身份结构是一种用于集成和编排多个身份与访问管理 (IAM) 系统，使其作为单一统一系统运行的框架。该框架为组织提供了一种集中化的方法，用以在复杂的 IT 环境中保护和管理数字身份。
在数字化转型时代，大多数企业组织管理着包含本地资产、旧版应用程序及各种云服务的混合云和多云环境。这些系统通常各自拥有独立的 IAM 解决方案，这意味着组织必须同时管理多个用户目录和身份系统。
分散的身份系统激增会降低用户体验，并产生恶意行为者可利用的可见性和安全漏洞。根据 IBM X-Force Threat Intelligence Index 报告，基于身份的攻击是最常见的攻击途径之一，占入侵事件的 30%。
身份结构框架有助于整合组织数字生态系统中分散的身份系统。这种整合使监控活动、并为所有用户在所有应用程序和平台上实施一致的身份治理、 认证和授权措施变得更加容易。
这种集中化方法提升了对用户活动的可见性，增强了组织的安全态势和运营效率，并支持更简化的用户体验。
身份结构框架使组织能够整合不同应用程序、资产和服务的分散身份系统。组织得以实施统一的访问策略、监控用户活动、解决漏洞并在所有系统中执行一致的安全控制 。
身份与访问管理系统是关键的身份安全工具。它们有助于保护数字身份、阻止未授权活动，并确保正确的人员出于正当理由访问正确的资源。
然而，大多数组织发现自身需要管理连接多个用户目录的多个 IAM 解决方案。至少，大多数组织会使用一个 IAM 解决方案管理内部用户，并采用单独的客户身份与访问管理 (CIAM) 解决方案管理客户及其他外部用户。
但许多组织需要应对的身份系统远不止两个。每个旧版应用程序、云服务提供商和本地系统都可能拥有自己的 IAM 解决方案和目录服务。
这些身份孤岛导致用户体验不一致，因为每个系统可能需要独立的凭证、权限级别和安全措施。
此外，分散的身份系统带来重大安全风险。用户身份是网络攻击的首要目标。X-Force Threat Intelligence Index 报告称，凭证盗窃是数据泄露受害者面临的最常见后果。
缺乏集中化管理方法，将难以实施强有力的网络安全措施，例如采用 FIDO 通行密钥的无密码认证、基于风险的认证 (RBA) 以及实时身份威胁管理。部分 IAM 系统甚至可能根本不支持其中某些措施。
身份结构框架解决方案提供了一个统一的管理层，用于跨应用程序、资产和云服务提供商保护和管理数字身份。它为组织提供了更强的用户账户及活动可见性，并对保护所有系统、应用程序和平台用户的策略与流程实施更一致的控制。
设想一家医疗机构如何利用身份结构框架架构，为医护人员创建更安全高效的系统。
典型的医疗机构依赖多种技术工具，例如排班系统、患者档案系统、远程医疗平台以及用于与其他医疗机构共享数据的系统。
身份结构框架将使医护人员能够通过单一身份访问所有这些系统。这不仅比要求多次登录更方便，还能使组织在所有平台上实施相同的访问级别和安全控制。例如，医生将能在各系统中访问其所有患者的数据，但无法访问非本人负责的患者数据。
集中化的策略执行有助于确保符合数据隐私法规，并防止未授权访问（包括合法用户拥有超出实际所需权限的情况）。
身份结构的工作原理是将组织网络中存在的许多不同身份服务集成并同步到统一的 IAM 基础设施中。
许多身份结构框架高度依赖应用程序编程接口 (API)。API 使分散的系统能够安全通信、交换身份数据并执行一致的身份与访问管理策略。部分框架还使用标准化通信协议（如 OAuth 或安全断言标记语言 (SAML)）来连接 IAM 系统。
实施身份结构框架有不同选择。 部分供应商提供身份结构框架平台，为组织提供开箱即用的完整连接身份系统的能力。其他组织采用优选组合方案，集成各种点解决方案。有特殊需求的组织可借助定制代码和 API 构建自己的身份结构框架。
尽管身份结构框架的性质和结构可能各异，但大多数组织会组合运用以下要素来构建其框架：
身份编排软件协调分散的 IAM 系统，创建跨越多个系统的统一、无缝的身份工作流（如用户登录、入职和账户配置）。
身份编排平台可充当网络中所有身份系统的中央控制平面。每个身份工具均与该编排平台集成，从而形成统一的结构框架。
身份编排工具常用于创建单点登录 (SSO)系统，使用户凭一组凭证即可访问多个应用程序。
身份威胁检测与响应 (ITDR) 解决方案监控系统以发现并修复基于身份的威胁（例如权限提升和帐户劫持，这些威胁可能导致数据泄露等问题。
当 ITDR 解决方案检测到潜在恶意行为时，会向安全团队发出警报并触发自动响应（例如立即阻断账户对敏感数据的访问权限）。
旧版应用程序并不总能支持现代安全措施（如多因素认证 (MFA）或零信任架构。许多身份编排平台和身份结构框架解决方案提供低代码/无代码工具，使这些应用程序快速满足要求。这些工具提供可视化拖拽界面，用于在旧版应用程序之上 配置身份工作流。例如，若某应用程序不支持 MFA，身份编排工具可将该应用程序连接到独立的 MFA 解决方案，从而在两者之间创建简化的工作流。
基于风险的认证 (RBA)（亦称自适应认证）实时评估尝试访问组织资产的每个用户的风险等级。RBA 会根据这些风险评估动态调整认证要求。
RBA 通过评估用户行为（如键入速率、设备使用情况和物理位置）来确定用户的风险等级。表现出典型行为的用户（例如使用已知设备、从同一位置登录）被视为低风险。此类用户可能只需输入密码即可确认身份。
反之，从未知设备或新位置登录的用户则可能被视为高风险。此时，RBA 系统可能要求该用户进行额外的访问控制验证（例如指纹扫描）。
目录服务是存储和管理系统及应用程序用户信息的存储库。在整个组织的 IT 环境中同步目录服务，可为组织提供每个用户的单一、统一视图。这使组织能够对所有系统中的每个用户实施统一的身份安全策略，而无需为每个目录维护单独的策略集。
身份治理与管理 (IGA) 工具协助管理用户身份的全生命周期流程，涵盖从入职到取消配置及离职。IGA 的目标是确保访问策略和用户活动符合法规要求，例如《通用数据保护条例》(GDPR) 和《健康保险流通与责任法案》(HIPAA)。
IGA 工具有助于自动化和简化用户配置、实施访问策略和进行访问权限审查等活动。
特权访问管理 (PAM) 工具负责管控和保护特权账户（如管理员账户）及特权活动（如处理敏感数据）。
特权账户需要比标准账户更强的保护，因为它们是黑客可利用的高价值目标，可造成严重损害。PAM 强制执行高级安全措施（如凭证保险库和即时访问），以严格控制用户如何获取提升的权限及其使用方式。
分散的 IAM 系统和用户目录会形成身份孤岛，迫使组织为每个独立系统管理不同的身份和访问控制。实施身份结构框架有助于打破这些孤岛，并优化身份与访问管理流程。
身份结构框架架构统一了分散的身份服务，为每位用户创建单一数字身份。这使得组织能够设置并应用统一的权限和策略，使这些策略随用户访问云环境、旧版系统和应用程序而动态实施。这有助于确保一致的用户体验，无论用户访问何种应用程序或系统。
身份结构框架也支持系统扩展性。组织无需担忧向网络引入新工具或资产是否会破坏其身份系统。每个新资源都集成到同一框架中。
组织经常使用身份结构作为实施最新网络安全技术和实践的集中控制点。例如，组织可能希望强制执行多重身份验证 (MFA) 或应用任何用户都没有固有信任的零信任方法。
在由多个 IAM 解决方案和用户目录构成的分散系统中，组织难以一致地实施这些网络安全措施。但借助身份结构框架，组织可获得对身份安全策略的统一可见性和控制力。它能够集中强制执行对资源的安全访问，并跨系统跟踪和分析用户行为以检测潜在威胁。
组织常利用集中化的身份结构框架来简化数据保护和合规工作。它们能基于用户角色为敏感数据应用访问策略，跟踪用户对该数据的操作，并确保遵循最小权限原则。
通过使用统一系统管理数字身份，组织能够同时强制执行合规标准并记录所有系统和应用程序中的用户活动。此功能使得向监管机构提供审计跟踪和合规报告更为便捷。
实现身份信息现代化并完善现有身份识别工具，同时为任意身份访问位于本地、云端或作为 SaaS 的 AI、应用程序及资源提供安全、顺畅的访问体验。
探索智能企业安全解决方案和服务，帮助企业现在就做好准备，从容应对未来需要面临的网络安全威胁。
凭借身份与安全专家的技能、策略和支持，让您的员工队伍和消费者 IAM 计划迈向成功。
了解 IBM Verify，这是一种领先的 IAM 平台，提供 AI 驱动的功能来管理员工队伍和客户需求。