什么是标识和访问管理 (IAM)?

在本文中,你将了解标识和访问管理 (IAM) 的一些基本概念、为什么它很重要以及它的工作原理。

标识和访问管理可确保正确的人员、计算机和软件组件在正确的时间访问正确的资源。 首先,人员、计算机或软件组件需要证明其所声称的身份。 然后,系统将允许或拒绝人员、计算机或软件组件访问或使用某些资源。

若要了解基本术语和概念,请参阅标识基础知识

IAM 有什么作用?

IAM 系统通常可提供以下核心功能:

  • 标识管理 - 创建、存储和管理标识信息的过程。 标识提供程序 (IdP) 是软件解决方案,用于跟踪和管理用户标识,以及与这些标识关联的权限和访问级别。

  • 联合身份验证 - 可以允许在其他位置拥有密码的用户(例如,在企业网络中或者使用 Internet 或社交标识提供程序)获取对系统的访问权限。

  • 预配和取消预配用户 - 创建和管理用户帐户的过程,包括指定哪些用户有权访问哪些资源,以及分配权限和访问级别。

  • 用户身份验证 - 通过确认用户、计算机或软件组件所声称的身份,对其进行身份验证。 可以为单个用户添加多重身份验证 (MFA) 以实现额外的安全性,或添加单一登录 (SSO),以允许用户使用一个门户(而不是许多不同的资源)对其标识进行身份验证。

  • 用户授权 - 授权可确保向用户授予对其有权访问的工具的确切访问级别和类型。 还可以将用户划分为组或角色,以便为大量用户授予相同的权限。

  • 访问控制 - 确定谁或哪些对象有权访问哪些资源的过程。 这包括定义用户角色和权限,以及设置身份验证和授权机制。 访问控制用于控制对系统和数据的访问。

  • 报告和监视 - 在平台上执行操作后生成报告(例如登录时间、访问的系统和身份验证类型),以确保合规性和评估安全风险。 了解环境的安全性和使用模式。

IAM 的工作原理

本部分概述了身份验证和授权过程以及更常用的标准。

对资源进行身份验证、授权和访问

假设你有一个应用程序,它将登录用户,然后访问受保护的资源。

示意图显示使用标识提供程序访问受保护资源的用户身份验证和授权过程。

  1. 用户(资源所有者)从客户端应用程序向标识提供程序/授权服务器发起身份验证请求。

  2. 如果凭据有效,则标识提供程序/授权服务器首先会将包含用户相关信息的 ID 令牌发送回客户端应用程序。

  3. 标识提供程序/授权服务器还将获得最终用户的同意,并向客户端应用程序授予访问受保护资源的权限。 授权在访问令牌中提供,该令牌也会发送回客户端应用程序。

  4. 访问令牌将附加到从客户端应用程序向受保护的资源服务器发出的后续请求。

  5. 标识提供程序/授权服务器会验证访问令牌。 如果成功,则会授予对受保护资源的请求,并将响应发送回客户端应用程序。

有关详细信息,请阅读身份验证和授权

身份验证和授权标准

以下是最广为人知且最常用的身份验证和授权标准:

OAuth 2.0

OAuth 是一种开放标准标识管理协议,可为网站、移动应用、物联网和其他设备提供安全访问。 它使用在传输过程中加密的令牌,无需共享凭据。 OAuth 2.0 是最新版本的 OAuth,它是主要社交媒体平台和使用者服务(从 Facebook 和 LinkedIn 到 Google、PayPal 和 Netflix)使用的常用框架。 若要了解详细信息,请阅读 OAuth 2.0 协议

OpenID Connect (OIDC)

随着 OpenID Connect(使用公钥加密)的发布,OpenID 成为 OAuth 广泛采用的身份验证层。 与 SAML 一样,OpenID Connect (OIDC) 广泛用于单一登录 (SSO),但 OIDC 使用 REST/JSON,而不是 XML。 OIDC 旨在通过使用 REST/JSON 协议来处理本机和移动应用。 但是,SAML 的主要用例是基于 Web 的应用。 若要了解详细信息,请阅读 OpenID Connect 协议

JSON Web 令牌 (JWT)

JWT 是一种开放标准,它定义了一种紧凑的自包含的方式,用于以 JSON 对象的形式在各方之间安全地传输信息。 可以验证和信任 JWT,因为它已进行数字签名。 它们可用于在标识提供程序和请求身份验证的服务之间传递经过身份验证的用户标识。 还可以对其进行身份验证和加密。 若要了解详细信息,请阅读 JSON Web 令牌

安全断言标记语言 (SAML)

SAML 是一种开放标准,在本例中,它用于在 IAM 解决方案与另一个应用程序之间交换身份验证和授权信息。 此方法使用 XML 来传输数据,标识和访问管理平台通常使用该方法向用户授予登录到已与 IAM 解决方案集成的应用程序的权限。 若要了解详细信息,请阅读 SAML 协议

跨域标识管理系统 (SCIM)

SCIM 预配旨在简化管理用户标识的过程,使组织能够在云端高效运营并轻松添加或删除用户,从而节省预算、降低风险并简化工作流。 SCIM 还可促进基于云的应用程序之间的通信。 若要了解详细信息,请阅读开发 SCIM 终结点并计划其预配

Web Services 联合身份验证 (WS-Fed)

WS-Fed 由 Microsoft 开发并在其应用程序中广泛使用,此标准定义了在不同实体之间传输安全令牌以交换标识和授权信息的方式。 若要了解详细信息,请阅读 Web Services 联合身份验证协议。

后续步骤

若要了解更多信息,请参阅以下文章: