانه یا دفتر سازمان کار کنند.

چه امکانات دقیقی توسط IAM ارائه می شود؟

مدیریت دسترسی: مدیریت دسترسی به فرآیندها و فناوری های مورد استفاده برای کنترل و نظارت بر دسترسی به نرم افزار (یا شبکه) اطلاق می شود. ویژگی های مدیریت دسترسی ، مانند احراز هویت، مجوز، حسابرسی امنیتی، جزئی از برترین سیستم های مدیریت شناسه برای سیستم های داخلی و مبتنی بر Cloud هستند.

پشتیبانی از مایکروسافت AD: مایکروسافت ActiveDirectory را برای شبکه های دامنه ویندوز توسعه داد. اگرچه اختصاصا AD در سیستم عامل Windows Server گنجانده شده است اما در سازمان ها به طور گسترده ای استفاده می شود.

احراز هویت بیومتریک: یک فرایند امنیتی برای احراز هویت کاربران است که به ویژگی های منحصر به فرد کاربر متکی است. فن آوری های احراز هویت بیومتریک شامل سنسورهای اثر انگشت ، اسکن عنبیه و شبکیه و تشخیص چهره است.

پشتیبانی از LDAP: سامانه LDAP مشابه راه حل مایکروسافت اما بصورت منبع باز است

مدیریت چرخه حیات هویت: این اصطلاح به کل فرایندها و فن آوری های تهیه هویت دیجیتالی، حفظ و به روزرسانی آن اشاره دارد. مدیریت چرخه حیات هویت شامل همگام سازی هویت ، تهیه و از کار انداختن، مدیریت مداوم ویژگی ها ، اعتبارنامه ها و ... کاربر است.

احراز هویت چند عاملی (MFA): MFA زمانی است که برای احراز هویت در یک شبکه یا سیستم بیش از یک فاکتور مانند نام کاربری و رمز عبور مورد نیاز است. حداقل یک مرحله اضافی نیز مانند دریافت کد ارسالی از طریق پیام کوتاه به تلفن هوشمند ، قرار دادن کارت هوشمند یا USB ، یا تأیید نیاز به احراز هویت بیومتریک ، مانند اسکن اثر انگشت ، مورد نیاز است.

احراز هویت مبتنی بر ریسک (RBA): احراز هویت مبتنی بر ریسک نیازهای احراز هویت را به صورت پویا بر اساس وضعیت کاربر در لحظه تلاش برای احراز هویت تنظیم می کند. به عنوان مثال ، هنگامی که کاربران سعی می کنند از یک مکان جغرافیایی یا آدرس IP که قبلاً با آنها مرتبط نبوده ، احراز هویت کنند ، این کاربران ممکن است با احراز هویت دو عاملی روبرو شوند.

سیستم Single sign-on (SSO): نوعی کنترل دسترسی برای چندین سیستم مرتبط اما جداگانه است. با استفاده از یک نام کاربری و رمز عبور ، کاربر می تواند بدون استفاده از Credential های مختلف به یک یا چند سیستم دسترسی پیدا کند.

تجزیه و تحلیل رفتار کاربر (UBA): فناوری های UBA الگوهای رفتار کاربر را بررسی می کنند و به طور خودکار الگوریتم ها و تجزیه و تحلیل ها را برای تشخیص ناهنجاری های مهم که ممکن است تهدیدهای امنیتی بالقوه را نشان دهند ، اعمال می کنند.

ارائه دهندگان سیستم IAM

شرکت های کوچک و بزرگی همچون Okta و OneLogin تا IBM ، Microsoft و Oracle را می توانید در لیست ارائه دهندگان این سرویس ببینید. برخی امکان SelfHost شدن دارند و برخی خیر. برخی کاملا رایگان و برخی در قبال ارائه پشتیبانی یا امکانات بیشتر دارای نسخه پولی هستند و برخی نیز کاملا پولی. در زیر لیستی از ارائه دهندگان برجسته قرار دارد اما تعداد ارائه دهندگان این سرویس بیش از لیست زیر است و این لیست تنها جهت آشنایی منتشر می شود:

  • KeyCloak
  • Atos (Evidan)
  • CA Technologies
  • Centrify
  • Covisint
  • ForgeRock
  • IBM Security Identity and Access Assurance
  • I-Spring Innovations
  • Micro Focus
  • Microsoft Azure Active Directory
  • Okta
  • OneLogin
  • Optimal idM
  • Oracle Identity Cloud Service
  • Ping
  • SecureAuth
  • ...