什么是用户角色和访问管理？

用户角色和访问管理（有时也称为用户许可）是管理员定义用户对文件、应用程序和系统等资源的访问类型的一种方式。公司按组或角色类型而不是单独授予用户访问权限，以节省用户配置和取消配置的管理时间；定义和监控对公司资产的大规模访问；将用户对公司资产的访问限制在完成工作所需的最低金额；并满足监管安全和隐私合规要求。

角色描述的类型因公司需要和政策而异。用户通常根据其工作职能被授予角色类型。许多公司根据组分配角色，例如公司部门、职位、职责、位置和员工管理级别。然后授予角色类型而不是单个用户的特定权限，以访问公司资源并采取行动。例如，部门领导角色可能被授予对软件应用程序进行全局更改的权限，而经理角色将被授予仅对特定文件进行更改的权限。类似地，可以授予入门级员工角色用户对该系统内文件的仅查看访问权限（如果有的话）。

什么是用户角色和访问管理？

访问控制管理的类型

多年来，访问控制管理方法已经从基于角色发展到基于属性再到基于策略。根据公司对访问控制的粒度和灵活性的需求，将决定他们将采用哪种用户角色和访问管理理念。

• 基于角色的访问控制 (RBAC)：使用 RBAC，根据职位、公司部门、办公地点和工作职能等静态因素为用户分配角色类型，然后授予该角色类型对公司资产的访问权限。
• 基于属性的访问控制 (ABAC)：与 RBAC 类似，ABAC 允许用户根据用户属性访问公司资源或在公司资源中执行操作，例如访问敏感信息时的许可级别、资源类型（例如特定文件类型）和其他因素比如基于时间和位置的访问。 
• 基于策略的访问控制 (PBAC)：与静态 RBAC 相比，PBAC 促进了更灵活的访问控制，因为它为基于公司策略的临时、地理或基于时间的访问提供了灵活性。

使用访问管理的好处

使用用户角色和访问管理策略的好处包括： 

• 更轻松、更快速的用户配置和取消配置，节省管理员时间
• 通过限制对完成任务所需的最低级别的访问来提高安全性
• 减少员工滥用资产，即内部威胁
• 遵守数据安全和数据隐私监管要求，例如通用数据保护条例 (GDPR)、加州消费者隐私法案 (CCPA)、萨班斯-奥克斯利法案 (SOX)、健康保险流通与责任法案 (HIPAA)、Gramm-Leach-比利利法案 (GLBA) 等

访问控制管理的影响

用户角色和访问管理策略对公司和最终用户的影响通常是积极的。

• 速度：用户角色和访问管理允许管理员根据用户的组和角色类型快速授予用户访问权限。
• 准确度：管理员在使用预定义角色时为用户提供最少的权限更准确。
• 监控：制定基于角色的访问策略需要公司了解谁可以访问重要的公司资源。用户配置和治理工具等工具可以帮助公司管理员监控这些策略是否得到正确执行。 
• 合规性：许多公司需要满足严格的数据安全和数据隐私法规，包括用户角色和访问管理策略。

基于角色的访问控制 (RBAC) 的基本要素

用户角色和访问管理的类型可能会有所不同。具体而言，对于 RBAC，它可能包括以下类型，基于美国国家标准与技术研究院 (NIST) 模型：

• Flat RBAC：这是最直接的用户角色类型和基于员工角色的访问管理。
• Hierarchical RBAC : Hierarchical RBAC 授予上级员工下属的权限。
• 受约束的 RBAC：这种类型允许法规经常要求的职责分离。 
• 对称 RBAC：对称 RBAC 将权限审查添加到受限访问。 

访问管理最佳实践

为了使用户角色和访问管理运作良好，公司必须遵循以下最佳实践：

• 确定 RBAC、ABAC 或 PBAC 是否最适合组织
• 了解用户可能有多种角色类型适用于他们
• 确保角色管理员为角色分配、角色授权和权限授权创建策略
• 利用软件解决方案（例如用户配置和治理工具）来管理公司访问策略

访问管理与身份管理

访问管理管理授予用户的权限；在授予对许可资源的访问权限之前，它不会验证用户是否就是他们所说的那个人。 

身份管理在授予访问权限之前识别并验证用户就是他们所说的那个人。身份和访问管理 (IAM) 软件解决方案通常由身份工具组成，例如单点登录 (SSO) 软件、密码管理器软件、多因素身份验证软件、用户配置和治理工具等。