dr-deee/Cloud-IAM-EntraID-Lab
GitHub: dr-deee/Cloud-IAM-EntraID-Lab
基于 Microsoft Entra ID 的企业级云 IAM 实验项目,演示身份生命周期管理、RBAC、访问审查与审计监控等企业身份治理实践。
Stars: 1 | Forks: 0
# 基于 Microsoft Entra ID 的云身份与访问管理 (IAM) 实验
## 概述
本项目演示了如何使用 Microsoft Entra ID(原 Azure Active Directory)实施基于云的身份与访问管理 (IAM) 环境。
该实验旨在模拟真实的 IAM 操作,包括身份管理、基于角色的访问控制 (RBAC)、入转调离 (JML) 生命周期管理、访问审查、审计监控、特权访问管理以及身份验证治理。
目标是在获得云身份管理的实践经验的同时,使用企业级标准记录 IAM 流程。
## 架构图
[Microsoft Entra ID 架构](Architecture/EntraID-Architecture-Diagram.drawio.png)
## 实验环境
| 组件 | 详情 |
| --------------------- | -------------------------------- |
| 平台 | Microsoft Entra ID |
| 环境类型 | 云 IAM 实验室 |
| 身份提供商 | Microsoft Entra ID |
| 管理角色 | 全局管理员 |
| 访问模型 | 基于角色的访问控制 (RBAC) |
| 模拟的部门 | HR, 财务, SOC, IT |
## 演示的关键 IAM 功能
### 身份管理
* 用户开通
* 用户修改
* 用户停用
* 组成员管理
### 基于角色的访问控制 (RBAC)
* 基于部门的安全组
* 基于组的访问分配
* 最小权限实现
* 访问隔离
### 入转调离 (JML)
* 新用户入职
* 角色变更管理
* 用户离职
* 访问权限撤销
### 身份治理
* 访问审查
* 访问认证
* 成员资格验证
* 治理控制
### 审计与合规
* 审计日志监控
* 管理活动跟踪
* 身份生命周期审计
* 治理可见性
### 身份验证与安全
* 身份验证方法审查
* 多因素身份验证 (MFA) 概念
* 无密码身份验证概念
* 特权访问安全
## 项目组件
### 架构
设计并记录了 Microsoft Entra ID 架构,说明了用户、部门、安全组、RBAC 分配、管理角色和治理控制。
### 用户管理
创建并管理了代表多个业务部门的用户,同时保持了结构化的身份管理实践。
### RBAC 实施
使用 Microsoft Entra ID 安全组实施了基于角色的访问控制,以简化访问管理并支持最小权限原则。
### JML 生命周期管理
模拟了入转调离 (JML) 流程,以演示用户开通、角色转换和安全离职程序。
### 访问审查
执行了访问验证活动,以确保组成员资格与业务需求保持一致。
### 审计监控
审查了 Microsoft Entra ID 审计日志,以验证管理操作和身份生命周期事件。
### 管理角色
审查了特权角色分配和管理访问控制概念。
### 身份验证方法
探索了 Microsoft Entra ID 中可用的身份验证方法和身份保护功能。
## 仓库结构
```
Cloud-IAM-EntraID-Lab
├── README.md
├── Architecture
│ ├── EntraID-Architecture-Diagram.drawio
│ └── EntraID-Architecture-Diagram.png
├── Screenshots
│ ├── 01-TenantSetup
│ ├── 02-UserManagement
│ ├── 03-RBAC
│ ├── 04-JML
│ ├── 05-AccessReviews
│ ├── 06-AuditLogs
│ ├── 07-AdminRoles
│ └── 08-AuthenticationMethods
├── Documentation
└── Lessons-Learned
```
## 展示的技能
* 身份与访问管理 (IAM)
* Microsoft Entra ID 管理
* 基于角色的访问控制 (RBAC)
* 身份治理与管理 (IGA)
* 用户开通与停用
* 入转调离 (JML)
* 访问审查
* 审计日志分析
* 身份验证管理
* 特权访问概念
* 安全文档
* 技术文档
## 关键要点
该项目提供了在 Microsoft Entra ID 中实施云 IAM 概念的实践经验,并加深了我对现代企业环境中身份治理、访问管理、身份验证安全、可审计性和生命周期管理的理解。
## 作者
**Destiny Akhabue**
有志于成为身份与访问管理 (IAM) 专业人员
专注于身份治理、访问管理、Microsoft Entra ID、Active Directory 和网络安全。
标签:云安全实验室, 微软Entra ID, 权限控制, 生命周期管理, 身份与访问管理, 身份治理