什么是用戶角色和訪問管理？

用戶角色和訪問管理（有時也稱為用戶許可）是管理員定義用戶對文件、應用程序和系統等資源的訪問類型的一種方式。公司按組或角色類型而不是單獨授予用戶訪問權限，以節省用戶配置和取消配置的管理時間；定義和監控對公司資產的大規模訪問；將用戶對公司資產的訪問限制在完成工作所需的最低金額；并滿足監管安全和隱私合規要求。

角色描述的類型因公司需要和政策而異。用戶通常根據其工作職能被授予角色類型。許多公司根據組分配角色，例如公司部門、職位、職責、位置和員工管理級別。然后授予角色類型而不是單個用戶的特定權限，以訪問公司資源并采取行動。例如，部門領導角色可能被授予對軟件應用程序進行全局更改的權限，而經理角色將被授予僅對特定文件進行更改的權限。類似地，可以授予入門級員工角色用戶對該系統內文件的僅查看訪問權限（如果有的話）。

什么是用戶角色和訪問管理？

訪問控制管理的類型

多年來，訪問控制管理方法已經從基于角色發展到基于屬性再到基于策略。根據公司對訪問控制的粒度和靈活性的需求，將決定他們將采用哪種用戶角色和訪問管理理念。

• 基于角色的訪問控制 (RBAC)：使用 RBAC，根據職位、公司部門、辦公地點和工作職能等靜態因素為用戶分配角色類型，然后授予該角色類型對公司資產的訪問權限。
• 基于屬性的訪問控制 (ABAC)：與 RBAC 類似，ABAC 允許用戶根據用戶屬性訪問公司資源或在公司資源中執行操作，例如訪問敏感信息時的許可級別、資源類型（例如特定文件類型）和其他因素比如基于時間和位置的訪問。 
• 基于策略的訪問控制 (PBAC)：與靜態 RBAC 相比，PBAC 促進了更靈活的訪問控制，因為它為基于公司策略的臨時、地理或基于時間的訪問提供了靈活性。

使用訪問管理的好處

使用用戶角色和訪問管理策略的好處包括： 

• 更輕松、更快速的用戶配置和取消配置，節省管理員時間
• 通過限制對完成任務所需的最低級別的訪問來提高安全性
• 減少員工濫用資產，即內部威脅
• 遵守數據安全和數據隱私監管要求，例如通用數據保護條例 (GDPR)、加州消費者隱私法案 (CCPA)、薩班斯-奧克斯利法案 (SOX)、健康保險流通與責任法案 (HIPAA)、Gramm-Leach-比利利法案 (GLBA) 等

訪問控制管理的影響

用戶角色和訪問管理策略對公司和最終用戶的影響通常是積極的。

• 速度：用戶角色和訪問管理允許管理員根據用戶的組和角色類型快速授予用戶訪問權限。
• 準確度：管理員在使用預定義角色時為用戶提供最少的權限更準確。
• 監控：制定基于角色的訪問策略需要公司了解誰可以訪問重要的公司資源。用戶配置和治理工具等工具可以幫助公司管理員監控這些策略是否得到正確執行。 
• 合規性：許多公司需要滿足嚴格的數據安全和數據隱私法規，包括用戶角色和訪問管理策略。

基于角色的訪問控制 (RBAC) 的基本要素

用戶角色和訪問管理的類型可能會有所不同。具體而言，對于 RBAC，它可能包括以下類型，基于美國國家標準與技術研究院 (NIST) 模型：

• Flat RBAC：這是最直接的用戶角色類型和基于員工角色的訪問管理。
• Hierarchical RBAC : Hierarchical RBAC 授予上級員工下屬的權限。
• 受約束的 RBAC：這種類型允許法規經常要求的職責分離。 
• 對稱 RBAC：對稱 RBAC 將權限審查添加到受限訪問。 

訪問管理最佳實踐

為了使用戶角色和訪問管理運作良好，公司必須遵循以下最佳實踐：

• 確定 RBAC、ABAC 或 PBAC 是否最適合組織
• 了解用戶可能有多種角色類型適用于他們
• 確保角色管理員為角色分配、角色授權和權限授權創建策略
• 利用軟件解決方案（例如用戶配置和治理工具）來管理公司訪問策略

訪問管理與身份管理

訪問管理管理授予用戶的權限；在授予對許可資源的訪問權限之前，它不會驗證用戶是否就是他們所說的那個人。 

身份管理在授予訪問權限之前識別并驗證用戶就是他們所說的那個人。身份和訪問管理 (IAM) 軟件解決方案通常由身份工具組成，例如單點登錄 (SSO) 軟件、密碼管理器軟件、多因素身份驗證軟件、用戶配置和治理工具等。