Active directory Active directory与标识和访问管理之间的区别

如果你觉得这个问题微不足道，请原谅。但我对身份和访问管理非常陌生。IBM、Oracle等公司在市场上提供多种工具

我来自微软，我的印象是，身份和访问管理工具所做的一些事情可以由Active directory完成

我很难理解Active directory与身份和访问管理的区别

我可以将这些IAM工具与Active directory集成吗

是否对存储在Active Directory中的内部用户进行身份和访问管理

---

如果IAM（在Active directory顶部）提供了一些原因或功能，那么这种交互是如何工作的？例如，始终根据active directory检查我的服务器凭据。无法根据IAM数据库对其进行检查。这是否意味着IAM使用Active Directory作为存储库？

这是一个令人惊讶的常见问题，对很多人没有帮助 市场参与者喜欢使用误导性的术语来描述 他们自己的产品

你可以这样想：

目录，包括ACTIVE DIRECTORY：

• 目录是存储身份信息的系统：
  • 数据的物理存储方式各不相同，并不太重要
  • 存储的数据包括用户ID、名称和其他标识 属性等
  • 可能存在与用户对象相关联的密码，但这是 情况并非总是如此
  • 可能有组和组成员身份，它们是什么模型 人们也可以访问。这也是可选的
  • 目录中的对象可能根本不代表人-您可以 拥有计算机对象、策略对象、打印机等
• 目录通过网络服务公开此数据。主要是， 使用LDAP（轻量级目录访问协议）。合并时 使用SSL或TLS，这将成为LDAP并进行加密。这是 用于搜索、读取和插入/更新内容的主协议 进入目录

• Active Directory（AD）是Microsoft的主要目录产品 企业使用。还有Azure广告（它根本不是广告， 实际上-据我所知，没有LDAP服务）和 Active Directory轻型目录服务（AD-LDS），它是 不适用于PC登录，但它是一个可靠的LDAP目录

• 还有许多其他LDAP目录产品可用，包括 OpenLDAP（免费/开源）、OID（Oracle）和许多其他软件

• 广告在很多方面都很有趣：
  • 它与Windows操作系统紧密集成

  • 企业环境中的用户通常登录到他们的PC 使用AD ID/密码，而不是现有的本地ID/密码 只在电脑上

  • AD（组策略对象）中有用于管理安全性的工具 个人电脑和与用户相关的政策

  • AD具有很强的可扩展性，支持实时性和容错性 跨数百个目录复制目录内容 服务器，微软称之为域控制器

身份和访问管理：

• 而目录是一个存储信息的地方 用户，并在需要时检索（例如，识别用户 登录系统/应用程序，对其进行身份验证并检查 他们被授权访问），身份和访问管理 （IAM）系统用于自动化填充的业务流程 以及管理目录的内容

• IAM系统的一个示例用例是监控人力资源系统， 检测新员工、调动和解雇，并自动创建， 在一个或多个数据库中修改或删除登录帐户和标识属性 更多目录响应

• IAM系统的另一个示例用例是公开web应用程序 用户可以请求更改其自己或其他用户权限的门户 访问权限或身份信息。此类请求可能会受到限制 在将验证和授权写入一个或多个 更集成的目录

• IAM系统的其他使用案例包括密码同步 在多个系统和应用程序之间，使用自助密码 当用户出现登录问题时重置或解锁，定期检查 以及清除过时的访问权限（如登录帐户和组） 成员资格），维护组织结构图关系（链接经理） 对于下属），政策的应用，例如 职责（拥有此组成员资格的人员不应同时拥有 这组成员）加上各种报告和分析

• IAM系统通常与许多系统集成。这包括 HR应用程序或其他“记录系统”目录，如AD 或OpenLDAP，Unix/Linux、Oracle、MSSQL等系统上的本地帐户， 等等，应用程序中的访问权限，从本地内容 如SAP或Oracle EBS到Salesforce.com等云托管应用程序， Concur等，还有更多。IAM系统的价值主张 可以认为是由于产品过程的自动化 系统集成的时间

身份和访问管理：

归根结底，目录是存储数据的地方 人员和其他对象，IAM系统是您管理数据的方式 具有良好的效率和控制能力

顺便说一句，有一个很好的术语定义集合 此处与IAM相关：