探索我们为何拥有身份认同
我们已经讨论了零信任以及将标识用作访问资源的控制平面。 但是为什么使用身份?
标识提供以下功能:
- 证明我们是谁或是什么:身份验证
- 获取执行某些事情的权限 - 授权
- 若要报告已完成的操作 - 审核
- 若要进行 IT 管理和自我管理标识 - 管理
| 身份验证 | 授权 | 管理 | 审计 |
|---|---|---|---|
|
|
|
|
| 用户登录体验 | 用户登录体验 | 单一视图管理 | 跟踪谁做了什么、何时、在哪里以及如何 |
| 受信任的来源 | 用户是否可以访问资源 | 业务规则的应用 | 集中警报 |
| 联邦协议 | 当他们访问它时,他们可以做什么? | 自动请求、审批和访问分配 | 深度整理报告 |
| 保证级别 | 权利管理 | 治理和合规性 |
什么是标识提供者 (IdP)
标识提供者 (IdP) 是一个系统,用于创建、管理和存储数字标识。 Microsoft Entra ID 是一个示例。 标识提供者的功能和特性可能会有所不同。 最常见的组件包括:
- 用户标识的存储库
- 身份验证系统
- 防范入侵的安全协议
- 我们信任的人
标识提供者使用一个或多个身份验证因素(例如密码或指纹扫描)验证标识。 标识提供者通常是受信任的提供程序,可用于单一登录(SSO)以访问其他资源。 SSO 通过减少密码疲劳来增强可用性。 它还通过减少潜在的受攻击面来提供更好的安全性。 标识提供者可以促进云计算资源和用户之间的连接,从而减少用户在使用移动和漫游应用程序时重新进行身份验证的需要。
常见标识协议
OpenID 提供程序 - OpenID Connect (OIDC) 是基于 OAuth2 协议(用于授权)的身份验证协议。 OIDC 使用来自 OAuth2 的标准化消息流来提供标识服务。 具体来说,系统实体(称为 OpenID 提供程序)通过 RESTful HTTP API 向 OIDC 依赖方颁发 JSON 格式的标识令牌。
SAML 标识提供者 - 安全断言标记语言 (SAML) 是在标识提供者和服务提供商之间交换身份验证和授权数据的开放标准。 SAML 是一种基于 XML 的标记语言,用于安全断言,也就是服务提供程序用来做出访问控制决策的声明。