1.認證、授權與記賬(AAA)
AAA是一種安全框架,它首先驗證用戶身份(認證),接著確定用戶被允許做什么(授權),最后跟蹤用戶的資源使用情況(記賬),以此來控制網絡訪問。
工作原理
AAA采用客戶端 - 服務器模型,通常通過行業標準協議進行管理。遠程認證撥入用戶服務(RADIUS)常用于網絡訪問。終端訪問控制器訪問控制系統增強版(TACACS +)用于設備管理。直徑(Diameter)協議是RADIUS的增強版,運行在處理AAA全部三個步驟的專用服務器上。
適用場景
AAA框架適用于各種規模的組織,因為它提供了一種結構化的方法,可進行擴展并能適應各種不同要求。
優點
- 提升網絡安全性
- 集中化協議管理
- 可進行細粒度控制且具備靈活性
- 提供可擴展的訪問管理
缺點
- 要完全實施可能較為復雜
- 需要持續的維護與更新
2. OAuth 2.0
OAuth 2.0是一種授權框架,能使第三方應用程序獲取對超文本傳輸協議(HTTP)服務上用戶賬戶的有限訪問權限。
工作原理
OAuth 2.0的工作方式是允許用戶授予第三方應用程序對其在另一服務上資源的有限訪問權限,且無需共享實際的登錄憑據。該過程涉及第三方應用程序請求訪問權限,然后用戶通過服務的授權服務器批準該請求,授權服務器隨后會向應用程序提供一個臨時訪問令牌,該令牌僅可用于訪問特定的允許訪問的資源。
適用場景
OAuth 2.0尤其適合開發現代網絡和移動應用程序的組織,特別是那些需要與第三方服務集成的組織。
優點
- 允許在不暴露用戶憑據的情況下安全地共享數據
- 使用令牌而非用戶名和密碼來訪問資源
- 針對特定時長內的特定資源提供細粒度的訪問控制
缺點
- 主要是為授權而設計,并非用于認證
- 如果實施不當,可能容易出現安全漏洞
3. OpenID Connect(OIDC)
OpenID Connect是構建在OAuth 2.0之上的一種認證協議,可實現單點登錄(SSO)以及標準化的用戶認證。
工作原理
OpenID Connect的工作方式是將想要訪問應用程序的用戶重定向到身份提供商(如谷歌或微軟)那里,由其驗證用戶身份。在成功認證后,身份提供商將向應用程序發回一個包含用戶身份信息的安全令牌,使用戶無需創建新憑據即可訪問服務。
適用場景
OpenID Connect對于從頭開始構建新應用程序的組織來說是絕佳選擇,尤其是針對移動平臺的應用程序開發組織。
優點
- 將認證和授權相結合。
- 支持移動應用程序、應用程序編程接口(API)以及基于瀏覽器的應用程序。
- 使用JSON Web令牌,更便于實施。
缺點
- 需要信任第三方認證服務
- 如果身份提供商出現停機情況,可能會面臨服務中斷問題
- 一旦憑證被泄露,單個憑證可能會影響對多個服務的訪問
4.安全斷言標記語言(SAML)
SAML是一種基于可擴展標記語言(XML)的用于交換認證和授權數據的標準。
工作原理
SAML通過實現身份提供商(如一個組織的主登錄系統)與第三方應用程序之間的安全通信來發揮作用。身份提供商通過數字簽名的XML消息向服務提供商確認用戶身份。
適用場景
SAML非常適合大型企業以及擁有現有XML基礎設施的組織,特別是那些需要在多個內部應用程序間實現單點登錄的組織。
優點
- 為企業環境中的單點登錄提供廣泛的安全性保障
- 支持詳細的用戶信息交換
- 在大型組織和政府機構中已經很成熟
缺點
- 復雜的XML模式可能實施起來頗具挑戰性
- 不太適合移動應用程序
5.跨域身份管理系統(SCIM)
SCIM是一種用于自動實現跨域用戶賬號配置的開放標準。與處理認證的SAML和OIDC不同,SCIM負責管理用戶配置。SCIM可與SAML和OIDC協同工作,以提供全面的身份管理。
工作原理
SCIM會自動在不同域或系統之間同步用戶賬號信息。當源系統中發生變更時,SCIM會自動更新目標系統中相應的用戶賬號,從而無需手動進行賬號管理。
適用場景
對于有著復雜用戶管理的組織來說,SCIM很有價值,特別是那些需要應對員工頻繁流動或訪問要求變化的組織。
優點
- 簡化用戶配置和注銷流程
- 減少用戶管理中的人為錯誤
缺點
- 主要側重于用戶生命周期管理,而非認證或授權。
6.輕量級目錄訪問協議(LDAP)
LDAP是一種軟件協議,有助于在網絡上查找有關組織、個人和資源的信息。
工作原理
LDAP通過提供一種集中式目錄服務來發揮作用,有關用戶、組織和資源的信息以層次樹結構存儲在其中,可對其進行查詢。當用戶或應用程序需要查找信息或進行認證時,LDAP會與目錄服務器建立安全連接,驗證用戶憑據,并根據用戶授權級別返回所請求的信息。
適用場景
LDAP的主要用途是集中式認證和目錄服務。
優點
- 集中進行認證和用戶管理
- 是一種輕量級且高效的協議
- 是一項得到廣泛支持的行業標準
缺點
- 并非為頻繁的數據更新而設計
- 如果配置不當則容易出現安全漏洞
- 局限于層次數據結構
- 可能成為單點故障源
7.企業安全身份互操作性剖析(IPSIE)
IPSIE工作組是OpenID基金會近期發起的一項倡議。雖然它本身并非一項標準,但IPSIE旨在為現有規范開發具有安全設計的配置文件,以增強企業實施中的互操作性。
工作原理
IPSIE為現有的身份安全協議創建標準化配置文件,以確保在企業軟件即服務(SaaS)應用程序和身份提供商之間能一致地實施。它使不同系統能夠以統一的方式進行通信并共享安全信息,協調從用戶認證、訪問管理到風險檢測和會話控制等各個方面。
適用場景
IPSIE面向那些需要在多個軟件即服務(SaaS)應用程序間實現標準化身份安全,以確保一致的認證、訪問控制和安全監控的企業。
優點
- 在多個軟件即服務(SaaS)應用程序間實現身份安全標準化
- 得到微軟、谷歌等大型科技公司的支持
- 使用現有協議,而非創建新協議
缺點
- 仍處于早期開發階段
- 需要得到廣泛采用才能發揮效力
- 局限于企業軟件即服務(SaaS)使用場景
參考鏈接:https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards
