一、如何通过7A 构建现代IAM

IAM（身份和访问管理）的7A原则在组织的安全架构中扮演着至关重要的角色。这七个核心功能均以字母“A”为起始，共同构成了IAM的基石：身份验证（Authentication）、访问控制（Access Control）、授权（Authorization）、管理和治理（Administration and Governance）、属性（Attributes）、审计和报告（Audit and Reporting），以及可用性（Availability）。

将7A原则视作实用的指导方针——它以更实际的视角揭示了IAM在现实世界中的应用方式。鉴于传统的防火墙已不再足够，IAM必须确保只有经过验证的用户（无论是人类还是机器）能够在适当的时间、出于恰当的理由访问组织的复杂云服务、应用程序和数据的适当级别。这正是我们所强调的。

让我们深入探讨每一个“A”，并阐释它们是如何共同支撑身份优先的安全性、提升效率、增强弹性以及促进创新——特别是在多云环境中的应用。。

二、IAM 的 7A 是什么？ 

IAM 的 7A 原则涵盖了身份验证 (Authentication)、访问控制 (Access Control)、授权 (Authorization)、管理和治理 (Administration and Governance)、属性 (Attributes)、审计和报告 (Audit and Reporting) 以及可用性 (Availability)。每一个“A”都与其他“A”紧密相连，而这些“A”的执行顺序对于IAM的成功实施至关重要。

7A原则旨在构建一个安全、敏捷且可扩展的身份架构。这一概念与Gartner 2024年IAM计划的主题不谋而合，它强调了IAM的基础功能（如身份验证和访问管理）以及更高级的功能，例如身份编排和IAM韧性，以应对日益增长的网络威胁。Gartner的研究表明，“身份已成为最终的控制面，它结合了上下文、连续性和一致性，从而提供对用户和设备身份的全面理解。这种方法通过在零信任世界中建立明确的信任，实现了安全可靠的访问。”

随着多云环境的兴起，跨多平台身份管理的挑战也日益严峻。每种云服务都引入了一套各自的安全协议，这使得在所有平台上保持一致的身份安全变得越来越困难。

Gartner 指出：“企业需要将其 IAM 从一套管理用户和权限的独特工具和流程发展为一个高度灵活、集成、安全、可互操作且分布式的身份结构。”在此背景下，IAM 的 7A 为企业构建稳健且有弹性的 IAM 策略提供了一个全面的框架。

身份和访问管理 (IAM) 的“7A”并非新概念。最初只有四个“A”，但随着 IAM 的发展，需要添加更多功能。因此，“A”的列表一直在不断增长。

通过关注身份验证、访问控制、授权、管理和治理、属性、审计和报告以及可用性，企业可以确保其 IAM 系统增强安全性并保持灵活性和可扩展性，同时满足当今混合和多云环境的需求。

这些元素中的每一个都单独或共同工作以创建 IAM 结构。

1．身份验证(Authentication)：你是你吗？ 

身份验证是指在授予个人或系统访问资源的权限之前，确保其身份与所声称的身份一致的过程。它是防止未授权访问的第一道防线，在保护敏感信息方面发挥着至关重要的作用。

一个非常基础的身份验证示例是输入用户名和密码登录您的电子邮件账户；随后系统会检查这些凭据是否与记录相符，以决定是否授予访问权限。

当前，传统的身份验证方法如密码正逐渐被更安全的替代方法所补充或取代，例如多因素身份验证(MFA)、无密码身份验证、密钥和生物特征验证。这些方法要求用户提供多种身份证明，以减少被冒充或未授权访问的风险。

身份验证，亦称为身份鉴别，通常通过三种方式来证明“你是你”，即：1）我是谁；2）我拥有什么；3）我信任什么。其中，更为严格的实人鉴别能力如下：

每一种身份验证方法都有其独特的优缺点，选择时需依据实际应用场景进行考量。最终目标是确保合法用户能够通过合法的验证手段进入数字世界。

随着数字环境的日益复杂化，对自适应和情境感知身份验证技术的需求显著增加。这些先进的系统能够综合分析用户的位置、行为模式以及使用的设备等信息，实时评估访问请求的合法性。

这种动态的身份验证方法在提高安全性的同时，通过最小化不必要的干扰来优化用户体验。随着云计算和远程工作的普及，确保身份验证机制既稳健又灵活变得至关重要。

2．访问控制(Access Control)：谁可以进入大门？

访问控制决定了谁有权访问组织内的特定资源。通过执行访问控制策略，组织能够限制敏感数据和系统的暴露范围，进而降低数据泄露的风险。

一个访问控制的简单实例是使用钥匙卡进入受保护的办公区域；系统仅允许持有适当权限钥匙卡的个人进入特定位置。

基于角色的访问控制（RBAC）是最广泛采用的方法之一。它依据用户在组织中的角色来分配权限。这种方法确保用户仅能访问其工作职责所需的信息和工具，从而支持最小权限原则。

在现代身份与访问管理（IAM）系统中，访问控制必须适应多样化且通常分布式的IT环境，涵盖本地系统、云平台以及移动设备。现代环境的复杂性要求解决方案能够管理跨不同身份提供者（IDP）和应用程序的访问权限，确保访问策略的一致性执行。

随着欧洲《通用数据保护条例》（GDPR）、中国的《数据安全法》以及《个人信息保护法》等监管要求的不断演进，组织必须持续审查和更新其访问控制机制，以保持合规性。这一过程是动态且持续的，而非一次性的设置。

通常情况下，访问控制能力作为用户访问应用或资源的入口控制，例如企业中一个用户是否可以通过单点登录（SSO）访问SAP系统，这将根据用户的角色和岗位等信息进行判断。而在进入SAP系统后，用户可以访问哪些功能模块、菜单按钮、数据表等，则属于授权控制的范畴，这将在下一节中详细说明。

3．授权(Authorization)：你能干什么？ 

授权机制允许经过身份验证的用户执行特定的操作。这种机制依赖于预先设定的策略和角色，以确保用户仅能根据其角色或所具备的属性执行相应的授权任务。

举一个简单的授权示例：当用户登录云存储系统时，他们可以浏览文档，但无法进行编辑或删除