探索為什麼我們有身分識別
我們已討論零信任身分識別,以及討論身分識別作為存取資源的控制平面。 但為何要使用身分識別?
身分識別提供下列功能:
- 證明我們是誰或是什麼 - 驗證
- 取得執行動作的權限 - 授權
- 報告已做了什麼 - 稽核
- IT 管理和自我管理身分識別 - 系統管理
| 驗證 | 授權 | 系統管理 | 稽核 |
|---|---|---|---|
|
|
|
|
| 使用者登入體驗 | 使用者登入體驗 | 單一檢視管理 | 追蹤誰做了什麼、何時做、何處做,以及如何做 |
| 受信任的來源 | 使用者是否可以存取資源 | 商務規則的應用 | 專注的警示 |
| 同盟通訊協定 | 當他們存取時,可以怎麼做? | 自動化要求、核准和存取指派 | 深入分頁報告 |
| 保證等級 | 權利管理 | 治理與合規性 |
什麼是識別提供者 (IdP)
識別提供者 (IdP) 是建立、管理和儲存數位身分識別的系統。 Microsoft Entra ID 是一個範例。 識別提供者的功能和特徵可能會有所不同。 最常見的元件如下:
- 使用者身分識別的存放庫
- 驗證系統
- 防禦入侵的安全性通訊協定
- 我們信任的人
識別提供者會使用一或多個驗證因素 (例如密碼或指紋掃描) 來驗證使用者身分識別。 識別提供者通常是受信任的提供者,可與單一登入 (SSO) 搭配使用來存取其他資源。 SSO 可藉由減少密碼疲勞來增強可用性。 其也透過減少潛在的受攻擊面,來提供更好的安全性。 識別提供者可協助雲端運算資源和使用者之間的連線,進而減少使用者在使用行動裝置和漫遊應用程式時重新驗證的需求。
常見的身分識別通訊協定
OpenID 提供者 - OpenID Connect (OIDC) 是一種驗證通訊協定,以用於驗證的 OAuth2 通訊協定為基礎。 OIDC 會使用來自 OAuth2 的標準化訊息流程來提供識別服務。 具體而言,系統實體 (稱為 OpenID 提供者) 會透過 RESTful HTTP API 向 OIDC 信賴方發出 JSON 格式識別權杖。
SAML 識別提供者 - 安全性聲明標記語言 (SAML) 是在識別提供者與服務提供者之間交換驗證和授權資料的開放標準。 SAML 是用於安全性判斷提示的 XML 型標記語言,也就是服務提供者用來進行存取控制決策的陳述式。