分享方式:


身分識別和存取權管理 (IAM) 基本概念

本文提供基本概念和術語,協助您了解身分識別與存取權管理 (IAM)。

什麼是身分識別和存取權管理 (IAM)?

身分識別和存取權管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先,人員、機器或軟體元件必須證明他們是誰或聲稱的身分。 然後,系統會允許或拒絕人員、機器或軟體元件存取或使用特定資源。

以下是一些基本概念,可協助您了解身分識別和存取權管理:

身分識別

數位身分識別是在電腦系統中代表某人、軟體元件、機器、資產或資源的唯一識別碼或屬性集合。 識別碼可以是:

  • 電子郵件地址
  • 登入認證 (使用者名稱/密碼)
  • 銀行帳戶號碼
  • 政府簽發的識別碼
  • MAC 位址或 IP 位址

身分識別可用來驗證和授權存取資源、與其他人員通訊、執行交易和其他用途。

概括而言,身分識別分成三種類型:

  • 人類身分識別代表人,例如員工 (內部工作者和第一線工作者) 和外部使用者 (客戶、顧問、廠商和合作夥伴)。
  • 工作負載身分識別代表軟體工作負載,例如應用程式、服務、指令碼或容器。
  • 裝置身分識別代表裝置,例如桌上型電腦、手機、IoT 感應器及 IoT 受控裝置。 裝置身分識別與人類身分識別不同。

驗證

驗證是查問人員、軟體元件或硬體裝置的認證程序,以便驗證其身分識別,或證明他們是誰或他們所聲稱的身分。 驗證通常需要使用認證 (例如使用者名稱和密碼、指紋、憑證或一次性密碼)。 驗證 (Authentication) 有時會簡稱為「AuthN」

多重要素驗證 (MFA) 是一項安全性措施,要求使用者提供一個以上的證據來驗證其身分識別,例如:

  • 他們知道的東西,例如密碼。
  • 他們擁有的東西,例如徽章或安全性權杖
  • 他們是什麼,例如生物特徵辨識 (指紋或臉部)。

單一登入 (SSO) 允許使用者一次性驗證身分識別,然後在存取倚賴同一身分識別的各種資源時自動進行驗證。 通過驗證後,IAM 系統將可作為使用者可使用之其他資源的身分識別真實性來源。 使用者無需再登入多個獨立的目標系統。

授權

授權會驗證使用者、機器或軟體元件是否已獲得特定資源的存取權。 授權 (Authorization) 有時會被簡稱為「AuthZ」

比較驗證與授權

驗證和授權詞彙有時會交替使用,因為它們通常看起來就像是使用者的單一體驗。 但其實是兩種不同的程序:

  • 驗證會證明使用者、機器或軟體元件的身分識別。
  • 授權會授與或拒絕使用者、機器或軟體元件對特定資源的存取。

圖表並排顯示驗證和授權。

以下是驗證和授權的快速總覽:

驗證 授權
可想成是一個守門員,只允許存取提供有效認證的實體。 可想成是一個警衛,確保只有具有適當出入許可的實體才能進入某些區域。
確認使用者、機器或軟體是他們是誰或聲稱的身分。 判斷是否允許使用者、機器或軟體存取特定資源。
查問使用者、機器或軟體是否有可驗認證 (例如密碼、生物特徵辨識識別碼或憑證)。 決定使用者、機器或軟體擁有的存取權層級。
在授權之前執行。 成功驗證之後執行。
在識別碼權杖中傳送資訊。 在存取權杖中傳送資訊。
通常使用 OpenID Connect (OIDC) (建置在 OAuth 2.0 通訊協定上) 或 SAML 通訊協定。 通常使用 OAuth 2.0 通訊協定。

如需詳細資訊,請參閱驗證與授權

範例

假設您想要在旅館待一晚。 您可以將驗證和授權想成是旅館大樓的安全性系統。 使用者是想要在旅館住宿的人,資源是旅客想要使用的房間或區域。 旅館工作人員是另一種類型的使用者。

如果您要在旅館住宿,請先前往服務台,開始「驗證程序」。 您要顯示身分證和信用卡,接待人員會比對您的身分證號和網路預約資料。 在接待人員確認您是誰之後,接待人員會授與您權限以使用獲指派的房間。 您已取得房卡,現在可以前往您的房間。

此圖顯示旅客出示身分識別資料以取得旅館房卡。

旅館房間和其他區域的門有房卡感應器。 在感應器前面刷一下房卡是「授權程序」。 房卡只能讓您打開有權使用的房間房門,例如您的旅館客房和旅館健身房。 如果您刷房卡進入任何其他旅館客房,會遭到拒絕存取。

個別權限,例如使用健身房和特定存取練習室和特定客房,會納入可授與個別使用者的角色。 當您住在旅館時,您會被授與旅館顧客角色。 旅館客房服務人員會被授與旅館客房服務角色。 這個角色允許進入所有旅館客房 (但僅限上午 11 點到下午 4 點之間)、洗衣房,以及每個樓層的供應櫃。

此圖顯示使用者使用房卡進入客房。

識別提供者

識別提供者可建立、維護及管理身分識別資訊,同時提供驗證、授權和稽核服務。

此圖顯示以雲端、工作站、行動裝置和資料庫圖示環繞的身分識別圖示。

透過新式驗證,所有服務 (包括所有驗證服務) 都是由中央身分識別提供者所提供。 身分識別提供者會集中儲存及管理使用者的伺服器驗證資訊。

有了中央身分識別提供者,組織就可以建立驗證和授權原則、監視使用者行為、找出可疑的活動,以及減少惡意攻擊。

Microsoft Entra 是雲端式識別提供者的範例。 其他範例包括 X、Google、Amazon、LinkedIn 和 GitHub。

後續步驟