私はIdentity and Access Management(IAM)に興味を持っていますが、間違いを始めたので、私に合った完全で理解できる説明を見つけるのは難しいと思います。
私はウィキペディアから始めて、あちこちで議論を続けてきました(Twitter、Slackチャンネルなど)。
私の主な問題は:
たとえば、私は[〜#〜] abac [〜#〜]が最も細かい制御を提供し、XACML、SAMLおよびOAUTH2が一緒に使用されると考え始めました完璧な(まだ重くて複雑な)システムを形成するため。しかし、私はそれについて(「まだ別のOASIS定義」)怒鳴り、それを[〜#〜] ngac [〜#〜](次世代アクセス制御)に反対する人々を見ました。
だから今私の質問:
あなたの質問はかなり良いものであり、IAM実務家として私は混乱をお詫び申し上げます。 IAMは確かに大きな分野です。一歩下がって基本的な要素を検討することは価値があると思います。
IAMまたはIdentity&Access ManagementはITセキュリティの分野です(ネットワークセキュリティ、暗号化などと同様)。次の図に示すように、4つの主要な領域に分類できます。
IAMにはいくつかのサブフィールドがあります。これは完全ではないリストです
IAM自体には属さないが、SIEM(セキュリティ情報イベント管理)などの多くのことを確実に支援するサイドフィールドがあります。また、APIセキュリティなどのIAMを使用/活用するフィールドがあります。実際、あなたが言及している標準のいくつか(OAuth 2.0、OpenID Connect)は、API認証に焦点を当てた標準です。
大きなベンダー(Oracle、Microsoft、IBM)はすべて、前述のサブフィールドの一部またはすべてを含むID管理スイートを持っていることがわかります。
私が焦点を当てている分野はEAMです。私が提供するトレーニングコースでは、通常、このスライドから始めます。
動的承認管理のデファクトモデルはAttribute-Based Access Control(ABAC)と呼ばれます。古くからあるモデルです。 2013年にNIST(National Institute of Standards and Technology)によって正式に承認されました。
ABACを実装する事実上の標準は、[〜#〜] xacml [〜#〜]であり、これは拡張アクセス制御マークアップ言語です。 2001年に開始され、現在のバージョンは2013年にリリースされました。
あなたはNGACについて言及します。それは標準ではなく、単なるR&Dイニシアチブです。
私はクピンガーコールとガートナーをIAMに関する広範な文献を持つ2つの主要なアナリスト企業と呼んでいます。彼らは良い定義とビデオを持っています。
私の主な問題は:
用語集:時々、説明は使用される言葉についての説明を必要とします
私の投稿を読み、ウィキペディアをチェックして、ガートナーなどによるレポートを読んでください。
考え方の異なる学校:問題を解釈する方法はさまざまですが、それに対処する方法はさらに多くあります。どのような方法がどのような状況に最適かわからないので、なぜこれが他の方法ほど良くないのかを知りたいのです。意見が分かれるので、人々がめったに最良の解決策や方法を選択することはありません。
いいえ、IAMでは、さまざまな考え方はありません。フィールドは比較的均一です。競合するベンダーやオープンソースソリューションはありますが、原則はしっかりと確立されています。
テクノロジー:私は、適切なアクセス制御がファイルシステムと相乗的に機能することをどこかで読んだことがあります。これは、その目的に適しているはずです。本当 ?これらのシステムは何ですか?
IAMは特定のレイヤーに固有ではないため、このステートメントは少し奇妙です。どのレイヤー(アプリ、データベース、ファイルシステムなど)でもIAMを使用できるはずです。また、IAMのさまざまな分野は、相互運用可能な標準に基づいて構築することを目的としているため、認証をユーザー管理と承認ソリューションで統合できます。
参考文献:私は、客観的であり、私が忘れたか知らなかった事柄に対処しながら、それらをすべてクリアする1つの「最良の」参考文献を見つけるのを想像します。
それがアナリスト企業の目的です。また、私が創設メンバーである組織である IDPro も検討してください。私たちは、すべてのITプロフェッショナルが参加したり、IAMに関する知識を共有したり、スペースの詳細を学んだりするためのスペースの作成に努めています。
たとえば、ABACが最もきめの細かい制御を提供し、XACML、SAML、およびOAUTH2が一緒に使用されて完全な(おそらく重くて複雑な)システムを形成すると考え始めました。しかし、私はそれについて(「もう1つのOASIS定義」)怒鳴り、NGAC(次世代アクセスコントロール)に反対する人々を見ました。
あなたがこれを読み通す必要があったのは残念です。少し光を当てましょう。
そのテーマに関する適切な専門知識を得るためにどのように操作すればよいですか?言い換えれば、どこから始め、次に何を調べ、何を最終的に達成するために何をすべきかということです。
これは、このサイト、Wikipedia、アナリストサイト(GartnerとKuppingercole)、スペシャリストシステムインテグレーター(例: Security Architect in the US)、標準化団体(例:Kantara、OASIS、IDPro)が対象としています。
これがお役に立てば幸いです。