我們從以下角度闡述 IAM:

( 1 )身份及授權(quán)的集中式管理。

( 2) 安全的驗(yàn)證。

(3 )聯(lián)合、集中式驗(yàn)證及單一登錄。

為了讓企業(yè)使用自身的身份識(shí)別管理系統(tǒng)而進(jìn)行云服務(wù)整合，其首要目的是提供給用戶相當(dāng)程度的方便性，例如集中式單一驗(yàn)證或甚至所有應(yīng)用程序都使用單一登錄，與高度安全的驗(yàn)證及集中式的角色及權(quán)限管理。

身份及授權(quán)的集中式管理用戶數(shù)據(jù)庫(kù)早在云時(shí)代開(kāi)始前就存在。 輕量級(jí)目錄存取通信協(xié)議( Lightweight rectory Access Protocol ，LDAP) 從十幾年前就運(yùn)用在不同產(chǎn)品種類以進(jìn)行企業(yè)身份管理。查閱 LDAP 在維基百科的結(jié)果，提供了該協(xié)議完整的發(fā)展歷史資料，并列出可以目錄服務(wù)來(lái)支持此協(xié)議與身份管理的系統(tǒng)與產(chǎn)品。

至于集中式身份管理，其周邊的系統(tǒng)也須采用集中式管理。就 LDAP本身而言，LDAP 目錄不算是很重要的數(shù)據(jù)庫(kù)，它所提供的數(shù)據(jù)可用做參考信息，但沒(méi)有其他功用。

集中式身份管理的特點(diǎn)

身份及角色管理

LDAP 用戶目錄是由示意圖 (Schemas) 組織而成的。通常，每一個(gè)使用 LDAP 機(jī)制的產(chǎn)品會(huì)建立在一個(gè)以上的標(biāo)準(zhǔn)示意圖架構(gòu)，例如用OpenLDAPcore.schema 可建立一般用戶數(shù)據(jù)記錄的基礎(chǔ)信息，其字段包括姓名、公司、稱謂、電話號(hào)碼、地址、電子郵件等。

在角色管理上，IdM或 IAM 的挑戰(zhàn)來(lái)自于需要提供最可能的通用方式，其困難的地方不在于 LDAP 的存儲(chǔ)技術(shù)，因?yàn)槭孪榷x好的示意圖已經(jīng)被導(dǎo)人，而專為企業(yè)開(kāi)發(fā)的示意圖，通常也可以分別加在產(chǎn)品中，但困難之處在于開(kāi)發(fā)一個(gè)既通用又全面的角色管理。

一個(gè)簡(jiǎn)單的例子是支持工作流程并涉及以下角色的內(nèi)容管理系統(tǒng):檢查者、內(nèi)容提供者 / 編輯、內(nèi)容管理者、核準(zhǔn)者、系統(tǒng)管理者。相對(duì)地，也有一個(gè)系統(tǒng)是建立在沒(méi)有角色的權(quán)限管理上，例如同頁(yè)應(yīng)用程序的平臺(tái)僅包括系統(tǒng)登錄、監(jiān)控、應(yīng)用程序部署、重新啟動(dòng)服務(wù)器、觀看記錄文件等權(quán)限。此系統(tǒng)并不需要任何角色的許可證管理，而是以權(quán)限示意圖來(lái)鏈接系統(tǒng)用戶。