1.認證、授權(quán)與記賬(AAA)
AAA是一種安全框架,它首先驗證用戶身份(認證),接著確定用戶被允許做什么(授權(quán)),最后跟蹤用戶的資源使用情況(記賬),以此來控制網(wǎng)絡訪問。
工作原理
AAA采用客戶端 - 服務器模型,通常通過行業(yè)標準協(xié)議進行管理。遠程認證撥入用戶服務(RADIUS)常用于網(wǎng)絡訪問。終端訪問控制器訪問控制系統(tǒng)增強版(TACACS +)用于設備管理。直徑(Diameter)協(xié)議是RADIUS的增強版,運行在處理AAA全部三個步驟的專用服務器上。
適用場景
AAA框架適用于各種規(guī)模的組織,因為它提供了一種結(jié)構(gòu)化的方法,可進行擴展并能適應各種不同要求。
優(yōu)點
- 提升網(wǎng)絡安全性
- 集中化協(xié)議管理
- 可進行細粒度控制且具備靈活性
- 提供可擴展的訪問管理
缺點
- 要完全實施可能較為復雜
- 需要持續(xù)的維護與更新
2. OAuth 2.0
OAuth 2.0是一種授權(quán)框架,能使第三方應用程序獲取對超文本傳輸協(xié)議(HTTP)服務上用戶賬戶的有限訪問權(quán)限。
工作原理
OAuth 2.0的工作方式是允許用戶授予第三方應用程序?qū)ζ湓诹硪环丈腺Y源的有限訪問權(quán)限,且無需共享實際的登錄憑據(jù)。該過程涉及第三方應用程序請求訪問權(quán)限,然后用戶通過服務的授權(quán)服務器批準該請求,授權(quán)服務器隨后會向應用程序提供一個臨時訪問令牌,該令牌僅可用于訪問特定的允許訪問的資源。
適用場景
OAuth 2.0尤其適合開發(fā)現(xiàn)代網(wǎng)絡和移動應用程序的組織,特別是那些需要與第三方服務集成的組織。
優(yōu)點
- 允許在不暴露用戶憑據(jù)的情況下安全地共享數(shù)據(jù)
- 使用令牌而非用戶名和密碼來訪問資源
- 針對特定時長內(nèi)的特定資源提供細粒度的訪問控制
缺點
- 主要是為授權(quán)而設計,并非用于認證
- 如果實施不當,可能容易出現(xiàn)安全漏洞
3. OpenID Connect(OIDC)
OpenID Connect是構(gòu)建在OAuth 2.0之上的一種認證協(xié)議,可實現(xiàn)單點登錄(SSO)以及標準化的用戶認證。
工作原理
OpenID Connect的工作方式是將想要訪問應用程序的用戶重定向到身份提供商(如谷歌或微軟)那里,由其驗證用戶身份。在成功認證后,身份提供商將向應用程序發(fā)回一個包含用戶身份信息的安全令牌,使用戶無需創(chuàng)建新憑據(jù)即可訪問服務。
適用場景
OpenID Connect對于從頭開始構(gòu)建新應用程序的組織來說是絕佳選擇,尤其是針對移動平臺的應用程序開發(fā)組織。
優(yōu)點
- 將認證和授權(quán)相結(jié)合。
- 支持移動應用程序、應用程序編程接口(API)以及基于瀏覽器的應用程序。
- 使用JSON Web令牌,更便于實施。
缺點
- 需要信任第三方認證服務
- 如果身份提供商出現(xiàn)停機情況,可能會面臨服務中斷問題
- 一旦憑證被泄露,單個憑證可能會影響對多個服務的訪問
4.安全斷言標記語言(SAML)
SAML是一種基于可擴展標記語言(XML)的用于交換認證和授權(quán)數(shù)據(jù)的標準。
工作原理
SAML通過實現(xiàn)身份提供商(如一個組織的主登錄系統(tǒng))與第三方應用程序之間的安全通信來發(fā)揮作用。身份提供商通過數(shù)字簽名的XML消息向服務提供商確認用戶身份。
適用場景
SAML非常適合大型企業(yè)以及擁有現(xiàn)有XML基礎設施的組織,特別是那些需要在多個內(nèi)部應用程序間實現(xiàn)單點登錄的組織。
優(yōu)點
- 為企業(yè)環(huán)境中的單點登錄提供廣泛的安全性保障
- 支持詳細的用戶信息交換
- 在大型組織和政府機構(gòu)中已經(jīng)很成熟
缺點
- 復雜的XML模式可能實施起來頗具挑戰(zhàn)性
- 不太適合移動應用程序
5.跨域身份管理系統(tǒng)(SCIM)
SCIM是一種用于自動實現(xiàn)跨域用戶賬號配置的開放標準。與處理認證的SAML和OIDC不同,SCIM負責管理用戶配置。SCIM可與SAML和OIDC協(xié)同工作,以提供全面的身份管理。
工作原理
SCIM會自動在不同域或系統(tǒng)之間同步用戶賬號信息。當源系統(tǒng)中發(fā)生變更時,SCIM會自動更新目標系統(tǒng)中相應的用戶賬號,從而無需手動進行賬號管理。
適用場景
對于有著復雜用戶管理的組織來說,SCIM很有價值,特別是那些需要應對員工頻繁流動或訪問要求變化的組織。
優(yōu)點
- 簡化用戶配置和注銷流程
- 減少用戶管理中的人為錯誤
缺點
- 主要側(cè)重于用戶生命周期管理,而非認證或授權(quán)。
6.輕量級目錄訪問協(xié)議(LDAP)
LDAP是一種軟件協(xié)議,有助于在網(wǎng)絡上查找有關(guān)組織、個人和資源的信息。
工作原理
LDAP通過提供一種集中式目錄服務來發(fā)揮作用,有關(guān)用戶、組織和資源的信息以層次樹結(jié)構(gòu)存儲在其中,可對其進行查詢。當用戶或應用程序需要查找信息或進行認證時,LDAP會與目錄服務器建立安全連接,驗證用戶憑據(jù),并根據(jù)用戶授權(quán)級別返回所請求的信息。
適用場景
LDAP的主要用途是集中式認證和目錄服務。
優(yōu)點
- 集中進行認證和用戶管理
- 是一種輕量級且高效的協(xié)議
- 是一項得到廣泛支持的行業(yè)標準
缺點
- 并非為頻繁的數(shù)據(jù)更新而設計
- 如果配置不當則容易出現(xiàn)安全漏洞
- 局限于層次數(shù)據(jù)結(jié)構(gòu)
- 可能成為單點故障源
7.企業(yè)安全身份互操作性剖析(IPSIE)
IPSIE工作組是OpenID基金會近期發(fā)起的一項倡議。雖然它本身并非一項標準,但IPSIE旨在為現(xiàn)有規(guī)范開發(fā)具有安全設計的配置文件,以增強企業(yè)實施中的互操作性。
工作原理
IPSIE為現(xiàn)有的身份安全協(xié)議創(chuàng)建標準化配置文件,以確保在企業(yè)軟件即服務(SaaS)應用程序和身份提供商之間能一致地實施。它使不同系統(tǒng)能夠以統(tǒng)一的方式進行通信并共享安全信息,協(xié)調(diào)從用戶認證、訪問管理到風險檢測和會話控制等各個方面。
適用場景
IPSIE面向那些需要在多個軟件即服務(SaaS)應用程序間實現(xiàn)標準化身份安全,以確保一致的認證、訪問控制和安全監(jiān)控的企業(yè)。
優(yōu)點
- 在多個軟件即服務(SaaS)應用程序間實現(xiàn)身份安全標準化
- 得到微軟、谷歌等大型科技公司的支持
- 使用現(xiàn)有協(xié)議,而非創(chuàng)建新協(xié)議
缺點
- 仍處于早期開發(fā)階段
- 需要得到廣泛采用才能發(fā)揮效力
- 局限于企業(yè)軟件即服務(SaaS)使用場景
參考鏈接:https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards
