身份安全 | 零信任架构之重构IAM

由于传统的IAM是基于RBAC且静态授权模式的，所以基于细粒度用IAM已无法满足。我们先看下典型的RBAC概念图：

当用户2需要增加权限时该概念图已无法解决，需要重新创建新的角色与新权限关联后再赋予给用户2。意味着业务的变化会引起新的角色层次结构的变化，而且角色数量会随着用户数量的增加而增加，时间一久导致用户对应角色的积累赋予其过多的权限，存在角色用户管理问题。

我们知道通常应用都由身份、认证、授权三部分组成，IAM只不过是对各个应用进行整合和集中管理，简化了IT，本质上并没有脱离RBAC的模式，用户想要访问应用系统就需要拥有一个身份；访问前验证身份的合法性就是认证，认证有多种，包括用户密码、数字证书、动态令牌、二维码、人脸识别等多种认证方式；能否进行访问就是访问控制，访问应用里的功能需要事先的授权，而现在基于RBAC的模式已无法解决零信任架构下细粒度授权和授权动态控制问题，而这两个问题恰是我们需要重构IAM的原因。

这是IAM需要重构的第一个原因，IAM只解决了粗粒度授权的问题，但在零信任架构下是不满足业务要求的，因此IAM授权部分需要由策略管理点（PAP）来完成，IAM通过策略实施点（PEP）获取相应的颗粒度权限，由授权中心完成对第三方应用（客体）的细粒度授权控制。

主体访问客体前进行单点登录，即身份验证，统一认证平台通过PEP获取动态粗粒度的权限，对身份进行验证；访问代理通过PEP进行访问决策；决策通过后允许访问客体，客体再通过PEP获取动态的细粒度功能权限，从而实现细粒度授权的访问控制。

这是IAM需要重构的第二个原因，动态授权在零信任架构下是基于策略来完成的，基于PDP的策略包含权限数据和策略数据，权限数据又包含参与决策的所有权限信息，与权限信息相关的客体、主体、环境等属性都可以作为决策的依据；策略数据就是决策的方法了，包含决策算法和策略逻辑运算，这里会引用到权限数据和请求数据。

当主体访问并通过单点登录时，访问代理的PEP会携带主体属性、环境属性、客体属性作为请求数据给到PDP进行请求决策，PDP会根据请求属性动态的给出权限评估，不同的属性相同的组合或相同属性不同组合都会有不同的评估结果，从而实现授权的动态控制，而不用关心业务发生变更导致权限不同而带来策略的改变。