由于傳統(tǒng)的IAM是基于RBAC且靜態(tài)模式的，所以基于細(xì)粒度用IAM已無(wú)法滿足。我們先看下典型的RBAC概念圖：

當(dāng)用戶2需要增加權(quán)*該概念圖已無(wú)法解決，需要重新創(chuàng)建新的角色與新權(quán)限關(guān)聯(lián)后再賦予給用戶2。意味著業(yè)務(wù)的變化會(huì)引起新的角色層次結(jié)構(gòu)的變化，而且角色數(shù)量會(huì)隨著用戶數(shù)量的增加而增加，時(shí)間一久導(dǎo)致用戶對(duì)應(yīng)角色的積累賦予其過(guò)多的權(quán)限，存在角色用戶管理問(wèn)題。

我們知道通常應(yīng)用都由身份、認(rèn)證、三部分組成，IAM只不過(guò)是對(duì)各個(gè)應(yīng)用進(jìn)行整合和集中管理，簡(jiǎn)化了IT，本質(zhì)上并沒(méi)有脫離RBAC的模式，用戶想要訪問(wèn)應(yīng)用系統(tǒng)就需要擁有一個(gè)身份；訪問(wèn)前驗(yàn)證身份的合法性就是認(rèn)證，認(rèn)證有多種，包括用戶密碼、數(shù)字證書、動(dòng)態(tài)令牌、二維碼、人臉識(shí)別等多種認(rèn)證方式；能否進(jìn)行訪問(wèn)就是訪問(wèn)控制，訪問(wèn)應(yīng)用里的功能需要事先的，而現(xiàn)在基于RBAC的模式已無(wú)法解決零信任架構(gòu)下細(xì)粒度和動(dòng)態(tài)控制問(wèn)題，而這兩個(gè)問(wèn)題恰是我們需要重構(gòu)IAM的原因。

這是IAM需要重構(gòu)的個(gè)原因，IAM只解決了粗粒度的問(wèn)題，但在零信任架構(gòu)下是不滿足業(yè)務(wù)要求的，因此IAM部分需要由策略管理點(diǎn)（PAP）來(lái)完成，IAM通過(guò)策略實(shí)施點(diǎn)（PEP）獲取相應(yīng)的顆粒度權(quán)限，由中心完成對(duì)第三方應(yīng)用（客體）的細(xì)粒度控制。

主體訪問(wèn)客體前進(jìn)行單點(diǎn)登錄，即身份驗(yàn)證，統(tǒng)一認(rèn)證平臺(tái)通過(guò)PEP獲取動(dòng)態(tài)粗粒度的權(quán)限，對(duì)身份進(jìn)行驗(yàn)證；訪問(wèn)代理通過(guò)PEP進(jìn)行訪問(wèn)決策；決策通過(guò)后允許訪問(wèn)客體，客體再通過(guò)PEP獲取動(dòng)態(tài)的細(xì)粒度功能權(quán)限，從而實(shí)現(xiàn)細(xì)粒度的訪問(wèn)控制。

這是IAM需要重構(gòu)的第二個(gè)原因，動(dòng)態(tài)在零信任架構(gòu)下是基于策略來(lái)完成的，基于PDP的策略包含權(quán)限數(shù)據(jù)和策略數(shù)據(jù)，權(quán)限數(shù)據(jù)又包含參與決策的所有權(quán)限信息，與權(quán)限信息相關(guān)的客體、主體、環(huán)境等屬性都可以作為決策的依據(jù)；策略數(shù)據(jù)就是決策的方法了，包含決策算法和策略邏輯運(yùn)算，這里會(huì)引用到權(quán)限數(shù)據(jù)和請(qǐng)求數(shù)據(jù)。

當(dāng)主體訪問(wèn)并通過(guò)單點(diǎn)登錄時(shí)，訪問(wèn)代理的PEP會(huì)攜帶主體屬性、環(huán)境屬性、客體屬性作為請(qǐng)求數(shù)據(jù)給到PDP進(jìn)行請(qǐng)求決策，PDP會(huì)根據(jù)請(qǐng)求屬性動(dòng)態(tài)的給出權(quán)限評(píng)估，不同的屬性相同的組合或相同屬性不同組合都會(huì)有不同的評(píng)估結(jié)果，從而實(shí)現(xiàn)的動(dòng)態(tài)控制，而不用關(guān)心業(yè)務(wù)發(fā)生變更導(dǎo)致權(quán)限不同而帶來(lái)策略的改變。