身份与访问管理必读:7 个常用 IAM 标准剖析
日期:2024年12月13日 阅:698
身份与访问管理项目,选OAuth还是OpenID Connect?还是两者都要?我们先得看看这些标准的特点和适用场景。
身份与访问管理负责处理跨公司资源的用户认证、授权以及访问管理事宜。这是一个涉及范围很广的领域,涵盖了从账号配置与注销、单点登录、多因素认证、特权访问管理到机器身份管理等方面。
由于身份与访问管理涉及众多任务,没有哪一项单一技术或标准能够完全解决其中的所有问题。不同组织和行业的使用场景及环境各不相同。
了解以下7种常用的身份与访问管理标准,会让你在身份与访问管理项目中更加游刃有余。
认证、授权与记账(AAA)
AAA是一种安全框架,它首先验证用户身份(认证),接着确定用户被允许做什么(授权),最后跟踪用户的资源使用情况(记账),以此来控制网络访问。
工作原理
AAA采用客户端 – 服务器模型,通常通过行业标准协议进行管理。远程认证拨入用户服务(RADIUS)常用于网络访问。终端访问控制器访问控制系统增强版(TACACS +)用于设备管理。直径(Diameter)协议是RADIUS的增强版,运行在处理AAA全部三个步骤的专用服务器上。
适用场景
AAA框架适用于各种规模的组织,因为它提供了一种结构化的方法,可进行扩展并能适应各种不同要求。
优点
缺点
OAuth 2.0
OAuth 2.0是一种授权框架,能使第三方应用程序获取对超文本传输协议(HTTP)服务上用户账户的有限访问权限。
工作原理
OAuth 2.0的工作方式是允许用户授予第三方应用程序对其在另一服务上资源的有限访问权限,且无需共享实际的登录凭据。该过程涉及第三方应用程序请求访问权限,然后用户通过服务的授权服务器批准该请求,授权服务器随后会向应用程序提供一个临时访问令牌,该令牌仅可用于访问特定的允许访问的资源。
适用场景
OAuth 2.0尤其适合开发现代网络和移动应用程序的组织,特别是那些需要与第三方服务集成的组织。
优
缺点
OpenID Connect(OIDC)
OpenID Connect是构建在OAuth 2.0之上的一种认证协议,可实现单点登录(SSO)以及标准化的用户认证。
工作原理
OpenID Connect的工作方式是将想要访问应用程序的用户重定向到身份提供商(如谷歌或微软)那里,由其验证用户身份。在成功认证后,身份提供商将向应用程序发回一个包含用户身份信息的安全令牌,使用户无需创建新凭据即可访问服务。
适用场景
OpenID Connect对于从头开始构建新应用程序的组织来说是绝佳选择,尤其是针对移动平台的应用程序开发组织。
优点
缺点
安全断言标记语言(SAML)
SAML是一种基于可扩展标记语言(XML)的用于交换认证和授权数据的标准。
工作原理
SAML通过实现身份提供商(如一个组织的主登录系统)与第三方应用程序之间的安全通信来发挥作用。身份提供商通过数字签名的XML消息向服务提供商确认用户身份。
适用场景
SAML非常适合大型企业以及拥有现有XML基础设施的组织,特别是那些需要在多个内部应用程序间实现单点登录的组织。
优点
缺点
跨域身份管理系统(SCIM)
SCIM是一种用于自动实现跨域用户账号配置的开放标准。与处理认证的SAML和OIDC不同,SCIM负责管理用户配置。SCIM可与SAML和OIDC协同工作,以提供全面的身份管理。
工作原理
SCIM会自动在不同域或系统之间同步用户账号信息。当源系统中发生变更时,SCIM会自动更新目标系统中相应的用户账号,从而无需手动进行账号管理。
适用场景
对于有着复杂用户管理的组织来说,SCIM很有价值,特别是那些需要应对员工频繁流动或访问要求变化的组织。
优点
缺点
轻量级目录访问协议(LDAP)
LDAP是一种软件协议,有助于在网络上查找有关组织、个人和资源的信息。
工作原理
LDAP通过提供一种集中式目录服务来发挥作用,有关用户、组织和资源的信息以层次树结构存储在其中,可对其进行查询。当用户或应用程序需要查找信息或进行认证时,LDAP会与目录服务器建立安全连接,验证用户凭据,并根据用户授权级别返回所请求的信息。
适用场景
LDAP的主要用途是集中式认证和目录服务。
优点
缺点
企业安全身份互操作性剖析(IPSIE)
IPSIE工作组是OpenID基金会近期发起的一项倡议。虽然它本身并非一项标准,但IPSIE旨在为现有规范开发具有安全设计的配置文件,以增强企业实施中的互操作性。
工作原理
IPSIE为现有的身份安全协议创建标准化配置文件,以确保在企业软件即服务(SaaS)应用程序和身份提供商之间能一致地实施。它使不同系统能够以统一的方式进行通信并共享安全信息,协调从用户认证、访问管理到风险检测和会话控制等各个方面。
适用场景
IPSIE面向那些需要在多个软件即服务(SaaS)应用程序间实现标准化身份安全,以确保一致的认证、访问控制和安全监控的企业。
优点
缺点
参考链接: