סקירה כללית על ניהול זהויות והרשאות גישה

Last reviewed 2024-07-11 UTC

ניהול זהויות והרשאות גישה (בדרך כלל נקרא IAM) הוא שיטה להענקת גישה לאנשים הנכונים למשאבים הנכונים מהסיבות הנכונות. בסדרה הזו נסביר על הנוהל הכללי של IAM ועל האנשים שחלים עליהם הכללים, כולל:

  • זהויות ארגוניות: הזהויות שאתם מנהלים עבור העובדים בארגון. הזהויות האלה משמשות לכניסה לתחנות עבודה, לגישה לאימייל או לשימוש באפליקציות ארגוניות. זהויות ארגוניות עשויות לכלול גם אנשים שאינם עובדים, כמו קבלנים או שותפים שזקוקים לגישה למשאבים ארגוניים.
  • זהויות לקוחות: הזהויות שאתם מנהלים עבור משתמשים כדי שהם יוכלו לקיים אינטראקציה עם האתר או עם אפליקציות שפונות ללקוחות.
  • זהויות שירות: הזהויות שאתם מנהלים כדי לאפשר לאפליקציות ליצור אינטראקציה עם אפליקציות אחרות או עם הפלטפורמה הבסיסית.

יכול להיות שתצטרכו לתת גישה למשאבים הבאים:

  • שירותי Google כמו Google Cloud,‏ Google Analytics או Google Workspace
  • משאבים ב- Google Cloud, כמו פרויקטים, קטגוריות של Cloud Storage או מכונות וירטואליות (VM)
  • אפליקציות או משאבים בהתאמה אישית שמנוהלים על ידי אפליקציות כאלה

המדריכים בסדרה הזו מחלקים את הדיון בנושא IAM לחלקים הבאים:

איך המדריכים בסדרה הזו קשורים זה לזה.

  • ניהול זהויות ארגוניות, זהויות של לקוחות וזהויות של שירותים הוא הבסיס של IAM. הנושאים האלה מופיעים בתיבות 4, 5 ו-6 (בירוק).
  • התיבות 2 ו-3 (בכחול) מתייחסות לנושאים שקשורים לניהול גישה, והן מבוססות על ניהול זהויות. הנושאים האלה כוללים ניהול גישה לשירותי Google, למשאבים ולעומסי העבודה והאפליקציות המותאמים אישית. Google Cloud
  • בתיבה 1 (בצבע צהוב) מפורטים נושאים שקשורים לניהול גישה שלא נכללים במדריכים האלה. כדי לקבל מידע על ניהול הרשאות גישה ב-Google Workspace, ב-Google Marketing Platform ובשירותים אחרים, אפשר לעיין במסמכי המוצר הרלוונטיים.

ניהול זהויות

ניהול הזהויות מתמקד בתהליכים הבאים:

  • הקצאה, ניהול, העברה וביטול הקצאה של זהויות, משתמשים וקבוצות.
  • הפעלת אימות מאובטח לשירותי Google ולעומסי העבודה המותאמים אישית שלכם.

התהליכים והטכנולוגיות שונים בהתאם לסוג הזהויות שאתם מתמודדים איתן: זהויות ארגוניות, זהויות של אפליקציות או זהויות של לקוחות.

ניהול זהויות ארגוניות

זהויות ארגוניות הן הזהויות שאתם מנהלים עבור העובדים בארגון. העובדים משתמשים בזהויות האלה כדי להיכנס לתחנות עבודה, לגשת לאימייל או להשתמש באפליקציות ארגוניות.

במסגרת ניהול זהויות ארגוניות, אלה הדרישות האופייניות:

  • שמירה על מקום אחד לניהול הזהויות בארגון.
  • לאפשר לעובדים להשתמש בזהות אחת ובכניסה יחידה (SSO) בכמה אפליקציות בסביבת מחשוב היברידית.
  • אכיפת מדיניות כמו אימות רב-שלבי או סיסמאות מורכבות לכל העובדים.
  • עמידה בקריטריונים לתאימות שעשויים לחול על העסק שלכם.

Google Workspace ו-Cloud Identity הם מוצרים של Google שמאפשרים לכם לעמוד בדרישות האלה ולנהל באופן מרכזי את הזהויות והמדיניות.

אם אתם משתמשים בשירותי Google בסביבה היברידית או מרובת עננים, יכול להיות שתצטרכו לשלב את יכולות ה-IAM של Google עם פתרונות חיצוניים לניהול זהויות או עם ספקי זהויות כמו Active Directory, כדי לעמוד בדרישות האלה. במסמך ארכיטקטורות לדוגמה מוסבר איך אפשר לבצע שילוב כזה באמצעות Google Workspace או Cloud Identity.

יכול להיות שחלק מהעובדים שלכם מסתמכים על חשבונות Gmail או על חשבונות אחרים לשימוש פרטי כדי לגשת למשאבים ארגוניים. יכול להיות שהשימוש בסוגים האלה של חשבונות משתמשים לא יעמוד בדרישות או במדיניות שלכם, ולכן תוכלו להעביר את המשתמשים האלה ל-Google Workspace או ל-Cloud Identity. לפרטים נוספים, אפשר לעיין במאמרים בנושא הערכת חשבונות המשתמשים הקיימים והערכת תוכניות ההצטרפות.

כדי לעזור לכם לעבור ל-Google Workspace או ל-Cloud Identity, תוכלו לעיין במדריכים שלנו בנושא הערכה ותכנון. במדריכים האלה מוסבר איך לגשת לדרישות שלכם ואיך להתמודד עם תהליך המעבר.

ניהול זהויות של אפליקציות

זהויות של אפליקציות הן הזהויות שמנהלים כדי לאפשר לאפליקציות ליצור אינטראקציה עם אפליקציות אחרות או עם הפלטפורמה הבסיסית.

במסגרת ניהול הזהויות של האפליקציות, אלה הדרישות האופייניות:

  • שילוב עם ממשקי API ופתרונות אימות של צד שלישי.
  • הפעלת אימות בסביבות שונות בתרחיש היברידי או מרובה עננים.
  • מניעת דליפה של פרטי כניסה.

Google Cloud מאפשר לכם לנהל את הזהויות של האפליקציות ולעמוד בדרישות האלה באמצעות Google Cloud חשבונות שירות וחשבונות שירות של Kubernetes. מידע נוסף על חשבונות שירות ושיטות מומלצות לשימוש בהם זמין במאמר הסבר על חשבונות שירות.

ניהול זהויות של לקוחות

זהויות לקוחות הן הזהויות שאתם מנהלים עבור משתמשים כדי לאפשר להם ליצור אינטראקציה עם האתר או עם אפליקציות שפונות ללקוחות. ניהול הזהויות של הלקוחות והגישה שלהם נקרא גם ניהול זהויות והרשאות של לקוחות (CIAM).

במסגרת ניהול זהויות של לקוחות, אלה הדרישות האופייניות:

  • לאפשר ללקוחות להירשם לחשבון חדש, אבל להגן מפני שימוש לרעה, שעשוי לכלול זיהוי וחסימה של יצירת חשבונות בוטים.
  • תמיכה בכניסה באמצעות חשבון מדיה חברתית ושילוב עם ספקי זהויות של צד שלישי.
  • תמיכה באימות רב-שלבי ואכיפה של דרישות מורכבות הסיסמה.

פלטפורמת Identity Platform של Google מאפשרת לכם לנהל את זהויות הלקוחות ולעמוד בדרישות האלה. לפרטים נוספים על מערך התכונות ועל אופן השילוב של Identity Platform עם אפליקציות בהתאמה אישית, אפשר לעיין במסמכי התיעוד של Identity Platform.

ניהול הרשאות גישה

ניהול הרשאות הגישה מתמקד בתהליכים הבאים:

  • הענקת גישה למשאבים ספציפיים לזהויות או ביטול הגישה שלהן למשאבים.
  • ניהול תפקידים והרשאות.
  • העברת יכולות אדמיניסטרטיביות לאנשים מהימנים.
  • אכיפה של בקרת גישה.
  • ביקורת על גישות שמבוצעות על ידי זהויות.

ניהול הגישה לשירותי Google

יכול להיות שהארגון שלכם מסתמך על שילוב של שירותי Google. לדוגמה, אפשר להשתמש ב-Google Workspace לשיתוף פעולה, Google Cloud לפריסת עומסי עבודה מותאמים אישית וב-Google Analytics למדידת מדדי הצלחה של פרסום.

‫Google Workspace או Cloud Identity מאפשרים לכם לשלוט באופן מרכזי בזהויות הארגוניות שיכולות להשתמש בשירותי Google. הגבלת הגישה לשירותים מסוימים מאפשרת לכם להגדיר רמת בסיס של בקרת גישה. לאחר מכן תוכלו להשתמש ביכולות ניהול הגישה של השירותים הספציפיים כדי להגדיר בקרת גישה מפורטת יותר.

פרטים נוספים זמינים במאמר בנושא שליטה בגישה ל-Google Workspace ולשירותי Google.

ניהול הגישה אל Google Cloud

ב- Google Cloud, אפשר להשתמש בIAM כדי להעניק לזהויות ארגוניות גישה מפורטת למשאבים ספציפיים. באמצעות IAM, אתם יכולים ליישם את עקרון האבטחה של הרשאות מינימליות, שבו אתם מעניקים לזהויות האלה הרשאות גישה רק למשאבים שאתם מציינים.

מידע נוסף מופיע במאמרי העזרה בנושא IAM.

ניהול הגישה לעומסי העבודה ולאפליקציות

יכול להיות שעומסי העבודה והאפליקציות המותאמים אישית יהיו שונים בהתאם לקהל שאליו הם מיועדים:

  • חלק מעומסי העבודה עשויים להתאים למשתמשים עסקיים – למשל, אפליקציות פנימיות של קו עסקי, לוחות בקרה או מערכות לניהול תוכן.
  • אפליקציות אחרות עשויות להיות מיועדות ללקוחות שלכם – לדוגמה, האתר שלכם, פורטל שירות עצמי ללקוחות או קצה עורפי לאפליקציות לנייד.

הדרך הנכונה לנהל גישה, לאכוף בקרת גישה ולבצע ביקורת גישה תלויה בקהל ובאופן הפריסה של האפליקציה.

במסמכי IAP אפשר לקרוא איך להגן על אפליקציות ועומסי עבודה אחרים שמיועדים למשתמשים עסקיים.

אפשר גם להטמיע ישירות את הכניסה באמצעות חשבון Google או להשתמש בפרוטוקולים סטנדרטיים כמו OAuth 2.0 או OpenID Connect.

במאמרי העזרה של Istio ושל Cloud Endpoints מוסבר איך לאכוף גישה לממשקי API. אתם יכולים להשתמש בשני המוצרים, בין אם האפליקציות שלכם מיועדות למשתמשים עסקיים או למשתמשי קצה.

המאמרים הבאים

  • כדאי לקרוא את הקטע מושגים כדי להבין את המושגים והיכולות של ניהול זהויות.
  • בקטע שיטות מומלצות מוסבר על הנחיות מפורטות שכדאי להביא בחשבון כשמתכננים את הארכיטקטורה או העיצוב.
  • בקטע הערכה ותכנון מוסבר איך להעריך את הדרישות ולזהות עיצוב מתאים.