fbpx

身份管理身份验证的工作原理

身份管理认证

什么是身份和访问管理?

组织可以有多个系统,如 Active Directory、SharePoint、Oracle、Outlook、团队或简单的 Web 应用程序,并且可能有数百或数千名员工或外部组织用户可以访问这些系统。 管理每个用户的帐户并允许正确访问其各自的系统称为身份和访问管理 (IAM)。

现在想象一下,维护组织使用的每个不同系统上的每个用户的用户详细信息、登录凭据和访问信息。 此过程对组织来说沉闷而烦人,因为他们必须单独维护每个系统的凭据和用户访问信息。 这种方法是传统的,并且仍然被一些组织使用。

但是,当用户日益增长时,处理和管理它们就成为一项艰巨的任务,不容忽视。 这种传统方法的主要问题是初期投资巨大,耗时之长,加快。

 

身份管理如何解决这个问题

现在,想象一下组织用户使用的所有应用程序在一个中心位置的所有用户凭据和访问管理。 现在,我们可以在一个数据库中集中管理用户,我们的身份管理系统将使用该数据库获取有关每个用户的信息。

现在,因为他们已经用身份系统验证了自己,用户只需告诉身份系统他们是谁。 一旦他们经过身份验证,他们就可以访问所有应用程序。 此方法的一大优点是,各种应用程序不必担心用户的身份验证和授权功能,因为标识管理系统负责所有这些。 一些最常用的身份管理系统包括微软 Azure 活动目录、微软标识管理r和 Oracle 标识管理。

 

组织使用身份和访问管理 (IAM) 系统的主要优势是什么?

  • 提高了安全性。 IAM 解决方案有助于识别和降低安全风险。 毫无疑问,在组织内为员工或客户提供安全访问可能是一项艰巨的任务。 使用身份管理软件可保护组织免受所有类型的身份盗窃,如信用欺诈。
  • 易于使用。 IAM 核心功能的形式可以是单一登录、多重身份验证和访问管理,也可以作为标识和配置文件数据存储的目录。 IAM 简化了应用程序所有者、最终用户和系统管理员的注册、登录和用户管理过程。
  • 生产力。 IAM 集中并自动化身份和访问管理生命周期,为方案创建自动化工作流,例如新员工角色转换。 这可以缩短访问和标识更改的处理时间,并减少错误。
  • 降低 IT 成本。 IAM 服务可以降低运营成本。 使用联合标识服务意味着您不再需要本地标识用于外部用途;这使得应用程序管理更容易。 基于云的 IAM 服务可以减少购买和维护内部基础设施的需求。

当今蓬勃发展的身份管理系统之一是 Microsoft Azure 活动目录。 Azure 活动目录提供安全无缝访问云和本地应用程序。 此外,组织无需管理密码。 其最终用户可以登录一次以访问 Office 365 和数千个其他应用程序。 让我们来看看身份管理是如何工作的。

 

身份管理系统常用协议

这些身份管理协议通常称为
身份验证、授权、会计或 AAA,
它们提供了安全标准,以简化访问管理、帮助遵守并创建统一的系统来处理用户和系统之间的交互。

 

协议

SAML. 安全断言标记语言 (SAML) 协议最常用于使用单一登录 (SSO) 访问控制方法的系统。 在 SSO 中,一组凭据允许用户访问多个应用程序。 当用户必须在会话期间在应用程序之间移动时,此方法最有益。 SSO 无需为每个应用程序要求单个登录,而是利用已为会话验证的数据来简化应用程序之间的切换。 效率的提高有助于防止授权过程中的瓶颈。 Dotcom-Monitor 平台支持使用 SAML 2.0 的 SSO

OpenID. 与 SAML 一样,OpenID 用于 Web 应用程序,在与 Google 和 Yahoo 的产品交互时,实际上可以看到 OpenID 与 SAML 实施相比,其实现不太复杂,因此它更易于访问。

奥乌斯. Facebook、谷歌和Twitter等大型面向客户的平台依靠OAuth在用户许可下连接第三方应用程序。 OAuth 的工作原理是允许已批准的应用程序使用来自一个服务或平台的登录凭据来提供对其他应用程序的访问,而无需单独的登录。 用户可以随时授予或撤销授权。

让我们来看看其中一些协议在最常用的身份管理系统中是如何工作的,这些天微软 Azure 活动目录。

 

使用 Azure 活动目录进行标识管理

Azure 活动目录 (Azure AD) 为云和本地应用程序提供单个标识系统,简化了管理应用程序的方式。 您可以将软件添加为服务 (SaaS) 应用程序、本地应用程序和业务线 (LOB) 应用程序到 Azure AD。 然后,用户登录一次,以安全无缝地访问这些应用程序,以及 Office 365 和其他业务应用程序。 Dotcom-Monitor

平台支持与Azure ADFS

集成,以设置用户身份验证和访问。

 

SAML 2.0 协议

Azure 活动目录 (Azure AD) 提供 SAML 2.0 协议,使应用程序能够为其用户提供单一登录体验。 SAML 协议要求标识提供程序 (Azure AD) 和应用程序交换有关其自身的信息。

应用程序使用 HTTP 重定向绑定将身份验证请求元素传递给 Azure AD(标识提供程序)。 然后,Azure AD 使用 HTTP 发布绑定将响应元素发布到云服务。

 

Azure AD SAML

SAML 身份验证中的身份验证流:

  • 用户尝试通过在浏览器中输入应用程序 URL 来访问应用程序。
  • 然后,应用程序查找配置了它的标识提供程序,在这种情况下,这是 SAML。
  • 应用程序生成 SAML 身份验证请求,用户的浏览器将重定向到 Azure AD SAML 单一登录 URL,用户在其中登录时具有凭据。
  • Azure AD 检查有效的凭据、对用户进行身份验证并生成 SAML 令牌。
  • Azure AD 发布包含令牌的 SAML 响应,并对响应进行数字签名,该响应通过浏览器发回应用程序。
  • 应用程序使用提供给它的证书验证响应并确认源。
  • 应用程序了解用户有效,并完成允许应用程序内用户的身份验证。

 

微软身份平台上的 OAuth 2.0 和 OpenID 连接协议

在几乎所有 OAuth 2.0 和 OpenID 连接流中,交换中涉及四个方:

 

OAuth OpenID

 

  • 授权服务器. 它是 Microsoft 的标识系统,管理每个用户的标识、授予和撤销对资源的访问以及颁发令牌。 授权服务器也称为标识提供程序。 它安全地处理与用户信息、其访问权限以及流中各方之间的信任关系有关的任何内容。
  • 资源所有者. 它是最终用户。 是拥有数据的一方,并有权允许第三方访问该数据或资源。
  • 欧思客户端。 它是您的应用程序,由其唯一的应用程序 ID 标识。 OAuth 客户端通常是最终用户与之交互的一方,它请求来自授权服务器的令牌。 必须授予客户端访问资源的权限。
  • 资源服务器. 资源或数据所在的位置。 它信任授权服务器安全地对 OAuth 客户端进行身份验证和授权,并使用承载访问令牌确保可以授予对资源的访问权限。

 

OpenID 中的身份验证流:

 

Microsoft Identity Platform

 

  • 用户在浏览器中输入应用程序 URL。
  • 应用程序在 Azure AD 中注册,并且具有唯一的应用程序 ID。 应用程序使用应用程序 ID 将用户重定向到 Azure AD,以便 AD 可以标识应用程序并为用户提供登录屏幕。
  • 用户输入凭据以进行身份验证并同意权限。 OAuth 验证用户并将令牌返回到用户的浏览器。
  • 用户的浏览器将提供令牌重定向到在 Azure AD 中为其各自的应用程序注册的重定向 URI。
  • 应用程序验证令牌并设置会话,从而完成用户的身份验证。
  • 用户已安全登录并允许访问应用程序。

 

摘要:身份和访问管理

IAM 的目标是确保授权用户能够安全地访问必要的资源,如数据库、应用程序和系统。 IAM 简化了应用程序所有者、最终用户和系统管理员的流程,确保他们能够快速有效地履行其基本职责。 详细了解 Dotcom-Monitor 如何通过
第三方服务集成
和在 Dotcom-Monitor 平台内
设置 SSO
支持 IAM。

 

 

Share on facebook
Facebook
Share on twitter
Twitter
Share on linkedin
LinkedIn
Share on email
电子邮件
Share on print
打印