身分識別和存取權管理 (IAM) 基本概念
本文提供基本概念和術語,協助您了解身分識別與存取權管理 (IAM)。
什麼是身分識別和存取權管理 (IAM)?
身分識別和存取權管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先,人員、機器或軟體元件必須證明他們是誰或聲稱的身分。 然後,系統會允許或拒絕人員、機器或軟體元件存取或使用特定資源。
以下是一些基本概念,可協助您了解身分識別和存取權管理:
身分識別
數位身分識別是在電腦系統中代表某人、軟體元件、機器、資產或資源的唯一識別碼或屬性集合。 識別碼可以是:
- 電子郵件地址
- 登入認證 (使用者名稱/密碼)
- 銀行帳戶號碼
- 政府簽發的識別碼
- MAC 位址或 IP 位址
身分識別可用來驗證和授權存取資源、與其他人員通訊、執行交易和其他用途。
概括而言,身分識別分成三種類型:
- 人類身分識別代表人,例如員工 (內部工作者和第一線工作者) 和外部使用者 (客戶、顧問、廠商和合作夥伴)。
- 工作負載身分識別代表軟體工作負載,例如應用程式、服務、指令碼或容器。
- 裝置身分識別代表裝置,例如桌上型電腦、手機、IoT 感應器及 IoT 受控裝置。 裝置身分識別與人類身分識別不同。
驗證
驗證是查問人員、軟體元件或硬體裝置的認證程序,以便驗證其身分識別,或證明他們是誰或他們所聲稱的身分。 驗證通常需要使用認證 (例如使用者名稱和密碼、指紋、憑證或一次性密碼)。 驗證 (Authentication) 有時會簡稱為 AuthN。
多重要素驗證 (MFA) 是一項安全性措施,要求使用者提供一個以上的證據來驗證其身分識別,例如:
- 他們知道的東西,例如密碼。
- 他們擁有的東西,例如徽章或安全性權杖。
- 他們是什麼,例如生物特徵辨識 (指紋或臉部)。
單一登入 (SSO) 允許使用者一次性驗證身分識別,然後在存取倚賴同一身分識別的各種資源時自動進行驗證。 通過驗證後,IAM 系統將可作為使用者可使用之其他資源的身分識別真實性來源。 使用者無需再登入多個獨立的目標系統。
授權
授權會驗證使用者、機器或軟體元件是否已獲得特定資源的存取權。 授權 (Authorization) 有時會被簡稱為 AuthZ。
比較驗證與授權
驗證和授權詞彙有時會交替使用,因為它們通常看起來就像是使用者的單一體驗。 但其實是兩種不同的程序:
- 驗證會證明使用者、機器或軟體元件的身分識別。
- 授權會授與或拒絕使用者、機器或軟體元件對特定資源的存取。
以下是驗證和授權的快速總覽:
驗證 | 授權 |
---|---|
可想成是一個守門員,只允許存取提供有效認證的實體。 | 可想成是一個警衛,確保只有具有適當出入許可的實體才能進入某些區域。 |
確認使用者、機器或軟體是他們是誰或聲稱的身分。 | 判斷是否允許使用者、機器或軟體存取特定資源。 |
查問使用者、機器或軟體是否有可驗認證 (例如密碼、生物特徵辨識識別碼或憑證)。 | 決定使用者、機器或軟體擁有的存取權層級。 |
在授權之前執行。 | 成功驗證之後執行。 |
在識別碼權杖中傳送資訊。 | 在存取權杖中傳送資訊。 |
通常使用 OpenID Connect (OIDC) (建置在 OAuth 2.0 通訊協定上) 或 SAML 通訊協定。 | 通常使用 OAuth 2.0 通訊協定。 |
如需詳細資訊,請參閱驗證與授權。
範例
假設您想要在旅館待一晚。 您可以將驗證和授權想成是旅館大樓的安全性系統。 使用者是想要在旅館住宿的人,資源是旅客想要使用的房間或區域。 旅館工作人員是另一種類型的使用者。
如果您要在旅館住宿,請先前往服務台,開始「驗證程序」。 您要顯示身分證和信用卡,接待人員會比對您的身分證號和網路預約資料。 在接待人員確認您是誰之後,接待人員會授與您權限以使用獲指派的房間。 您已取得房卡,現在可以前往您的房間。
旅館房間和其他區域的門有房卡感應器。 在感應器前面刷一下房卡是「授權程序」。 房卡只能讓您打開有權使用的房間房門,例如您的旅館客房和旅館健身房。 如果您刷房卡進入任何其他旅館客房,會遭到拒絕存取。
個別權限,例如使用健身房和特定存取練習室和特定客房,會納入可授與個別使用者的角色。 當您住在旅館時,您會被授與旅館顧客角色。 旅館客房服務人員會被授與旅館客房服務角色。 這個角色允許進入所有旅館客房 (但僅限上午 11 點到下午 4 點之間)、洗衣房,以及每個樓層的供應櫃。
識別提供者
識別提供者可建立、維護及管理身分識別資訊,同時提供驗證、授權和稽核服務。
透過新式驗證,所有服務 (包括所有驗證服務) 都是由中央身分識別提供者所提供。 身分識別提供者會集中儲存及管理使用者的伺服器驗證資訊。
有了中央身分識別提供者,組織就可以建立驗證和授權原則、監視使用者行為、找出可疑的活動,以及減少惡意攻擊。
Microsoft Entra 是雲端式識別提供者的範例。 其他範例包括 X、Google、Amazon、LinkedIn 和 GitHub。
下一步
- 若要深入了解,請參閱身分識別和存取權管理簡介。
- 了解單一登入 (SSO)。
- 深入了解多重要素驗證 (MFA)。