1、132021 云安全联盟大中华区-保留所有权利。你可以在你的电脑上下载、储存、展示、查看及打印，或者访问云安全联盟大中华区官网（https:/www.c-）。须遵守以下：(a)本文只可作个人、信息获取、非商业用途；(b)本文内容不得篡改；(c)本文不得转发；(d)该商标、版权或其他声明不得删除。在遵循中华人民共和国著作权法相关条款情况下合理使用本文内容，使用时请注明引用于云安全联盟大中华区。4致谢致谢云安全联盟大中华区（简称：CSA GCR）IAM 工作组在 2020 年 5 月成立。由戴立伟担任工作组组长，工作组专家来自微软、华为、中国移动、奇安信、启明星辰、天融信、碧桂园、Okta、龙湖集

2、团、竹云、万物安全、联软科技、易安联、星展银行、oyo 酒店、德勤等二十多个单位。本白皮书由 CSA 大中华区 IAM 工作组专家撰写，感谢以下专家的贡献：组长：戴立伟贡献者名单：于继万，朱璐，江澎，张帆，董明富，于乐，谷雨，常官清，张彬，谢琴，李慧，杨清公，赵呈东，程伟强，郭晓锋，Jason Huang，伏明明，郑彬，黄超，徐阳，周潮洋，丁元东，史晓婧，张智，黄恒华，滕伟，孟茹贡献单位：竹云，华为，中国移动，奇安信，绿盟，天融信，格尔软件，启明星辰，易安联，安讯奔，美云智数研究助理：朱晓璐（以上排名不分先后）关于研究工作组的更多介绍，请在 CSA 大中华区官网（https:/c- CSA G

3、CR 秘书处给与雅正!联系邮箱：infoc-；云安全联盟 CSA 公众号：2021 云安全联盟大中华区-版权所有5序言序言IAM（Identity and Access Management，身份与访问管理）致力于确保组织中的人、设备等在日益复杂的技术环境中合理访问资源，是保障信息系统高效连接，人员、设备访问安全，以及实现组织数字化转型目标的核心基础设施，并用于满足日益严苛的合规性要求。对于企业、政府等组织而言，IAM 都是一项非常关键的职能。它与业务紧密保持协同，使能组织在支持新业务计划方面变得更敏捷，因此对 IAM 技术开展研究非常必要。随着数字化技术的深入应用以及国内外政策法规的不断完善

4、，IAM 技术历经从单一功能模块到全面数字身份治理体系的发展历程，业务场景不断延伸，在智慧城市、数字政府以及各行业数字化转型中均具备丰富的应用场景。云安全联盟大中华区依据 IAM 技术的发展和应用编制了此白皮书，此白皮书结合各行业与国内外 IAM 发展状况，对 IAM 发展历程、核心能力包含身份管理、访问控制与权限管理、合规审计、风险管控等以及现代增强型 IAM 技术的演进路线进行了详细介绍。同时针对 IAM 在云计算、物联网、零信任等技术领域的落地场景以及 IAM 在相关行业的应用场景和实践案例进行了重点解读和分析。借此白皮书抛砖引玉，我们与行业专家共同探讨 IAM 的发展趋势，为相关从业者

5、提供指导。李雨航 Yale LiCSA 大中华区主席兼研究院院长2021 云安全联盟大中华区-版权所有6目录目录致谢致谢.4序言序言.51 介绍介绍.81.1 目标读者.82 系统概述系统概述.92.1 身份管理和访问控制发展行业背景.92.2 什么是 IAM.142.3 Identity、Authentication、Authorization、Audit 的定义和关系及与 IAM 的联系.142.4 IAM 的核心能力.172.5 IAM 发展历程及趋势.193 身份管理身份管理.213.2 身份识别服务.253.3 用户分类管理.263.4 用户全生命周期管理.293.5 用户信息存储.

6、323.6 用户的同步和回收能力.423.7 密码管理.453.8 特权账号管理说明.463.9 身份管理的其他业务特征.504 登录认证登录认证.514.1 身份信任的概念及模型.514.2 认证类型及 MFA.535 访问控制与权限管理访问控制与权限管理.945.1 访问控制模型说明.945.2 权限管理要素和系统设计.1125.3 常见云原生权限策略说明.1185.4 数据权限管理方式（如通过 API 网关完成鉴权）.1245.5 权限定编定岗.1262021 云安全联盟大中华区-版权所有75.6 权限合规与互斥.1285.7 权限定期审阅.1315.8 权限挖掘.1336 审计与风控审