什么是预配?
- IAM 词汇表
- 什么是预配?
在信息技术 (IT) 的上下文中,预配是设置 IT 基础设施的过程。此基础设施可以是物理设备,例如预配服务器或笔记本电脑,也可以是虚拟设备,例如预配云实例或用户帐户。
预配有时会与配置混淆。预配是指使基础设施可用于配置。首先,您对基础设施进行预配,然后再进行配置。
打个比方,您通过签订租约或抵押贷款来“预配”您的房子。然后,您可以搬入并根据自己的喜好设置空间来“配置”它。
不同的预配类型
预配是一个广义术语,可用于各种不同的 IT 环境。让我们来看看一些最常见的用法。
- 服务器预配是设置本地服务器以供在网络中使用的过程。
- 用户预配是身份管理不可分割的一部分。它是指为组织数据环境中的各种资源设置用户帐户,涵盖从电子邮箱到数据库再到帮助台工单系统。
- 网络预配涉及设置网络,以便最终用户、设备、硬件和应用进行访问。
- 云预配是指设置云资源,例如虚拟机 (VM) 和容器。在云计算世界中,预配通常被称为“启动”资源。
- 应用预配是指在最终用户的机器(包括台式电脑、笔记本电脑和移动设备)上安装和更新应用。
- 服务预配是指服务的初始设置,例如新的公共云或电信领域的新移动电话服务。
- SCIM 预配,或跨域身份管理系统,使用 HTTP 请求方法在整个身份生命周期中管理用户数据。它适用于现有的 Web 标准,并且通常易于集成。
就本文而言,我们将重点介绍用户预配。
什么是自动预配?
在引入云计算之前,IT 硬件的预配是采取手动执行。管理员必须手动设置和配置服务器以及其他网络硬件,这是一个繁琐而耗时的过程。增加网络或存储容量是一项资本支出,必须提前规划好。用户预配在某种程度上可以自动化,但仍然需要大量的手动工作。
在基于云的现代数据环境中,大多数 IT 基础设施都是虚拟的,预配是通过软件完成。例如,云服务自动扩展网络容量的能力是云迁移的主要卖点。这消除了组织购买超出其需求的硬件的风险,还可以防止他们在业务突然激增时陷入短缺的困境。
IT 团队通常可使用身份管理平台来自动预配用户访问权限。当新员工入职时,IT 管理员可使用平台为他们分配“角色”,然后基于该角色自动为员工授予访问特定应用的权限。如果该员工变更了角色或从组织离职,IT 管理员只需更新其角色,并根据需要更改其访问权限级别即可。
自动预配的好处
用户入职和离职更容易、更快速且不易出错。如果必须为每位员工逐一手动配置用户访问权限,既繁琐又耗时。这在非常大或快速发展的组织中尤其如此,在这些组织中,每周都有数十甚至数百位员工入职、离职或需要更改访问级别。自动处理这些任务可以节省时间,并可将出现配置错误的可能性降至最低。
提高生产力并节省成本。新员工在第一天即可获得完成工作所需的所有资源。IT 团队可以将时间花在推动业务发展的项目上,而不是陷入管理任务的泥潭。除了提高生产力外,这还可通过最大限度地减少日常管理费用和停机时间来为组织节省资金。
安全增强。新用户仅获得完成工作所需的最低级别访问权限,离职员工的系统访问权限可被立即终止,并且出错的可能性要小得多。IT 和安全专员还可以更好地了解谁可以访问什么。
预配最佳做法
集中管理您的用户身份。使用基于云的中央身份和访问管理 (IAM) 目录服务,并且可以在 Office 365、Google Workspace、人力资源和薪资系统以及其他主要目录(例如 Active Directory)之间同步身份。
避免定义过宽和过窄的用户角色。正确设计的用户角色对于自动预配用户和确保所有用户保持最低特权访问至关重要。如果角色过宽,则用户拥有的访问权限将超过完成其工作所需的权限。如果角色过窄,他们将无法访问所需的应用,而您的 IT 团队将不得不手动预配更多访问权限,这就无法实现自动预配的全部目的。
无论何时何地只要有可能就采用自动预配。自动执行的任务越多,为您的组织带来的好处就越大。
确保您可以快速取消对离职用户的预配。 无论您选择哪个 IAM 工具,应确保它提供了一键撤消用户对所有组织资源的访问权限的功能。这有助于防止发生任何潜在的安全问题。