堡垒机和IAM（身份识别与访问管理）集成实现统一身份认证

堡垒机作为数据中心运维安全管理的重要工具，在实际应用过程中，经常会需要和其他管理类产品或系统进行业务对接，以此来满足用户对运维安全的集中管控目的，实现统一的身份认证。这其中，最常见的对接系统之一就是IAM。

IAM（身份识别与访问管理）是业务管理软件，通过对员工个人账号的统一安全及权限管理，方便员工简单、顺利、安全地访问业务系统。针对员工从入职、日常工作、转换部门、离职的各个流程中，对个人账号进行验证、授权、权限稽核、个人风险、权限回收，实现企业内部所有员工对于业务系统内部用户、权限和资源的集中统一管理。很显然，IAM一方面可以统一员工的身份安全，另一方面员工不用在多套业务系统上建立账号和密码，而是通过IAM一个入口，访问所有有权限的业务系统，提高了管理效率。

堡垒机可以和IAM无缝对接文章源自奇点世界-https://www.xerer.com/archives/33650.html

堡垒机自带身份认证模块，也具有双因子认证等强身份认证方式，但这些认证只对使用堡垒机访问数据中心的用户和账号有效，其身份认证的范围并不能扩大到OA、CRM、财务等其他业务系统。而IAM恰恰是对业务系统的统一身份认证管理，两者正好互为补充，解决统一身份认证的问题。

自然人（也就是员工）通过IAM开设访问业务系统的账号并认证完成后，IAM将结果通知给堡垒机，堡垒机识别账号之后自动对该账号开放其相应功能页面，实现无缝对接。IAM识别员工在前，堡垒机在后对自然人实现授权和访问控制。

堡垒机和IAM的三种主流集成方式文章源自奇点世界-https://www.xerer.com/archives/33650.html

方式一：堡垒机-IAM-堡垒机

用户先访问堡垒机，堡垒机自动跳转至IAM的认证页面，用户完成认证之后再自动单点登录回堡垒机。

方式二：IAM-堡垒机

用户访问IAM的统一认证页面，完成认证之后选择对应产品（堡垒机），单点登录至堡垒机继续后面操作。

方式三：堡垒机-IAM

用户访问堡垒机，直接在堡垒机的认证页面输入用户名、密码，堡垒机将认证信息传递至IAM完成校验。

案例剖析文章源自奇点世界-https://www.xerer.com/archives/33650.html

在南洋**银行的案例中，齐治科技将堡垒机与IAM实现了无缝集成。堡垒机支持IAM本地静态密码认证（密码应有健壮性要求，包括长度、复杂度、有效期等），完全满足IAM 系统针对不同的IAM 用户灵活配置密码复杂度。

在*港集团的案例中，齐治堡垒机采用RADIUS方式，与IAM身份认证与访问管理平台对接以统一身份认证

文章源自奇点世界-https://www.xerer.com/archives/33650.html

本文由九边发表于 2022/03/2423:53:06

发表评论