Открыть сервис

Управление доступом IAM

Управление доступом IAM (Identity and Access Management, управление идентификацией и доступом) — это область информационной безопасности и организационного управления, занимающаяся идентификацией, аутентификацией и авторизацией пользователей, устройств и сервисов в информационных системах. IAM-системы обеспечивают контроль над тем, кто и к каким ресурсам (данным, приложениям, сетевым функциям) имеет доступ, а также в каких условиях этот доступ предоставляется или отзывается. Ключевая цель IAM — гарантировать, что правильные субъекты (пользователи, сервисы) получают доступ к правильным ресурсам в правильное время по правильным причинам.

История и развитие

Концепция управления доступом существует столько же, сколько и сами информационные системы, но как формализованная дисциплина IAM начала формироваться в 1960–1970-х годах с развитием многопользовательских операционных систем. Ранние модели, такие как матрица доступа (предложенная Б. Лэмпсоном), описывали права субъектов на объекты. В 1980-х годах появились коммерческие продукты для управления паролями и базовыми правами в локальных сетях.

Массовое распространение IAM получило в 1990-х — начале 2000-х годов с ростом числа корпоративных приложений, появлением веб-порталов и необходимостью управления учётными записями в гетерогенных средах. В этот период возникли стандарты: LDAP (Lightweight Directory Access Protocol) для хранения данных об учётных записях, Kerberos для аутентификации, SAML (Security Assertion Markup Language) для федерации идентичности. Современные IAM-решения интегрируются с облачными платформами, используют методы машинного обучения для обнаружения аномалий и поддерживают концепцию Zero Trust (нулевого доверия).

Основные компоненты IAM

IAM-система состоит из нескольких взаимосвязанных функциональных блоков.

Идентификация и аутентификация

Идентификация — это присвоение субъекту (человеку, устройству, программе) уникального идентификатора (например, логина, электронной почты, серийного номера). Аутентификация — проверка соответствия субъекта заявленному идентификатору. Основные методы аутентификации:

В современных системах широко применяется многофакторная аутентификация (MFA), требующая использования двух или более различных факторов.

Авторизация

Авторизация — процесс определения, какие действия (чтение, запись, выполнение, удаление) разрешены аутентифицированному субъекту над конкретными объектами (файлами, базами данных, API-методами). Основные модели авторизации:

Управление жизненным циклом учётных записей

IAM-системы автоматизируют процессы создания, изменения, блокировки и удаления учётных записей. Это включает:

Федерация идентичности (Federation)

Федерация идентичности позволяет использовать одни и те же учётные данные (логин/пароль) для доступа к ресурсам разных организаций или доменов без повторной регистрации. Это реализуется через протоколы:

Единый вход (Single Sign-On, SSO)

SSO — технология, позволяющая пользователю после однократной аутентификации (например, через корпоративный портал) получать доступ ко всем разрешённым приложениям без повторного ввода пароля. SSO может быть реализована как на основе кэширования учётных данных, так и с использованием протоколов федерации.

Классификация IAM-систем

IAM-решения можно классифицировать по нескольким признакам.

По модели развёртывания

По функциональному охвату

Применение IAM

IAM-системы используются в самых разных отраслях и сценариях:

Критика и проблемы IAM

Несмотря на широкое распространение, IAM-системы сталкиваются с рядом критических замечаний и сложностей:

Интересные факты

Источники

BFOmetr — база данных и аналитика по компаниям России.

На главную BFOmetr →