云本机应用中的身份验证和授权
身份验证是确定安全主体身份的过程。 授权是向经过身份验证的主体授予执行操作或访问资源的权限的行为。 有时,“身份验证”缩写为 AuthN
,“授权”缩写为 AuthZ
。 云原生应用程序需要依赖基于 HTTP 的开放协议来验证安全主体的身份,因为客户端和应用程序都可在任何位置,在任何平台或设备上运行。 唯一的共同因素是 HTTP。
许多组织仍依赖于本地身份验证服务,例如 Active Directory 联合身份验证服务 (ADFS)。 虽然此方法在传统上很好地满足了组织的本地身份验证需求,但云原生应用程序受益于专门为云设计的系统。 英国国家网络安全中心 (NCSC) 的一份 2019 年近期公告中指出,“与 ADFS 相比,将 Azure AD 用作其主要身份验证来源的组织实际上面临的风险更低。”此分析中概述了一些原因,包括:
- 访问一整套 Microsoft 凭据保护技术。
- 大多数组织在某种程度上依赖于 Azure AD 服务。
- NTLM 哈希的双重哈希确保了即使泄露,也无法使用在本地 Active Directory 中工作的凭据。
参考
- 身份验证基础知识
- 访问令牌和声明
- It may be time to ditch your on premises authentication services(也许是时候抛弃本地身份验证服务了)