共用方式為


什麼是 IAM) (身分識別和存取管理?

在本文中,您將瞭解身分識別和存取管理 (IAM) 、為何很重要,以及其運作方式的基本概念。

身分識別和存取管理可確保適當的人員、電腦及軟體元件在正確的時間存取正確的資源。 首先,人員、電腦或軟體元件會證明他們是誰或他們所宣告的內容。 然後,允許或拒絕存取或使用特定資源的人員、電腦或軟體元件。

若要瞭解基本詞彙和概念,請參閱 身分識別基本概念

IAM 有何用途?

IAM 系統通常會提供下列核心功能:

  • 身分識別管理 - 建立、儲存和管理身分識別資訊的程式。 識別提供者 (IdP) 是用來追蹤和管理使用者身分識別的軟體解決方案,以及與這些身分識別相關聯的許可權和存取層級。

  • 身分識別同盟 - 您可以允許已在其他位置擁有密碼的使用者 (例如,在您的商業網路中,或透過網際網路或社交識別提供者) 來存取您的系統。

  • 布建和取消 布建使用者 - 建立和管理使用者帳戶的程式,包括指定哪些使用者可存取哪些資源,以及指派許可權和存取層級。

  • 使用者的驗證 - 藉由確認使用者是誰或他們所說的內容,來驗證使用者、電腦或軟體元件。 您可以為個別使用者新增多重要素驗證 (MFA) ,以取得額外的安全性或單一登入 (SSO) ,讓使用者能夠使用一個入口網站來驗證其身分識別,而不是許多不同的資源。

  • 使用者的授權 - 授權 可確保使用者獲得他們有權存取之工具的確切層級和存取類型。 使用者也可以分成群組或角色,因此可以授與大型使用者世代相同的許可權。

  • 存取控制 - 判斷誰或哪些專案可以存取哪些資源的程式。 這包括定義使用者角色和許可權,以及設定驗證和授權機制。 存取控制會規範對系統和資料的存取。

  • 報告和監視 - 在 (平臺上採取動作之後產生報告,例如登入時間、系統存取和驗證類型) ,以確保合規性並評估安全性風險。 深入瞭解您環境的安全性和使用模式。

IAM 的運作方式

本節提供驗證和授權程式的概觀,以及更常見的標準。

驗證、授權和存取資源

假設您有一個應用程式登入使用者,然後存取受保護的資源。

此圖顯示使用識別提供者存取受保護資源的使用者驗證和授權程式。

  1. 使用者 (資源擁有者) 從用戶端應用程式向識別提供者/授權伺服器起始驗證要求。

  2. 如果認證有效,識別提供者/授權伺服器會先傳送識別碼權杖,其中包含使用者的相關資訊回到用戶端應用程式。

  3. 識別提供者/授權伺服器也會取得使用者同意,並授與用戶端應用程式授權以存取受保護的資源。 授權是在存取權杖中提供,也會傳送回用戶端應用程式。

  4. 存取權杖會附加至從用戶端應用程式對受保護資源伺服器提出的後續要求。

  5. 識別提供者/授權伺服器會驗證存取權杖。 如果成功授與受保護資源的要求,則會將回應傳回給用戶端應用程式。

如需詳細資訊,請參閱 驗證和授權

驗證和授權標準

這些是已知且常用的驗證和授權標準:

OAuth 2.0

OAuth 是開放標準身分識別管理通訊協定,可為網站、行動應用程式和物聯網和其他裝置提供安全存取。 它會使用傳輸中加密的權杖,並不需要共用認證。 OAuth 2.0 是最新版的 OAuth,是主要社交媒體平臺和消費者服務所使用的熱門架構,從 Facebook 和LinkedIn到 Google、PayPal 和 Netflix。 若要深入瞭解,請參閱 OAuth 2.0 通訊協定

OpenID Connect (OIDC)

隨著使用公開金鑰加密) 的 OpenID Connect (發行,OpenID 已成為 OAuth 廣泛採用的驗證層。 如同 SAML,OpenID Connect (OIDC) 廣泛使用於單一登入 (SSO) ,但 OIDC 會使用 REST/JSON 而非 XML。 OIDC 的設計目的是使用 REST/JSON 通訊協定來使用原生和行動裝置應用程式。 不過,SAML 的主要使用案例是 Web 應用程式。 若要深入瞭解,請參閱 OpenID Connect 通訊協定

(JWT) JSON Web 權杖

JWT 是開放式標準,可定義精簡且獨立的方式,以安全地在合作物件之間以 JSON 物件形式傳輸資訊。 JWT 可以驗證並信任,因為它們經過數位簽署。 他們可用來在識別提供者與要求驗證的服務之間傳遞已驗證使用者的身分識別。 它們也可以經過驗證和加密。 若要深入瞭解,請參閱 JSON Web 權杖

安全性判斷提示標記語言 (SAML)

SAML 是用來交換驗證和授權資訊的開放式標準,在此案例中為 IAM 解決方案和其他應用程式。 這個方法會使用 XML 來傳輸資料,通常是身分識別和存取管理平臺用來授與使用者登入已與 IAM 解決方案整合之應用程式的能力。 若要深入瞭解,請參閱 SAML 通訊協定

跨網域身分識別管理系統 (SCIM)

為了簡化管理使用者身分識別的程式,SCIM 布建可讓組織有效率地在雲端中運作,並輕鬆地新增或移除使用者、受益于預算、降低風險,以及簡化工作流程。 SCIM 也有助於雲端式應用程式之間的通訊。 若要深入瞭解,請參閱 開發及規劃 SCIM 端點的布建。

Web 服務同盟 (WS-Fed)

WS-Fed 是由 Microsoft 開發,並在其應用程式中廣泛使用,此標準會定義可在不同實體之間傳輸安全性權杖的方式,以交換身分識別和授權資訊。 若要深入瞭解,請參閱 Web 服務同盟通訊協定。

後續步驟

若要深入了解,請參閱: