需求

在企業的平臺建設中，運維需要面向各種運維管理系統：

• 監控類系統
• 大資料類系統
• 安全類系統
• CI/CD類系統
• 企業辦公類系統
• 等等

那麼我們需要一個統一的集中式賬號管理，讓我們在這些資料孤島系統中自由“穿梭”，實現一個賬號，多點同行。此時我們很可能會想到以下的解決方案：

• OpenLDAP，輕量級目錄訪問協議（LDAP）；
• Active Directory， 一種分層結構，用於儲存網路上的物件的相關資訊 ；
• FreeIPA，Linux的開源安全解決方案，提供帳戶管理和集中身份驗證，類似於微軟的Active Directory ；

但是如果我們僅瞭解至此，那麼很有可能“因為一顆樹，而錯過整片森林”，這正如《運維掃盲，捅破窗戶紙！》所講到的“所謂的盲區其實就是一層窗戶紙”，我們其實還可以再延申下，讓LDAP這把鑰匙來開啟潘多拉寶盒！

IAM

IAM概念

❝

以下來源於：什麼是身份和訪問許可權管理（IAM）？

❞

身份和訪問許可權管理（IAM）是以一致的方式集中管理使用者身份（即人員、服務和伺服器）、自動執行訪問控制，並滿足傳統和容器化環境中的合規要求。員工使用 VPN 訪問公司資源以進行遠端工作，就是 IAM 解決方案的其中一個實施示例。 

有 IAM 的解決方案有助於確保適當的人員以適當的許可權訪問適當的資源，尤其是在多個雲例項中。IAM 框架對於從中心位置跨裸機、虛擬化、混合雲和邊緣計算環境管理身份至關重要，有助於降低安全性或合規性風險。

IAM 方法根據使用者或應用身份和以管理方式定義的策略，來控制對本地和雲資產、應用和資料的訪問。IAM 方法存在於 DevOps 生命週期的每個階段，可以幫助防止未授權的系統訪問和橫向移動。IAM 概念包括：

• 「身份驗證」：驗證使用者、服務和應用的身份。
• 「授權」：授予經過身份驗證的使用者對特定資源或功能的訪問許可權。
• 「身份提供商、秘密庫和硬體安全模組（HSM）」：允許 DevOps 團隊在靜止和傳輸狀態管理和保護安全憑據、金鑰、證書和機密。
• 「溯源」：驗證程式碼或映象的身份或真實性，通常透過某種型別的數字簽名或證明記錄。

IDC報告

IDC於2023年7月正式釋出了針對中國統一身份管理平臺產品的市場份額研究報告，即：《中國統一身份管理平臺市場份額，2022：安全建設，身份先行》（# CHC50360223）。報告針對2022年中國統一身份管理平臺市場的規模、增長速度、主要玩家、市場與技術的發展趨勢等內容進行了詳細研究。 

IDC資料顯示，中國統一身份管理平臺市場提供身份管理的廠商眾多，而頭部玩家仍然以在身份安全市場具備長期技術積累和市場培育的專業廠商為主，例如「亞信安全、竹雲、芯盾時代、派拉軟體、數字認證」等，具體情況詳見下圖：

小結

❝

紅帽企業 Linux 中的身份管理可以：

• 顯著簡化身份管理基礎架構。
• 幫助滿足 PCI DSS、USGCB、STIG 等現代合規性要求。
• 降低未經授權的訪問或訪問許可權提升的風險。
• 為高度動態、可擴充套件、支援雲和容器的運維環境奠定基礎。
• 在新系統、虛擬機器（VM）和容器上預配置訪問許可權控制。
• 降低日常運維成本和 IT 的安全負擔。

❞

紅帽企業 Linux 中的身份管理還透過標準應用程式設計介面（API）與 Microsoft Active Directory、輕量級目錄訪問協議（LDAP）和其他第三方 IAM 解決方案整合。您還可以使用基於證書的身份驗證和授權技術集中管理服務的身份驗證和授權。

結合紅帽IAM解決方案來看，無論是AD域 還是 LDAP 都只是解決了IAM中賬號的問題，但是IAM 5A體系包含賬號（Account）、認證（Authentication）、許可權（Authorization）、應用（Application）、審計（Audit），因此這還是遠遠不夠的，還需要進一步和其他IAM方案整合。下面我們就來介紹下相關的開源IAM解決方案。

IAM解決方案

TopIAM 數字身份管控平臺

TopIAM簡稱：EIAM（Employee Identity and Access Management），用於管理企業內員工賬號、許可權、身份認證、應用訪問，幫助整合部署在本地或雲端的內部辦公系統、業務系統及三方 SaaS 系統的所有身份，實現一個賬號打通所有應用的服務。

• 提供統一組織資訊管理，多維度建立對應關係，實現在一個平臺對企業人員、組織架構、應用資訊的高效統一管理。
• 支援釘釘、飛書、企業微信等身份源整合能力，實現系統和企業 OA 平臺資料聯動，以使用者為管理基點，結合入職、離職、調崗、兼職等人事事件，關聯其相關應用許可權變化而變化，保證應用訪問許可權的安全控制。
• 支援多因素認證，行為驗證碼、社交認證，融合認證等機制，保證使用者認證安全可靠。
• 支援微信、微博、QQ 等社交認證整合，使企業具有快速納入網際網路化認證能力。
• 支援 SAML2，OAuth2，OIDC，CAS，表單代填等認證協議及機制，實現單點登入功能，預配置大量 SaaS 應用及傳統應用模板，開箱即用。
• 完善的安全審計，詳盡記錄每一次使用者行為，使每一步操作有據可循，實時記錄企業資訊保安狀況，精準識別企業異常訪問和潛在威脅的源頭。
• 提供標準 REST 和 SCIM2.0 介面輕鬆完成機構使用者同步，實現企業對於賬號生命週期的精細化管理。
• 開源、安全、自主可控。

OpenIAM

OpenIAM，輕量級通用 Identity and Access Management (以下簡稱 Iam) 解決方案，用於滿足企業內部各系統的單點登入（整合了 釘釘、企業微信、使用者名稱、手機號、工號等多種方式）、使用者管理、組織管理、授權管理的基本需求。主要基於 Asp.Net Core 3.1, EF Core 3.1, IdentityServer 4, Layui 2.5.7 技術實現，使用 Postgresql 13 資料庫。

OpenIam 主要用於內部系統間的統一身份認證及許可權管理，核心功能包括：客戶端管理、使用者管理、組織機構管理、授權管理。

• 客戶端管理，每個子系統如果需要接入 OpenIam，則必須先要在 OpenIam 中註冊一個客戶端，獲取對應的 Client Id, Client Secret。
• 使用者管理，可對使用者的所屬組織、許可權、角色進行控制。
• 組織機構管理， 提供組織機構的 CRUD 操作。
• 授權管理， 授權系統主要由許可權、角色、組織機構 幾塊構成，其中 "許可權" 為最細粒度的控制，角色用於對許可權按照一定規則進行分組 。

ArkID企業級IDaaS/IAM平臺系統

ArkID方舟一賬通是一款外掛化、多租戶、雲原生的開源統一身份認證授權管理解決方案/身份雲管理平臺，採用LGPL-3.0 開源協議;支援多種標準協議(LDAP, OAuth2, SAML, OpenID)，細粒度許可權控制，完整的WEB管理功能，釘釘、企業微信整合等。ArkID 既可以作為企業終端客戶資產統一管理 CIAM，可作為企業內部僱員、外部夥伴統一身份管理平臺 EIAM；助企業構建標準化的使用者身份體系。

• 豐富的外掛，快速構建專屬IDaaS/IAM平臺
• 輕鬆整合您的所有應用
• 統一的身份，認證，許可權管理系統