SSCP - Access Controls - Administer Identity Management Life Cycle
Thứ Bảy, 31 tháng 8, 2019
Identity Management Life Cycle
Identity Management
Quản lý danh tính là nhiệm vụ kiểm soát thông tin về người dùng trên máy tính. Thông tin đó bao gồm thông tin xác thực danh tính của người dùng và thông tin mô tả thông tin và hành động mà người dùng được phép truy cập và thực hiện. Nó cũng bao gồm việc quản lý thông tin mô tả về người dùng và cách thức và thông tin mà ai có thể được truy cập và sửa đổi. Các thực thể được quản lý thường bao gồm người dùng, tài nguyên phần cứng và mạng và thậm chí cả các ứng dụng.
Về bản chất, quản lý danh tính là quá trình quản lý toàn bộ vòng đời của nhận dạng kỹ thuật số, bao gồm cả hồ sơ về con người, hệ thống và dịch vụ, cũng như việc sử dụng các công nghệ mới nổi để kiểm soát quyền truy cập vào tài nguyên của công ty. Danh tính kỹ thuật số là sự thể hiện của một tập hợp các khiếu nại được đưa ra bởi một chủ đề kỹ thuật số, bao gồm nhưng không giới hạn ở máy tính, tài nguyên hoặc con người hoặc chủ đề kỹ thuật số khác.
Do đó, mục tiêu của quản lý danh tính là cải thiện năng suất và bảo mật của toàn công ty, đồng thời giảm chi phí liên quan đến việc quản lý người dùng cũng như danh tính, thuộc tính và thông tin đăng nhập của họ.
Identity Management Life Cycle
Có năm lĩnh vực tạo nên vòng đời quản lý danh tính:
1.Authorization
2.Proofing
3.Provisioning
4.Maintenance
5.Entitlement
Authorization :
Ủy quyền xác định liệu người dùng có được phép truy cập vào một tài nguyên cụ thể hay không. Việc ủy quyền được thực hiện bằng cách kiểm tra yêu cầu truy cập tài nguyên đối với các chính sách ủy quyền được lưu trữ trong kho chính sách Identity Access Management (IAM). Ngoài ra, ủy quyền có thể cung cấp các điều khiển truy cập phức tạp dựa trên dữ liệu hoặc thông tin hoặc chính sách, bao gồm thuộc tính người dùng user roles/groups, actions taken, access channels, time, resources requested, external data, business rules..
Proofing
Các dịch vụ chống nhận dạng, xác minh danh tính của mọi người trước khi doanh nghiệp cấp cho họ tài khoản và thông tin đăng nhập, dựa trên lịch sử cuộc sống của người dùng hoặc thông tin giao dịch được tổng hợp từ các nguồn dữ liệu công khai và độc quyền. Các dịch vụ này cũng được sử dụng như một phương thức xác thực người dùng tương tác bổ sung, đặc biệt đối với các giao dịch rủi ro, chẳng hạn như truy cập thông tin bí mật nhạy cảm hoặc chuyển tiền vào tài khoản bên ngoài. Dịch vụ chống nhận dạng thường được sử dụng khi tài khoản được cung cấp qua web hoặc trong một trung tâm cuộc gọi. Tuy nhiên, chúng cũng có thể được sử dụng trong các tương tác mặt đối mặt.
Provisioning
Tất cả các thủ tục và công cụ để quản lý vòng đời của một danh tính bao gồm:
-Creation of the identifier for the identity : Tạo định danh cho danh tính
-Linkage to the authentication providers : Liên kết với các nhà cung cấp xác thực
-Setting and changing attributes and privileges : Thiết lập và thay đổi các thuộc tính và đặc quyền
Maintenance
Khu vực này bao gồm quản lý người dùng, quản lý mật khẩu và quản lý role/ group. Quản lý người dùng xác định tập hợp các chức năng quản trị như tạo danh tính, truyền bá và duy trì danh tính và đặc quyền của người dùng. Một trong những thành phần của nó là quản lý vòng đời người dùng cho phép doanh nghiệp quản lý tuổi thọ của tài khoản người dùng, từ giai đoạn cung cấp ban đầu đến giai đoạn cuối cung cấp. Một số chức năng quản lý người dùng nên được tập trung trong khi các chức năng khác nên được ủy quyền cho người dùng cuối.
Quản trị được ủy quyền cho phép doanh nghiệp phân phối trực tiếp khối lượng công việc cho các đơn vị bộ phận người dùng. Cũng có thể cải thiện tính chính xác của dữ liệu hệ thống bằng cách giao trách nhiệm cập nhật cho những người gần nhất với tình huống và thông tin. Tự phục vụ là một khái niệm quan trọng khác trong quản lý người dùng. Thông qua dịch vụ quản lý hồ sơ cá nhân, một doanh nghiệp được hưởng lợi từ việc cập nhật kịp thời và bảo trì chính xác dữ liệu nhận dạng.
Một chức năng tự phục vụ phổ biến khác là tự đặt lại mật khẩu, giúp giảm đáng kể khối lượng công việc của bàn trợ giúp để xử lý các yêu cầu đặt lại mật khẩu. Quản lý người dùng thường yêu cầu khả năng quy trình làm việc tích hợp để phê duyệt một số hành động của người dùng như cung cấp tài khoản người dùng và cung cấp lại.
Entitlement
-Entities
Có năm loại thực thể yêu cầu nhận dạng kỹ thuật số:
1.People
2.Devices
3.Organizations
4.Code
5.Agents
Entitlement Defined
Tất cả các thực thể có danh tính được xác định bằng cách sử dụng các định danh có thể tương tác cho phép đưa ra các quyết định dựa trên rủi ro phong phú. Đây là quyền lợi của người dùng - một bộ quy tắc, được xác định bởi chủ sở hữu tài nguyên, để quản lý quyền truy cập vào tài nguyên (tài sản, dịch vụ hoặc thực thể) và cho mục đích gì. Mức độ truy cập được điều chỉnh không chỉ bởi danh tính của bạn mà còn có khả năng bị hạn chế bởi một số cân nhắc bảo mật hơn nữa.
Ví dụ: các yếu tố khác có thể bao gồm chính sách công ty, vị trí của bạn (nghĩa là bạn ở trong môi trường công ty an toàn của bạn, được kết nối qua điểm truy cập hoặc từ quán cà phê Internet, v.v.) hoặc thời gian trong ngày.
Nhãn: Reference