第4章:身份生命周期管理 — 从创建到注销的全流程治理 | IDaaS Book
4.1 身份生命周期的阶段
每个数字身份都会经历从诞生到终结的完整旅程:
创建 ──→ 管理 ──→ 变更 ──→ 注销
│ │ │ │
│ │ │ └── 永久删除或归档
│ │ └─────────── 角色变更、部门调动
│ └──────────────────── 权限调整、密码重置
└───────────────────────────── 入职、注册阶段一:身份创建(Provisioning)
新身份的产生通常由以下事件触发:
- 员工入职:HR 系统中创建新员工记录 → 自动创建 IAM 账户
- 新用户注册:用户自助注册(CIAM 场景)
- 合作伙伴入驻:外部组织成员获得访问权限
- 服务账户创建:新应用或微服务需要机器身份
创建过程的关键要素:
- 身份源(Identity Source):谁说了算?HR 系统、CRM、AD、手动?
- 身份映射:源系统的字段如何映射到目标系统的属性?
- 初始权限:新身份应该有什么权限?(最小权限原则)
- 通知机制:如何告知用户账号信息和首次登录方式?
阶段二:身份认证与使用(Authentication & Usage)
这是用户日常与 IAM 系统交互的阶段。用户使用凭证进行认证,IAM 系统根据策略授予相应的访问权限。具体的认证和授权机制在前两章已有详细讨论。
阶段三:身份变更(Identity Modification)
身份在存续期间会经历各种变更:
属性变更
- 姓名变更(结婚、法律改名)
- 邮箱变更
- 手机号变更
- 职位、部门、上级变更
权限变更
- 调岗导致的权限变更
- 晋升导致的权限增加
- 项目参与导致的临时权限
- 离职前的权限逐步回收
凭证变更
- 密码重置
- MFA 设备更换
- 证书更新
变更管理的核心原则:
- 变更应有审计记录
- 权限变更要经过审批
- 高风险变更需要多重确认
阶段四:身份暂停与注销(Suspension & Deprovisioning)
这是最容易被忽视却最关键的阶段。
身份暂停(Suspension)
身份失效的中间状态:
- 员工休假(临时)
- 员工停职(临时,等待调查)
- 身份被盗用的应急处置
暂停状态的特征:身份仍存在,凭证保留,权限全部冻结。恢复时可以快速重新激活。
身份注销(Deprovisioning)
身份永久失效:
- 员工离职
- 合同到期
- 服务下线
- 账户超过不活跃期限
注销的关键动作:
- 撤销所有访问权限
- 吊销所有有效 Session 和 Token
- 将账户标记为禁用(而非立即删除)
- 保留审计日志(保留期限由合规要求决定)
- 清理个人数据(在合规允许的情况下)
- 通知相关方(如取消应用授权)
为什么不要立即删除?
- 合规审计需要保留操作记录
- 可能存在未处理的业务数据归属问题
- 误操作可以快速恢复
最佳实践是先禁用,等待一段冷却期(如 30-90 天),确认无问题后再删除。
4.2 身份治理(Identity Governance)
身份治理是身份生命周期管理的"管理面",核心活动包括:
4.2.1 权限审查(Access Certification)
定期(通常季度或半年度)对用户的权限进行审查:
- 这个用户还需要这些权限吗?
- 是否有不应该有的"异常权限"?
- 高权限用户是否需要更频繁地审查?
4.2.2 职责分离审查(SoD Review)
检测是否存在职责分离冲突:
- 某人是否可以既提交支付请求又审批支付请求?
- 开发人员是否可以访问生产数据库?
4.2.3 孤立账户检测(Orphan Account Detection)
发现已经不归属于任何合法所有者的账户:
- 创建者已离职但账户未注销
- 测试用的临时账户一直未被清理
- 合并/收购遗留的账户
4.3 自动化:从人工到零接触
Level 0:全人工
HR 发邮件给 IT → IT 手动创建账户 → 手动分配权限 → 发邮件告知用户
问题:耗时长、容易出错、无法追溯。
Level 1:半自动化
HR 系统有 Webhook → IAM 系统收到事件 → IT 审批 → 自动创建
改进:减少了手动操作步骤。
Level 2:全自动
HR 系统是 Identity Source → IAM 系统实时同步 → 基于规则自动创建/变更/禁用 → 通知用户
特点:基于事件驱动,无需人工干预。
Level 3:智能身份
在 Level 2 的基础上增加了 AI/ML 能力:
- 基于机器学习推荐初始权限
- 检测异常权限变更
- 预测身份风险
- 自动化的 SoD 违规检测
4.4 技术实现
SCIM 协议
SCIM(System for Cross-domain Identity Management)是专门用于跨域身份管理的标准协议。将在 第9章详细讨论。
JIT Provisioning
即时供应。用户首次登录时才创建账户。适用于联邦场景:IdP 上的用户在首次通过认证访问 SP 时,SP 自动为该用户创建本地账户。
优点:延迟创建,减少无效账户。 缺点:首次登录延迟,需要充足的属性信息。
Identity Connectors
通过连接器对接各种 Identity Source:
- HR 系统连接器(Workday、SAP SuccessFactors、PeopleSoft)
- 目录连接器(AD、LDAP)
- 数据库连接器(MySQL、PostgreSQL)
- 云应用连接器(Microsoft 365、Salesforce)
- 自定义脚本连接器
4.5 最佳实践
- 单一身份源(Single Source of Truth):每个用户的权威身份数据应来自一个确定的源系统。
- 自动化优先:任何手工身份操作都应是例外,不是常态。
- 及时撤销:离职员工账号应在离职生效后 1 小时内完成禁用与访问吊销(吊销所有有效 Session/Token,冷却期满后再删除账户,详见 4.1)。
- 定期审查:高权限账号每月审查,普通账号每季度审查。
- 审计日志:所有身份操作都有完整的审计日志。
- 处理异常:自动化流程要有异常处理机制(重试、告警、人工介入)。
- 数据最小化:只收集业务必需的身份属性,不要贪多。
4.6 小结
身份生命周期管理是 IDaaS 的骨架,它将离散的身份操作串联成完整的业务流程。好的生命周期管理让"员工入职能在半小时内访问所有需要的系统,离职后一小时内失去所有企业资源的访问权限"。这不仅关乎效率,更关乎安全。关于如何通过 SCIM 自动化实现这一目标,参阅 IAM SCIM 用户自动配置实战。