什么是Web访问管理（WAM）？

理解网络访问管理对于那些希望保护自己的在线环境并维持运营效率的组织来说至关重要。这种管理方式可以确保只有授权人员能够访问必要的工具和信息，同时还能防止未经授权的访问行为，从而避免安全漏洞的出现。

网络访问管理同时承担着身份管理和访问管理的双重功能：即身份验证。 WAM会验证用户的身份，确保他们确实是合法的用户。 这可能涉及简单的密码登录方式，但也可能包含多因素认证技术。 授权/许可 WAM允许根据个人或角色来分配访问权限，从而能够访问特定的应用程序或数据库。 如果黑客获得了网络访问权限，他们能够访问的网络资源范围将会非常有限。 除了这些核心功能之外，WAM还可能包含自助式密码管理功能，以及用于清理已退出的账户信息的自动化维护机制。

网络访问管理的定义

网络访问管理（WAM）是一种专门的身份管理系统，其目的在于规范用户对在线资源与服务的访问行为。网络访问管理同时承担着身份管理与访问管理的双重功能。

• 身份验证WAM会验证用户的身份，确保他们具有合法资格。这可能涉及简单的密码验证，也可能包括多因素认证技术。
• 授权/许可WAM允许根据个人或角色来分配权限，从而访问特定的应用程序或数据库。如果黑客获得了访问权限，他们只能有限地浏览网络中的各种资源。
  
  

除了这些核心功能之外，WAM还可能包含自助式密码管理功能，以及用于清理那些被注销的账户的机制。

最初，网络访问管理的概念是出于这样的目的而提出的：管理外部用户与网络资源之间的访问权限。但是，随着远程工作和基于网络的办公方式的普及，这一系统也成为了员工们重要的沟通与访问工具。

不过，WAM的设计目的是为了控制对网络服务器的访问。因此，它没有考虑到混合云用户的实际需求。更有效的身份识别和访问管理解决方案正在迅速取代它，成为更安全的访问方式。

主要要点/关键信息

• 网络访问管理（WAM）负责控制用户对在线资源与服务的访问权限。
• WAM是在20世纪90年代随着万维网的诞生而发展起来的。它结合了用户认证与访问控制的功能，同时提供了单点登录功能，从而简化了在不同领域之间的访问流程。
• WAM通过身份验证和授权机制，为合法用户提供对网络资源的访问权限，同时阻止未经授权的访问行为。
• 其运作方式是通过验证用户的身份信息，并根据相关策略来授予用户对网络资源的访问权限。
• 现代访问管理技术的发展速度远远超过了WAM，能够为各种用户身份和云环境提供更为全面的解决方案。而WAM在创建用户身份方面存在不足，且其方式与基于云的认证标准并不兼容。

WAM的历史

WAM是在20世纪90年代开发的。它与万维网的诞生同时出现。它作为一种身份与访问管理工具而存在，将用户验证与访问控制功能结合在一起。这种方式使得网络管理者能够更有效地保护网络，并分配适当的访问权限。

WAM的一个重要特性就是单点登录功能。用户只需一次登录，就可以访问多个系统或区域。

WAM逐渐发展成为一种能够管理不同领域中的身份识别的系统，从而提升了其应用效果。WAM早期的主要产品包括Oracle Access Manager、IBM的Tivoli Access Manager以及Microsoft的Active Directory Federation Services。虽然这些产品在它们诞生的时代具有开创性，但随着时间的推移，它们的重要性已经有所下降，因为新的、更灵活的安全技术已经取代了它们。

WAM是用来做什么的？

为什么企业会采用网络访问管理方式呢？曾经有一段时间……WAM是一种非常重要的安全工具。

随着网络资源变得普遍起来，WAM解决方案使得对关键资源的访问能够被有效控制。认证和授权系统能够阻止未经授权的外部行为者进入。不过，它们也允许真正的用户访问各种工作负载和服务。

WAM también这使得将不同的网络域名整合在一起变得更加容易了。联邦身份和单点登录机制使得用户可以同时访问各种网络资源。这有助于安全管理用户权限，同时也简化了访问流程。用户无需处理多个凭证，只需通过一个界面即可访问各种网络资源。

网络访问管理是如何运作的？

首先，网络访问管理软件通过请求用户凭据来控制访问权限。通常情况下，当用户提供用户名和密码后，就可以获得访问权限。不过，安全团队还可以添加额外的认证管理因素，比如一次性密码、数字证书或临时令牌等。

当系统验证用户的身份时，WAM解决方案会采用基于策略的授权方式。这种方式将每个用户与一组权限相对应。这些权限决定了用户可以访问哪些资源，以及他们对网络上的数据拥有何种控制权限。

大多数WAM的实现方式都依赖于本地基础设施。与网络服务相关联的代理程序会与中央服务器进行通信。这些认证服务器会根据网络用户的记录来决定是否允许其访问。不过，代理服务器也可以发挥一定的作用。

网络访问管理与现代访问管理的区别

WAM是20世纪90年代和21世纪初那种非常适合处理应用程序对基于网络的网络架构访问的认证与访问控制系统之一。不过，随着现代认证与访问控制技术的不断发展，WAM已经逐渐被这些技术所取代了。

现代访问管理在多个方面都借鉴了WAM的理念：

• WAM系统允许用户访问特定的资源。比如，无论是网络应用程序还是物理机器，这些都不太适用于云环境。在云环境中，存在着大量的虚拟机和应用程序实例，因此这种情况就不那么重要了。
• WAM通常具有有限的身份管理功能。不过，现代网络必须能够支持多种不同的身份类型。访问管理系统需要允许不同级别的员工进行访问。可能还有第三方用户、客户，甚至是非人类的服务账户。所有这些用户都需要有相应的访问管理策略来加以控制。
• WAM无法提供有效的细粒度权限管理功能，从而无法有效保护云中的数据。数据泄露是一种严重的安全威胁。为了保护由云存储的客户端数据，就需要实施细粒度的授权机制。
  
  

现代访问管理比旧的网页门户更为全面。新的系统能够监控用户的活动，并为每个角色提供精确的访问控制策略。而且，这些系统可以在混合云环境中实现这样的功能。仅仅管理网页访问是不够的。

网络访问管理与身份管理（IdM）的区别

了解访问控制是如何发生变化的，最好的方法就是将网络访问管理与现代的身份管理技术进行比较。

参数

WAM

IdM

认证位置	本地身份验证服务器	基于云的技术
身份生成	不会生成用户身份信息	其核心组成部分就是身份的生成。
访问管理	仅限于本地资源范围内	能够管理多个云平台以及本地资源之间的访问权限。
标准支持	不支持诸如OAuth这样的云认证标准。	支持最先进的身份验证标准和协议。
移动访问	该应用程序并未针对远程访问和移动应用进行优化。	与远程访问设备和移动应用程序配合得很好。
本地要求/条件	依赖于本地代理和服务器来运行。	几乎不需要任何本地设备。

WAM

通常，这种系统基于认证服务器以及负责处理认证请求的代理服务器。认证请求会从用户设备传递到代理服务器，然后再传递给认证服务器。这些服务器通常位于本地网络中。

WAM通常不会生成用户的身份信息。这些服务依赖于独立的身份管理工具，因此并不包含云认证标准。

IdM

现代的身份管理系统中，身份生成是一个核心功能。现代访问管理系统能够为用户分配身份，并管理其整个生命周期中的权限。管理者可以在多个云平台和本地资源之间分配访问权限。

IdM采用了最先进的身份验证标准和协议。它基于云计算技术，能够与远程访问设备和移动应用程序很好地协同工作。因此，几乎不需要使用任何本地设备即可实现其功能。

与现代访问管理技术相比，传统的网络访问管理方式存在许多缺点。例如，其不足之处包括：

• 大规模使用的话，成本非常高。
• 无法有效管理外部用户对云资源的访问权限。与Google Authenticate等常见的云认证标准不兼容。
• 在引入或移除身份信息时动作过于缓慢，且在管理权限或认证设置方面不够灵活。
• 数据收集功能有限。无法创建深入的审计记录，也无法生成有助于安全或市场营销的数据。
• 用户管理以及与云系统的兼容性方面的问题，可能会带来严重的安全隐患。这可能会使机密数据面临风险。
  
  

从根本上说，WAM是一种有效的管理网络上身份的方式。不过，对于在云环境中保护身份来说，它并不是一个安全的选择。

云计算需要能够支持远程访问以及不断变化的数据传输需求的IAM解决方案。此外，当前的合规要求也排除了那些被认为不适合处理敏感数据的旧式WAM系统。

现代的身份管理已经超越了WAM这一技术范畴，WAM现在已属于过去的技术了。