04 - 描述識別提供者的角色
新式驗證是一種概括詞,指的是用戶端 (例如您的筆電或電話) 與伺服器 (例如網站或應用程式) 之間的驗證和授權方法。 新式驗證的核心是識別提供者的角色。 識別提供者可建立、維護及管理身分識別資訊,同時提供驗證、授權和稽核服務。
透過新式驗證,所有服務 (包括所有驗證服務) 都是由中央身分識別提供者所提供。 身分識別提供者會集中儲存及管理使用者的伺服器驗證資訊。
有了中央身分識別提供者,組織就可以建立驗證和授權原則、監視使用者行為、找出可疑的活動,以及減少惡意攻擊。
觀看這段影片以取得新式驗證的詳細資訊,及其如何與中央身分識別提供者搭配運作。
如您在影片中所見,由於新式驗證,用戶端會藉由提供可驗證的身分識別,與身分識別提供者進行通訊。 當身分識別 (可以是使用者或應用程式) 經過驗證之後,識別提供者就會發出用戶端傳送至伺服器的安全性權杖。
伺服器會透過其與識別提供者的信任關係,驗證此安全性權杖。 藉由使用安全性權杖和其中包含的資訊,使用者或應用程式便能存取伺服器上的必要資源。 在此案例中,權杖及其包含的資訊是由身分識別提供者所儲存及管理。 集中式身分識別提供者提供驗證服務。
Microsoft Entra 識別碼是雲端式識別提供者的範例。 其他範例包括 Google、Amazon、LinkedIn 和 GitHub。
單一登入
身分識別提供者和「新式驗證」的另一項基本功能是支援單一登入 (SSO)。 使用 SSO 時,使用者只要登入一次,就會使用該認證來存取多個應用程式或資源。 設定單一登入以在多個識別提供者之間運作,這種方式稱為同盟。