共用方式為

什麼是身分識別和存取權管理 (IAM)?

  • 發行項

在本文中,您將了解身分識別和存取權管理 (IAM) 的一些基本概念、為什麼很重要,以及其運作方式。

身分識別和存取權管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先,人員、機器或軟體元件必須證明他們是誰或聲稱的身分。 然後,系統會允許或拒絕人員、機器或軟體元件存取或使用特定資源。

若要了解基本詞彙和概念,請參閱身分識別基本概念

IAM 的用途為何?

IAM 系統通常會提供下列核心功能:

  • 身分識別管理 - 建立、儲存和管理身分識別資訊的程序。 識別提供者 (IdP) 是一種軟體解決方案,用來追蹤和管理使用者身分識別,以及與這些身分識別相關聯的權限和存取層級。

  • 身分識別同盟 - 您可以允許已在他處擁有密碼 (例如,在您的企業網路或使用網際網路或社交識別提供者) 的使用者存取您的系統。

  • 佈建和取消佈建使用者 - 建立和管理使用者帳戶的程序,包括指定哪些使用者可以存取哪些資源,以及指派權限和存取層級。

  • 使用者驗證 - 確認以驗證使用者、機器和軟體元件是誰或其宣稱的身分。 為了提高個別使用者的額外安全性,您可以新增多重要素驗證 (MFA) 或單一登入 (SSO),讓使用者能夠使用一個入口網站來驗證其身分識別,而不是使用許多不同的資源。

  • 使用者授權 - 授權可確保使用者獲得正確層級和類型的存取權,以使用他們有權使用的工具。 使用者也可以分成不同群組或角色,這樣就可以將相同使用權限授與大批使用者。

  • 存取控制 - 判斷哪些人或物有權存取哪些資源的程序。 這包括定義使用者角色和權限,以及設定驗證和授權機制。 存取控制會規範對系統和資料的存取。

  • 報告和監視 - 在平台上採取動作之後產生報告 (例如登入時間、系統存取和驗證類型),以確保合規性並評估安全性風險。 深入了解環境的安全性和使用模式。

IAM 的運作方式

本節提供驗證和授權程序的概觀,以及較常見的標準。

驗證、授權及存取資源

假設使用者登入了您的一個應用程式,然後存取受保護的資源。

此圖顯示使用識別提供者存取受保護資源的使用者驗證和授權程序。

  1. 使用者 (資源擁有者) 會從用戶端應用程式向識別提供者/授權伺服器起始驗證要求。

  2. 如果認證有效,識別提供者/授權伺服器會先傳送識別碼權杖,其中包含回傳到用戶端應用程式的使用者相關資訊。

  3. 識別提供者/授權伺服器也會取得使用者同意,並授權給用戶端應用程式以存取受保護的資源。 授權會在存取權杖中提供,此權杖也會回傳到用戶端應用程式。

  4. 存取權杖會附加至從用戶端應用程式對受保護資源伺服器所發出的後續要求。

  5. 識別提供者/授權伺服器會驗證存取權杖。 如果成功,則會授權給受保護資源要求,則會將回應回傳給用戶端應用程式。

如需詳細資訊,請參閱驗證和授權

驗證和授權標準

這些是最知名和常用的驗證和授權標準:

OAuth 2.0

OAuth 是開放式標準身分識別管理通訊協定,可為網站、行動應用程式和物聯網及其他裝置提供安全存取。 它會使用傳輸中加密的權杖,並不需要分享認證。 OAuth 2.0 是最新版的 OAuth,是主要社交媒體平台和消費者服務 (從 Facebook 和 LinkedIn 到 Google、PayPal 和 Netflix) 所使用的熱門架構。 若要深入了解,請參閱 OAuth 2.0 通訊協定

OpenID Connect (OIDC)

隨著 OpenID Connect 的發行 (使用公開金鑰加密),OpenID 成為 OAuth 廣泛採用的驗證層。 如同 SAML,OpenID Connect (OIDC) 普遍用於單一登入 (SSO),但 OIDC 會使用 REST/JSON 而不是 XML。 OIDC 旨在透過 REST/JSON 通訊協定使用原生和行動應用程式。 不過,SAML 的主要使用案例是 Web 型應用程式。 若要深入了解,請參閱 OpenID Connect 通訊協定

JSON Web 權杖 (JWT)

JWT 是一種開放式標準,定義以精簡且獨立的方式,保護 JSON 物件等各方之間的傳輸資訊。 您可以驗證並信任 JWT,因為其已經過數位簽署。 JWT 可用來在識別提供者與要求驗證的服務之間傳遞已驗證使用者的身分識別。 您可以驗證和加密 JWT。 若要深入了解,請參閱 JSON Web 權杖

安全性判斷提示標記語言 (SAML)

SAML 是一種開放式標準,在此案例中,是在 IAM 解決方案和另一應用程式之間用來交換驗證和授權資訊。 此方法使用 XML 來傳輸資料,身分識別和存取權管理平台通常會使用此方法來授與使用者權限,讓使用者可以登入已整合 IAM 解決方案的應用程式。 若要深入了解,請參閱 SAML 通訊協定

跨網域身分識別管理系統 (SCIM)

用來簡化管理使用者身分識別的程序,SCIM 佈建可讓組織在雲端有效運作,並輕鬆新增或移除使用者、發揮預算效益、降低風險,以及簡化工作流程。 SCIM 也有助於雲端式應用程式之間的通訊。 若要深入了解,請參閱開發和規劃 SCIM 端點的佈建

Web 服務同盟 (WS-Fed)

WS-Fed 是由 Microsoft 所開發並在其應用程式中廣泛使用,此標準定義在不同實體之間傳輸安全性權杖的方式,以交換身分識別和授權資訊。 若要深入了解,請參閱 Web 服務同盟通訊協定。

下一步

若要深入了解,請參閱: