開發身分對映計劃

線上編輯

起始「企業識別對映 (EIM)」實作規劃程序的重要部分需要您決定要如何在企業中使用身分對映。

有兩種方法可用來在 EIM 中對映身分:

  • ID 關聯 說明 EIM ID 與使用者登錄中代表該人員的使用者身分之間的關係。 ID 關聯會在 EIM ID 與特定使用者身分之間建立直接一對一對映。 您可以使用 ID 關聯,透過 EIM ID 間接定義使用者身分之間的關係。

    如果您的安全原則需要高度詳細的可歸責性,則您可能需要使用幾乎專門用於身分對映實作的 ID 關聯。 因為您使用身分關聯為使用者擁有的使用者身分建立一對一對映,所以您一律可以判定誰在物件或系統上執行動作。

  • 原則關聯 說明多個使用者身分與使用者登錄中單一使用者身分之間的關係。 原則關聯使用 EIM 對映原則支援,在使用者身分之間建立多對一對映,而不涉及 EIM ID。

    當您有一或多個大型使用者群組需要存取您企業中的系統或應用程式,而您不希望他們具有特定使用者身分來取得此存取權時,原則關聯會很有用。 例如,您維護存取特定內部應用程式的 Web 應用程式。 您可能不想要設定數百或數千個使用者身分來向這個內部應用程式鑑別使用者。 在此情況下,您可能想要配置身分對映,以便將此 Web 應用程式的所有使用者對映至具有執行應用程式所需最低授權層次的單一使用者身分。 您可以使用原則關聯來執行此類型的身分對映。

您可以決定使用 ID 關聯來提供企業中使用者身分的最佳控制,同時獲得最大程度的簡化密碼管理。 或者,您可以決定混合使用原則關聯及 ID 關聯,以在適當的情況下簡化單一登入,同時為管理者維護對使用者身分的特定控制。 無論您決定最符合商業需求並適當符合安全原則的身分對映類型為何,都需要建立身分對映計劃,以確保適當地實作身分對映。

若要建立身分對映計劃,您需要執行下列動作: