共用方式為

什麼是身分識別和存取管理 (IAM)?

  • 發行項

在本文中,您將瞭解身分識別和存取管理(IAM)的一些基本概念、為何很重要,以及其運作方式。

身分識別和存取管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先,人員、計算機或軟體元件證明他們是誰或他們聲稱的。 然後,人員、計算機或軟體元件被允許或拒絕存取或使用特定資源。

若要瞭解基本詞彙和概念,請參閱 身分識別基本概念

IAM 有何用途?

IAM 系統通常會提供下列核心功能:

  • 身分識別管理 - 建立、儲存和管理身分識別信息的程式。 識別提供者 (IdP) 是用來追蹤和管理使用者身分識別的軟體解決方案,以及與這些身分識別相關聯的許可權和存取層級。

  • 身分識別同盟 - 您可以允許已在別處擁有密碼的使用者(例如,在您的企業網路或因特網或社交識別提供者中)存取您的系統。

  • 布建和取消布建使用者 - 建立和管理使用者帳戶的程式,包括指定哪些使用者可存取哪些資源,以及指派許可權和存取層級。

  • 使用者 驗證 - 確認使用者是誰或他們所說的內容,以驗證使用者、計算機或軟體元件。 您可以為個別使用者新增多重要素驗證(MFA),以取得額外的安全性或單一登錄(SSO),讓用戶能夠使用一個入口網站來驗證其身分識別,而不是許多不同的資源。

  • 使用者 授權 - 授權可確保使用者獲得他們有權存取之工具的確切層級和存取類型。 使用者也可以分成群組或角色,因此可以將大型的使用者世代授與相同的許可權。

  • 訪問控制 - 判斷誰或哪些人可以存取哪些資源的程式。 這包括定義使用者角色和許可權,以及設定驗證和授權機制。 訪問控制會規範系統與數據的存取。

  • 報告和監視 - 在平臺上採取的動作之後產生報告(例如登入時間、系統存取和驗證類型),以確保合規性並評估安全性風險。 深入了解環境的安全性和使用模式。

IAM 的運作方式

本節提供驗證和授權程式的概觀,以及更常見的標準。

驗證、授權及存取資源

假設您有一個應用程式登入使用者,然後存取受保護的資源。

此圖顯示使用識別提供者存取受保護資源的使用者驗證和授權程式。

  1. 使用者 (資源擁有者) 會從用戶端應用程式向識別提供者/授權伺服器起始驗證要求。

  2. 如果認證有效,識別提供者/授權伺服器會先傳送標識符令牌,其中包含使用者的相關信息回到客戶端應用程式。

  3. 識別提供者/授權伺服器也會取得使用者同意,並授與用戶端應用程式授權以存取受保護的資源。 授權是在存取令牌中提供,此令牌也會傳送回用戶端應用程式。

  4. 存取令牌會附加至從用戶端應用程式對受保護資源伺服器提出的後續要求。

  5. 識別提供者/授權伺服器會驗證存取令牌。 如果成功授與受保護資源的要求,則會將回應傳回給用戶端應用程式。

如需詳細資訊,請參閱 驗證和授權

驗證和授權標準

這些是已知且最常使用的驗證和授權標準:

OAuth 2.0

OAuth 是開放標準身分識別管理通訊協定,可為網站、行動應用程式和物聯網和其他裝置提供安全的存取。 它會使用傳輸中加密的令牌,並不需要共用認證。 OAuth 2.0 是最新版的 OAuth,是主要社交媒體平臺和消費者服務所使用的熱門架構,從 Facebook 和LinkedIn到 Google、PayPal 和 Netflix。 若要深入瞭解,請閱讀 OAuth 2.0 通訊協定

OpenID 連線 (OIDC)

隨著OpenID 連線的發行(使用公鑰加密),OpenID 成為 OAuth 廣泛採用的驗證層。 如同 SAML,OpenID 連線 (OIDC) 通常用於單一登錄 (SSO),但 OIDC 會使用 REST/JSON 而不是 XML。 OIDC 的設計目的是使用 REST/JSON 通訊協定來搭配原生和行動應用程式使用。 不過,SAML 的主要使用案例是 Web 應用程式。 若要深入瞭解,請參閱 OpenID 連線 通訊協定

JSON Web 令牌 (JWT)

JWT 是一種開放式標準,可定義一種精簡且獨立的方式,以安全地在合作對象之間以 JSON 物件的形式傳輸資訊。 JWT 可以驗證並信任,因為它們經過數字簽署。 他們可用來在識別提供者與要求驗證的服務之間傳遞已驗證使用者的身分識別。 它們也可以進行驗證和加密。 若要深入瞭解,請參閱 JSON Web 令牌

安全性判斷提示標記語言 (SAML)

SAML 是一種開放標準,用於交換驗證和授權資訊,在此案例中為IAM解決方案和另一個應用程式。 此方法會使用 XML 來傳輸數據,通常是身分識別和存取管理平臺用來授與使用者登入已與 IAM 解決方案整合之應用程式的能力。 若要深入瞭解,請參閱 SAML 通訊協定

跨網域身分識別管理系統 (SCIM)

為了簡化管理使用者身分識別的程式,SCIM 布建可讓組織有效率地在雲端中運作,並輕鬆地新增或移除使用者、受益於預算、降低風險,以及簡化工作流程。 SCIM 也有助於雲端式應用程式之間的通訊。 若要深入瞭解,請參閱 開發並規劃 SCIM 端點的布建。

Web 服務同盟 (WS-Fed)

WS-Fed 是由 Microsoft 所開發,並在其應用程式中廣泛使用,此標準會定義在不同實體之間傳輸安全性令牌以交換身分識別和授權資訊的方式。 若要深入瞭解,請參閱Web服務同盟通訊協定。

下一步

若要深入了解,請參閱: