身分識別和存取管理 (IAM) 基本概念

  • 發行項

本文提供基本概念和術語,可協助您瞭解身分識別和存取管理 (IAM)。

什麼是身分識別和存取管理 (IAM)?

身分識別和存取管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先,人員、電腦或軟體元件證明他們是誰或他們聲稱的。 然後,人員、電腦或軟體元件被允許或拒絕存取或使用特定資源。

以下是一些基本概念,可協助您瞭解身分識別和存取管理:

身分識別

數位身分識別是代表電腦系統中人類、軟體元件、電腦、資產或資源的唯一識別碼或屬性集合。 識別碼可以是:

  • 電子郵件地址
  • 登入認證(使用者名稱/密碼)
  • 銀行帳戶號碼
  • 政府簽發的識別碼
  • MAC 位址或 IP 位址

身分識別可用來驗證和授權存取資源、與其他人類通訊、進行交易和其他用途。

概括而言,有三種類型的身分識別:

  • 人類身份 代表員工(內部員工和一線員工)和外部使用者(客戶、顧問、廠商和合作夥伴)等人員。
  • 工作負載身分識別 代表軟體工作負載,例如應用程式、服務、腳本或容器。
  • 裝置身分識別 代表桌上型電腦、行動電話、IoT 感應器和 IoT 受控裝置等裝置。 裝置身分識別與人類身分識別不同。

驗證

驗證是挑戰人員、軟體元件或硬體裝置的認證程式,以驗證其身分識別,或證明他們是誰或他們聲稱的身分。 驗證通常需要使用認證(例如使用者名稱和密碼、指紋、憑證或單次密碼)。 驗證有時會縮短為 AuthN

多重要素驗證 (MFA) 是一項安全性措施,要求使用者提供一個以上的證據來驗證其身分識別,例如:

  • 他們知道的東西,例如密碼。
  • 他們擁有的東西,例如徽章或 安全性權杖
  • 他們是什麼,比如生物特徵辨識(指紋或臉部)。

單一登入 (SSO) 可讓使用者在存取依賴相同身分識別的各種資源時,以無訊息方式驗證其身分識別一次,之後再以無訊息方式進行驗證。 驗證之後,IAM 系統會作為使用者可用之其他資源的身分識別事實來源。 它不需要登入多個個別的目標系統。

授權

授權會驗證使用者、電腦或軟體元件是否已獲得特定資源的存取權。 授權有時會縮短為 AuthZ

驗證與授權

驗證和授權條款有時會交替使用,因為它們通常看起來像是使用者的單一體驗。 它們實際上是兩個不同的程式:

  • 驗證會證明使用者、電腦或軟體元件的身分識別。
  • 授權會授與或拒絕使用者、電腦或軟體元件對特定資源的存取權。

Diagram that shows authentication and authorization side by side.

以下是驗證和授權的快速概觀:

驗證 授權
可視為守門員,只允許存取提供有效認證的人員。 可以被認為是一個警衛,確保只有那些有適當許可的人可以進入某些區域。
確認使用者、電腦或軟體是他們聲稱是誰或他們聲稱的身分。 判斷是否允許使用者、電腦或軟體存取特定資源。
挑戰使用者、電腦或軟體是否有可驗證的認證(例如密碼、生物識別識別碼或憑證)。 決定使用者、電腦或軟體擁有的存取層級。
在授權之前完成。 成功驗證之後完成。
資訊會在識別碼權杖中傳輸。 資訊會在存取權杖中傳輸。
通常會使用 OpenID 連線 (OIDC) (建置在 OAuth 2.0 通訊協定上)或 SAML 通訊協定。 通常會使用 OAuth 2.0 通訊協定。

如需詳細資訊,請參閱 驗證與授權

範例

假設您想要在旅館待一晚。 您可以將驗證和授權視為酒店大樓的安全性系統。 使用者是想要留在酒店的人,資源是人們想要使用的房間或區域。 酒店工作人員是另一種類型的使用者。

如果您住在酒店,請先前往接待,開始進行「驗證程式」。 您顯示身份證和信用卡,接待員會與您的識別碼與線上保留相符。 在接待員確認您是誰之後,接待員會授與您存取已獲指派房間的許可權。 您已獲得金鑰卡,現在可以前往您的房間。

Diagram that shows a person showing identification to get a hotel keycard.

酒店房間和其他區域的門有鑰匙卡感應器。 在感應器前面撥動金鑰卡是「授權程式」。 鑰匙卡只可讓您打開允許存取的房間,例如您的酒店房間和酒店練習室。 如果您撥動金鑰卡以進入任何其他酒店會議室,則拒絕您的存取權。

個別 許可權 ,例如存取練習室和特定來賓會議室,會收集為 可授與個別使用者的角色 。 當您住在酒店時,您獲授與酒店贊助人角色。 酒店會議室服務人員將獲授與酒店會議室服務角色。 這個角色允許進入所有酒店客房(但只有上午11點到4點之間)、洗衣室,以及每個樓層的供應壁櫥。

Diagram that shows a user getting access to a room with a keycard.

識別提供者

識別提供者可建立、維護及管理身分識別資訊,同時提供驗證、授權和稽核服務。

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

透過新式驗證,所有服務 (包括所有驗證服務) 都是由中央身分識別提供者所提供。 身分識別提供者會集中儲存及管理使用者的伺服器驗證資訊。

有了中央身分識別提供者,組織就可以建立驗證和授權原則、監視使用者行為、找出可疑的活動,以及減少惡意攻擊。

Microsoft Entra ID 是雲端式識別提供者的範例。 其他範例包括 Twitter、Google、Amazon、LinkedIn 和 GitHub。

下一步