雲端原生身分識別
大部分的軟體應用程式都必須對呼叫它們的使用者或處理序有一些認識。 與應用程式互動的使用者或處理序稱為安全性主體,而驗證和授權這些主體的處理序則稱為身分識別管理,或只是「身分識別」。 簡單應用程式可能包含應用程式內的所有身分識別管理,但此方法不適用於許多應用程式和許多種類的安全性主體。 Windows 支援使用 Active Directory 來提供集中式驗證和授權。
雖然此解決方案在公司網路內有效,但並非設計供 AD 網域外部的使用者或應用程式使用。 隨著網際網路型應用程式的成長和雲端原生應用程式的增加,安全性模型已演進。
在現今的雲端原生身分識別模型中,假設架構會散發。 應用程式可以在任何地方部署,而且可隨時隨地與其他應用程式通訊。 用戶端可以從任何地方與這些應用程式通訊,事實上,用戶端可能包含任何平台和裝置的組合。 雲端原生身分識別解決方案會使用開放式標準來達成來自用戶端的安全應用程式存取。 這些用戶端的範圍從電腦或手機上的人類使用者,到在線上裝載的其他應用程式,以至在世界各地執行任何軟體平台的視訊轉換器和 IOT 裝置。
新式雲端原生身分識別解決方案通常會在其身分識別被斷定時,使用由安全權杖服務/伺服器 (STS) 發出給安全性主體的存取權杖。 存取權杖通常是 JSON Web 權杖 (JWT),包含安全性主體的相關「宣告」。 這些宣告最少會包含使用者的身分識別,但也可能包含其他宣告,以供應用程式用來判斷授與主體的存取層級。
一般而言,STS 只會負責驗證主體。 判斷資源的存取層級會保留給應用程式的其他部分。
