4.1 身份生命周期的阶段

每个数字身份都会经历从诞生到终结的完整旅程:

  创建 ──→ 管理 ──→ 变更 ──→ 注销
   │        │        │        │
   │        │        │        └── 永久删除或归档
   │        │        └─────────── 角色变更、部门调动
   │        └──────────────────── 权限调整、密码重置
   └───────────────────────────── 入职、注册

阶段一:身份创建(Provisioning)

新身份的产生通常由以下事件触发:

  • 员工入职:HR 系统中创建新员工记录 → 自动创建 IAM 账户
  • 新用户注册:用户自助注册(CIAM 场景)
  • 合作伙伴入驻:外部组织成员获得访问权限
  • 服务账户创建:新应用或微服务需要机器身份

创建过程的关键要素:

  1. 身份源(Identity Source):谁说了算?HR 系统、CRM、AD、手动?
  2. 身份映射:源系统的字段如何映射到目标系统的属性?
  3. 初始权限:新身份应该有什么权限?(最小权限原则)
  4. 通知机制:如何告知用户账号信息和首次登录方式?

阶段二:身份认证与使用(Authentication & Usage)

这是用户日常与 IAM 系统交互的阶段。用户使用凭证进行认证,IAM 系统根据策略授予相应的访问权限。具体的认证和授权机制在前两章已有详细讨论。

阶段三:身份变更(Identity Modification)

身份在存续期间会经历各种变更:

属性变更

  • 姓名变更(结婚、法律改名)
  • 邮箱变更
  • 手机号变更
  • 职位、部门、上级变更

权限变更

  • 调岗导致的权限变更
  • 晋升导致的权限增加
  • 项目参与导致的临时权限
  • 离职前的权限逐步回收

凭证变更

  • 密码重置
  • MFA 设备更换
  • 证书更新

变更管理的核心原则

  • 变更应有审计记录
  • 权限变更要经过审批
  • 高风险变更需要多重确认

阶段四:身份暂停与注销(Suspension & Deprovisioning)

这是最容易被忽视却最关键的阶段。

身份暂停(Suspension)

身份失效的中间状态:

  • 员工休假(临时)
  • 员工停职(临时,等待调查)
  • 身份被盗用的应急处置

暂停状态的特征:身份仍存在,凭证保留,权限全部冻结。恢复时可以快速重新激活。

身份注销(Deprovisioning)

身份永久失效:

  • 员工离职
  • 合同到期
  • 服务下线
  • 账户超过不活跃期限

注销的关键动作:

  1. 撤销所有访问权限
  2. 吊销所有有效 Session 和 Token
  3. 将账户标记为禁用(而非立即删除)
  4. 保留审计日志(保留期限由合规要求决定)
  5. 清理个人数据(在合规允许的情况下)
  6. 通知相关方(如取消应用授权)

为什么不要立即删除?

  • 合规审计需要保留操作记录
  • 可能存在未处理的业务数据归属问题
  • 误操作可以快速恢复

最佳实践是先禁用,等待一段冷却期(如 30-90 天),确认无问题后再删除。

4.2 身份治理(Identity Governance)

身份治理是身份生命周期管理的"管理面",核心活动包括:

4.2.1 权限审查(Access Certification)

定期(通常季度或半年度)对用户的权限进行审查:

  • 这个用户还需要这些权限吗?
  • 是否有不应该有的"异常权限"?
  • 高权限用户是否需要更频繁地审查?

4.2.2 职责分离审查(SoD Review)

检测是否存在职责分离冲突:

  • 某人是否可以既提交支付请求又审批支付请求?
  • 开发人员是否可以访问生产数据库?

4.2.3 孤立账户检测(Orphan Account Detection)

发现已经不归属于任何合法所有者的账户:

  • 创建者已离职但账户未注销
  • 测试用的临时账户一直未被清理
  • 合并/收购遗留的账户

4.3 自动化:从人工到零接触

Level 0:全人工

HR 发邮件给 IT → IT 手动创建账户 → 手动分配权限 → 发邮件告知用户

问题:耗时长、容易出错、无法追溯。

Level 1:半自动化

HR 系统有 Webhook → IAM 系统收到事件 → IT 审批 → 自动创建

改进:减少了手动操作步骤。

Level 2:全自动

HR 系统是 Identity Source → IAM 系统实时同步 → 基于规则自动创建/变更/禁用 → 通知用户

特点:基于事件驱动,无需人工干预。

Level 3:智能身份

在 Level 2 的基础上增加了 AI/ML 能力:

  • 基于机器学习推荐初始权限
  • 检测异常权限变更
  • 预测身份风险
  • 自动化的 SoD 违规检测

4.4 技术实现

SCIM 协议

SCIM(System for Cross-domain Identity Management)是专门用于跨域身份管理的标准协议。将在 第9章详细讨论。

JIT Provisioning

即时供应。用户首次登录时才创建账户。适用于联邦场景:IdP 上的用户在首次通过认证访问 SP 时,SP 自动为该用户创建本地账户。

优点:延迟创建,减少无效账户。 缺点:首次登录延迟,需要充足的属性信息。

Identity Connectors

通过连接器对接各种 Identity Source:

  • HR 系统连接器(Workday、SAP SuccessFactors、PeopleSoft)
  • 目录连接器(AD、LDAP)
  • 数据库连接器(MySQL、PostgreSQL)
  • 云应用连接器(Microsoft 365、Salesforce)
  • 自定义脚本连接器

4.5 最佳实践

  1. 单一身份源(Single Source of Truth):每个用户的权威身份数据应来自一个确定的源系统。
  2. 自动化优先:任何手工身份操作都应是例外,不是常态。
  3. 及时撤销:离职员工账号应在离职生效后 1 小时内完成禁用与访问吊销(吊销所有有效 Session/Token,冷却期满后再删除账户,详见 4.1)。
  4. 定期审查:高权限账号每月审查,普通账号每季度审查。
  5. 审计日志:所有身份操作都有完整的审计日志。
  6. 处理异常:自动化流程要有异常处理机制(重试、告警、人工介入)。
  7. 数据最小化:只收集业务必需的身份属性,不要贪多。

4.6 小结

身份生命周期管理是 IDaaS 的骨架,它将离散的身份操作串联成完整的业务流程。好的生命周期管理让"员工入职能在半小时内访问所有需要的系统,离职后一小时内失去所有企业资源的访问权限"。这不仅关乎效率,更关乎安全。关于如何通过 SCIM 自动化实现这一目标,参阅 IAM SCIM 用户自动配置实战