身份與訪問管理必讀：7 個常用 IAM 標準剖析

身份與訪問管理項目，選OAuth還是OpenID Connect？還是兩者都要？我們先得看看這些標準的特點和適用場景。

身份與訪問管理負責處理跨公司資源的用戶認證、授權以及訪問管理事宜。這是一個涉及範圍很廣的領域，涵蓋了從賬號配置與註銷、單點登錄、多因素認證、特權訪問管理到機器身份管理等方面。

由於身份與訪問管理涉及衆多任務，沒有哪一項單一技術或標準能夠完全解決其中的所有問題。不同組織和行業的使用場景及環境各不相同。

瞭解以下7種常用的身份與訪問管理標準，會讓你在身份與訪問管理項目中更加遊刃有餘。

1

認證、授權與記賬（AAA）

AAA是一種安全框架，它首先驗證用戶身份（認證），接着確定用戶被允許做什麼（授權），最後跟蹤用戶的資源使用情況（記賬），以此來控制網絡訪問。

工作原理

AAA採用客戶端 - 服務器模型，通常通過行業標準協議進行管理。遠程認證撥入用戶服務（RADIUS）常用於網絡訪問。終端訪問控制器訪問控制系統增強版（TACACS +）用於設備管理。直徑（Diameter）協議是RADIUS的增強版，運行在處理AAA全部三個步驟的專用服務器上。

適用場景

AAA框架適用於各種規模的組織，因爲它提供了一種結構化的方法，可進行擴展並能適應各種不同要求。

優點

提升網絡安全性

集中化協議管理

可進行細粒度控制且具備靈活性

提供可擴展的訪問管理

缺點

要完全實施可能較爲複雜

需要持續的維護與更新

2

OAuth 2.0

OAuth 2.0是一種授權框架，能使第三方應用程序獲取對超文本傳輸協議（HTTP）服務上用戶賬戶的有限訪問權限。

工作原理

OAuth 2.0的工作方式是允許用戶授予第三方應用程序對其在另一服務上資源的有限訪問權限，且無需共享實際的登錄憑據。該過程涉及第三方應用程序請求訪問權限，然後用戶通過服務的授權服務器批准該請求，授權服務器隨後會嚮應用程序提供一個臨時訪問令牌，該令牌僅可用於訪問特定的允許訪問的資源。

適用場景

OAuth 2.0尤其適合開發現代網絡和移動應用程序的組織，特別是那些需要與第三方服務集成的組織。

優點

允許在不暴露用戶憑據的情況下安全地共享數據

使用令牌而非用戶名和密碼來訪問資源

針對特定時長內的特定資源提供細粒度的訪問控制

缺點

主要是爲授權而設計，並非用於認證

如果實施不當，可能容易出現安全漏洞

3

OpenID Connect（OIDC）

OpenID Connect是構建在OAuth 2.0之上的一種認證協議，可實現單點登錄（SSO）以及標準化的用戶認證。

工作原理

OpenID Connect的工作方式是將想要訪問應用程序的用戶重定向到身份提供商（如谷歌或微軟）那裡，由其驗證用戶身份。在成功認證後，身份提供商將嚮應用程序發回一個包含用戶身份信息的安全令牌，使用戶無需創建新憑據即可訪問服務。

適用場景

OpenID Connect對於從頭開始構建新應用程序的組織來說是絕佳選擇，尤其是針對移動平臺的應用程序開發組織。

優點

將認證和授權相結合。

支持移動應用程序、應用程序編程接口（API）以及基於瀏覽器的應用程序。

使用JSON Web令牌，更便於實施。

缺點

需要信任第三方認證服務

如果身份提供商出現停機情況，可能會面臨服務中斷問題

一旦憑證被泄露，單個憑證可能會影響對多個服務的訪問

4

安全斷言標記語言（SAML）

SAML是一種基於可擴展標記語言（XML）的用於交換認證和授權數據的標準。

工作原理

SAML通過實現身份提供商（如一個組織的主登錄系統）與第三方應用程序之間的安全通信來發揮作用。身份提供商通過數字簽名的XML消息向服務提供商確認用戶身份。

適用場景

SAML非常適合大型企業以及擁有現有XML基礎設施的組織，特別是那些需要在多個內部應用程序間實現單點登錄的組織。

優點

爲企業環境中的單點登錄提供廣泛的安全性保障

支持詳細的用戶信息交換

在大型組織和政府機構中已經很成熟

缺點

複雜的XML模式可能實施起來頗具挑戰性

不太適合移動應用程序

5

跨域身份管理系統（SCIM）

SCIM是一種用於自動實現跨域用戶賬號配置的開放標準。與處理認證的SAML和OIDC不同，SCIM負責管理用戶配置。SCIM可與SAML和OIDC協同工作，以提供全面的身份管理。

工作原理

SCIM會自動在不同域或系統之間同步用戶賬號信息。當源系統中發生變更時，SCIM會自動更新目標系統中相應的用戶賬號，從而無需手動進行賬號管理。

適用場景

對於有着複雜用戶管理的組織來說，SCIM很有價值，特別是那些需要應對員工頻繁流動或訪問要求變化的組織。

優點

簡化用戶配置和註銷流程

減少用戶管理中的人爲錯誤

缺點

主要側重於用戶生命週期管理，而非認證或授權。

6

輕量級目錄訪問協議（LDAP）

LDAP是一種軟件協議，有助於在網絡上查找有關組織、個人和資源的信息。

工作原理

LDAP通過提供一種集中式目錄服務來發揮作用，有關用戶、組織和資源的信息以層次樹結構存儲在其中，可對其進行查詢。當用戶或應用程序需要查找信息或進行認證時，LDAP會與目錄服務器建立安全連接，驗證用戶憑據，並根據用戶授權級別返回所請求的信息。

適用場景

LDAP的主要用途是集中式認證和目錄服務。

優點

集中進行認證和用戶管理

是一種輕量級且高效的協議

是一項得到廣泛支持的行業標準

缺點

並非爲頻繁的數據更新而設計

如果配置不當則容易出現安全漏洞

侷限於層次數據結構

可能成爲單點故障源

7

企業安全身份互操作性剖析（IPSIE）

IPSIE工作組是OpenID基金會近期發起的一項倡議。雖然它本身並非一項標準，但IPSIE旨在爲現有規範開發具有安全設計的配置文件，以增強企業實施中的互操作性。

工作原理

IPSIE爲現有的身份安全協議創建標準化配置文件，以確保在企業軟件即服務（SaaS）應用程序和身份提供商之間能一致地實施。它使不同系統能夠以統一的方式進行通信並共享安全信息，協調從用戶認證、訪問管理到風險檢測和會話控制等各個方面。

適用場景

IPSIE面向那些需要在多個軟件即服務（SaaS）應用程序間實現標準化身份安全，以確保一致的認證、訪問控制和安全監控的企業。

優點

在多個軟件即服務（SaaS）應用程序間實現身份安全標準化

得到微軟、谷歌等大型科技公司的支持

使用現有協議，而非創建新協議

缺點

仍處於早期開發階段

需要得到廣泛採用才能發揮效力

侷限於企業軟件即服務（SaaS）使用場景

https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards

合作電話：18311333376

合作微信：aqniu001