随着多个云环境的使用不断增加，组织面临着跨所有云系统统一管理用户身份的挑战。这需要一个能够支持多个云环境并为身份信息提供单一认证数据源的IAM 解决方案。统一的 IAM 解决方案将使组织能够轻松管理身份、控制访问并在所有云系统中实施安全策略。

软件即服务（SaaS）应用程序是一个典型场景。为每个 SaaS 应用程序创建本地身份使得跟踪全部有权访问的人员变得非常困难，这反过来可能会导致离职者保留对此类应用程序的访问权限。

组织越来越多地转向基于云的身份提供商（例如 Google和O365）。这种用法带来了与本地部署的提供商不同的挑战。虽然 本地部署的提供商在威胁和漏洞方面面临着一系列挑战，但从影响角度来看，该挑战更小。而基于云的身份提供商的威胁和漏洞具有更大的影响范围。

尽管解决这种情况很棘手，对于许多组织来说，转向基于云的身份提供商仍具有较强业务趋势，但组织可能还需要监控威胁形势，以保持领先地位。

组织需要遵守各种法规和标准，如GDPR、PCI DSS 和 HIPAA，这些法规和标准会影响其IAM策略。IAM解决方案必须能够强制执行这些法规和标准，以确保敏感信息受到保护，并且组织不会面临不合规的风险。

IAM解决方案还必须能够管理非人实体的身份，如应用程序、服务和应用程序接口（API）。这需要一个全面的IAM解决方案，这需要一个全面的 IAM 解决方案，可以为非人实体管理身份、提供可见性、控制访问权限和强制执行安全策略。

IAM的技术演进是为了应对所面临的（新）威胁。不断演进的IAM趋势包括PassKey（译者注：FIDO提出的代替口令的公私钥对认证技术，本地认证完成后，登录其他系统无需进一步认证）和无口令身份验证。云服务提供商和组织需要考虑到不断演进的趋势，并为转型做好技术变革和用户教育的准备。

威胁环境正在不断演变，组织必须确保他们的IAM解决方案能够适应新的威胁和漏洞。凭证收割（威胁）既适用于云IAM，也适用于私有化部署的IAM。IAM解决方案必须能够提供实时的安全情报、监视和警报，以确保组织意识到新的威胁，并能够及时作出响应。

组织还必须管理需要访问敏感信息的供应商、外部用户和合作伙伴的身份。IAM解决方案必须能够控制外部用户和合作伙伴的访问并强制执行安全策略，同时确保敏感信息免受未经授权的访问。授予有时限的即时访问权限是应对这一挑战的一种方法。

BYOD策略给IAM带来了一系列挑战，包括管理个人设备的身份并确保敏感信息免受未经授权的访问。IAM解决方案必须能够应对这些挑战，并为使用个人设备的员工提供无缝且安全的身份验证流程。

IT/OT设备与任何其他设备一样都需要身份。管理这些身份构成了挑战，因为密码轮换和 MFA 等传统安全措施不适用于OT。组织必须与供应商一起管理这些身份，以确保基于云的解决方案的任何危害都不会影响OT设备，并且OT设备身份的任何危害都不会影响企业网络。IAM解决方案必须能够管理所有类型资源的身份、控制访问权限和强制执行安全策略，无论资源位于何处。

组织必须保持对角色绑定和访问控制的可见性和控制，以确保敏感信息免受未经授权的访问。IAM解决方案必须提供实时监控和警报，以确保访问控制的正确执行，并且还必须提供在必要时实时撤销访问权限的能力。

在云上有效部署IAM是一项复杂而富有挑战性的任务，组织需要一个能够应对各种挑战的全面解决方案。组织必须选择统一的IAM解决方案，该解决方案可以提供身份信息统一视图、控制访问权限、强制执行安全策略的统一视图，并提供实时监控和警报，以确保敏感信息免受未经授权的访问。只有清楚理解组织面临的安全挑战并选择正确的IAM解决方案，组织才可以有效地在云上有效部署IAM，并增强其整体安全态势。

于继万，云安全联盟大中华区IAM工作组联席组长，华为，云服务安全专家

贺志生， 云安全联盟大中华区专家，360， 资深安全专家

张淼， 云安全联盟大中华区专家，华为, 安全隐私保护高级专家

朱璐，云安全联盟大中华区专家，连尚，安全负责人

戴立伟，云安全联盟大中华区IAM工作组联席组长，竹云科技，副总裁

谢琴，云安全联盟大中华区IAM工作组联席组长，天融信, 解决方案中心副总经理