因此,我认为IAM:它不酷,它不是性感的,但它是现代最重要和最困难的地区之一

当我长大后,我想成为一个身份和访问管理专家 - 没有人说过


特征 刚才(2021年6月1日)刚刚(2021年6月1日)的LinkedIn的英国作业网站搜索返回5,265个网络经理角色; 2,204为系统管理员; 4,964用于Web开发人员;和10,776名商业分析师。这些都不是一个特殊的惊喜 - 他们受欢迎,追捧职业生涯。

哦,“身份和访问管理”(IAM)有1,522个结果。

你长大后想要做什么?

当作为IT学生时,您考虑在哪个字段中要做职业生涯,有一些常见的选择。 Web开发人员,数据库管理员,软件开发人员,系统管理器,网络工程师...或更多最近在机器学习(ML)中的东西,人工智能(AI),量子计算或网络安全。

这是因为它们是你被教学的领域。审查10名英国高校计算机科学课程的课程揭示了高度共识:系统开发,网络编程,数据库系统,数据科学,AI,网络安全,高级网络,算法,数据结构,加密,ML,图形,列表继续。

如果您在UNI处获得了BUG,请在UNI,作为Web开发人员的职业将在毕业列表中将很高。由于这对象的一位大学,因此这名记者看着有一个课程模块覆盖IAM,因此我们几乎没有机会在职业发展职业的职业职位上谈论潜在的雇主有关访问管理。

简单的简单案例......

IAM在小型新组织中相对简单。这是因为如果我们从中开始开始,我们可以从核心目录服务开始 - 通常是Microsoft的Active Directory(广告) - 并使用单点登录(SSO)构建所有内容。这意味着我们可以自然地或通过良好的协议(如Active Directory联合服务(ADF)或轻量级目录访问协议(LDAP)进行身份验证到广告。

我们有奢侈品坚持认为,我们承担的任何新服务都必须集成到目录服务,并且除了特定管理登录(特别是用于目录时使用的最后一个Resort管理登录时,允许拥有自己的内部身份验证数据库集成正在设置或已损坏)。

......但它变得非常复杂,很快

然而,即使在一个适度的复杂组织中,也可以争辩说,我不仅是业务中最重要的IT和安全任务之一,而且也是最困难的一个。在这些公司中,我是一项重要的工作:例如,在我的450人的工作业务中,有两个工作人员,他们只能不时做IAM和其他人。

平均业务有多种方式认证的系统,通常是:(a)直接到目录服务,自然或通过LDAP / ADF; (b)部分,因此允许访问权限的是/否的决定由目录服务控制,但该应用程序还具有对每个用户的权限的内部控件; (c)系统控制完全在其自己的用户数据库中的访问。

现在,希望在某人离开本组织时,IAM的主要风险是初级风险是未能在拨款系统访问权限。该过程对于通过目录服务处理的系统来说,该过程非常简单,因为勾选控制面板中的“已禁用”框将立即呈现所有连接的应用程序无法访问。

难度附带与目​​录没有链接的应用程序。在某些情况下 - 在您托管本地或私有数据中心的应用程序 - 您至少可以采取迫使用户登录广告网络之前登录到应用程序的方法。

它并不完美,但关闭广告帐户可防止用户访问该应用程序。在其他情况下,例如基于SaaS的应用程序,没有SSO链接到您的世界中,您可以希望将供应商根据客户端计算机的IP地址限制访问 - 因此,用户必须连接并登录某些内容您的私人网络,您可以通过关闭他们的广告登录来将它们放在申请之外。

知道什么提供什么

然后,我们已经建立了,当他们离开时,将人们的账户转变为一个非平凡的事情。出于不同的原因,同样棘手的是确保人们在任何特定时间都有正确的正确事物。

要在第一位置提供正确的访问权限,您需要两件事中的一个:(a)全定义的基于角色的访问控制(RBAC),其中每个公司的职位描述都与仔细制作的应用程序和系统组织联系在一起权限;或(b)为大多数角色定义了“标准”许可集的制度,并且有一种机制,可以获得有权权威批准的偏差。你需要严格申请它。

为什么这个棘手?获取RBAC首先设置是一个很长的,不丧心的任务,并保持定义最新的是一种不需要的东西,需要焦点和仔细审查。两者的第二种选择依赖于人类做事,这意味着错误是不可避免的。

评论和离开

现在最难的部分 - 审查人们有什么机会。在IAM中最困难的问题是:“x有哪些应用程序可以访问,以及它们在这些应用程序中有哪些权限?”

想象一下,用户刚刚离开了这项业务,你必须取代它们。容易,您认为:只需查看他们已被配置的记录,并带走该访问。但是,没有,所有所需要的是一个错误 - 一个未能记录更改 - 并且您的记录立即无效。建立所需的事实的唯一可靠方法是在应用程序中查找应用程序......这意味着每个离开用户的每个应用程序。这可能听起来矫枉过正,直到审计师的那一刻起来并指出一个应用程序中的取消消失失败,在其中你没有期望看到该人的用户标识。

不仅如此,你应该在做所有用户的常规审查作为质量检查,以确保您没有错过任何东西(最好在上述审计师之前指出您的错误)。提示许多人工努力,很多电子表格,很多Excel Vlookups将应用程序用户ID映射到人力资源人员名单上。我已经看到它完成了,它不漂亮 - 你可以看几个月的几个月的agglo只是几十个应用程序,特别是当你牢记时,如果发现问题,你必须纠正它们,然后重复练习直到结果是现货。市场上没有应用程序可以为您提供此任务,因此您要么与一个非常手动任务一起生活,要么用脚本,电子表格,宏,屏幕刮板等执行,以便至少删除一些单调。

像精神章鱼的技能

那么,有效的IAM专家,需要了解应用程序,设计程序,分析,同意和写入RBAC定义,尽管没有现成的报告解决方案,执行评论,地址不一致验证修复工作,与审计师提供的界面和提供数据......与持续改进的正在进行的制度旁边。

那么,为什么,IAM工作负载经常在1级帮助台球团队中进行土地?

我作为技能集

让我们从早些时候回顾我们的大学课程模块:系统开发,数据库系统,Web开发,网络安全,算法,数据结构,数据科学。这些都是可以在IAM应用的所有技能 - 无论是如何自动化用户访问系统的供应和取消(因此降低人为错误的风险),从应用程序中提取访问数据的提取,构建关系数据库那个数据居住,所以它很容易在报告工具中查询,设计用于计算用户登录是否未使用过长的算法。

这些都是复杂的技能,这是一个错误,没有足够的技能水平的员工足够数量,以彻底,正确地完成工作。当然,将有任务是,更多的初级团队成员能够在逐步发展他们的经验,知识和技能时进行,但IAM不仅仅是一种常见的活动。它需要高级,有能力的战略性思维专家,他们不仅仅是这些技术要素,还要与业务风险等相关的科目以及沟通和劝说,以鼓励那些履行IAM要求的沟通和说服等软技能如此稳健,并解释业务用户为什么重要的是遵循涉及请求,支票和批准的稍微模糊的程序。

雇主:不要在IAM函数下面的技能,或者它将通过失败的审计或利用缺乏访问供应和消退引起的漏洞来结束。对于那些读到这一点的人,谁在你的职业生涯的开始,或者是读书 瑞典人 在你的大学住宅时,当你真的在做你的药物分配时(是的,我看看的一个课程有一个标题为“Prolog概要”的模块),不要看看你所学习的一个科目之一决定它作为职业生涯。你在课程的广度上学到了什么可以聚集在一起,让你在IAM中的职业生涯......并且一个纤维表示,对于那些提到的其他人的角色,每角色将有一个较低的申请人。 ®

类似主题


您可能喜欢的其他故事

咬住它的手©1998-2021