身份管理身份验证的工作原理

身份管理认证

什么是身份和访问管理?

一个组织可以有多个系统,如Active Directory,SharePoint,Oracle,Outlook,Teams或简单的Web应用程序,他们可能有数百或数千名员工或外部组织用户可以访问这些系统。 管理每个用户的帐户并允许正确访问其各自的系统称为身份和访问管理 (IAM)。

现在想象一下,在组织使用的每个不同系统上维护每个用户的用户详细信息、登录凭据和访问信息。 此过程对组织来说既沉闷又令人厌烦,因为他们必须分别维护每个系统的凭据和用户访问信息。 这种方法是传统的,仍然被一些组织使用。

但是,当用户日益增长时,处理和管理它们成为一项艰巨的任务,不容忽视。 这种传统方法的主要问题是巨大的投资和耗时的初始设置,然后加快速度。

 

身份管理如何解决这个问题

现在,假设组织用户使用的所有应用程序的所有用户凭据和访问管理都集中在一个中心位置。 现在,我们可以在一个数据库中集中管理用户,我们的身份管理系统将使用该数据库来获取有关每个用户的信息。

现在,因为他们已经用身份系统验证了自己,所以用户所要做的就是简单地告诉身份系统他们是谁。 一旦他们通过身份验证,他们就可以访问所有应用程序。 这种方法的一大优点是,各种应用程序不必担心用户的身份验证和授权功能,因为身份管理系统会处理所有这些。 一些最常用的身份管理系统包括Microsoft Azure Active Directory,Microsoft Identity Manager和Oracle Identity Management。

 

组织使用身份和访问管理 (IAM) 系统的主要优势是什么?

  • 提高了安全性。 IAM 解决方案有助于识别和缓解安全风险。 毫无疑问,在组织内为员工或客户提供安全访问权限可能是一项艰巨的任务。 使用身份管理软件可以保护组织免受所有类型的身份盗用,例如信用欺诈。
  • 易于使用。 IAM 核心功能可以采用单点登录、多重身份验证和访问管理的形式,也可以作为身份和配置文件数据存储的目录。 IAM 简化了应用程序所有者、最终用户和系统管理员的注册、登录和用户管理流程。
  • 生产力。 IAM 集中并自动化身份和访问管理生命周期,为新员工或角色转换等场景创建自动化工作流。 这可以缩短访问和标识更改的处理时间,并减少错误。
  • 降低 IT 成本。 IAM 服务可以降低运营成本。 使用联合身份服务意味着不再需要本地身份供外部使用;这使得应用程序管理更容易。 基于云的 IAM 服务可以减少购买和维护本地基础设施的需求。

当今蓬勃发展的身份管理系统之一是Microsoft Azure Active Directory。 Azure Active Directory 提供对云和本地应用程序的安全无缝访问。 此外,组织无需管理密码。 他们的最终用户只需登录一次即可访问 Office 365 和数千个其他应用程序。 让我们来看看身份管理是如何工作的。

 

身份管理系统常用协议

这些身份管理协议通常称为
身份验证、授权、记帐或 AAA
,它提供了安全标准,以简化访问管理、帮助合规性并创建用于处理用户和系统之间交互的统一系统。

 

协议

萨姆尔。 安全断言标记语言 (SAML) 协议最常用于采用单点登录 (SSO) 访问控制方法的系统。 在 SSO 中,一组凭据允许用户访问多个应用程序。 当用户必须在会话期间在应用程序之间移动时,此方法最有用。 SSO 不要求每个应用程序单独登录,而是利用已针对会话进行身份验证的数据来简化应用程序之间的切换。 由此带来的效率提高有助于防止授权过程中的瓶颈。 Dotcom 监视器平台支持 SSO 使用 SAML 2.0

开放标识。 与SAML一样,OpenID用于Web应用程序,在实践中可以看到与Google和Yahoo的产品交互时! 此协议的实现比SAML的实现更简单,使其更易于各种应用程序访问。

。 Facebook、谷歌和Twitter等面向客户的大型平台依靠OAuth在用户许可的情况下连接第三方应用程序。 OAuth 的工作原理是允许批准的应用程序使用来自一个服务或平台的登录凭据来提供对其他应用程序的访问权限,而无需单独登录。 用户可以随时授予或撤销授权。

让我们看看这些协议中的一些如何在Azure Active Directory Microsoft最常用的身份管理系统中工作。

 

Identity Management with Azure Active Directory

Azure Active Directory (Azure AD) 通过为云和本地应用程序提供单一标识系统来简化管理应用程序的方式。 可以将软件即服务 (SaaS) 应用程序、本地应用程序和业务线 (LOB) 应用添加到 Azure AD。 然后,用户只需登录一次,即可安全无缝地访问这些应用程序以及 Office 365 和其他业务应用程序。 Dotcom 监视器

平台支持与 Azure ADFS

集成,以设置用户身份验证和访问。

 

SAML 2.0 协议

Azure Active Directory (Azure AD) 提供 SAML 2.0 协议,使应用程序能够为其用户提供单一登录体验。 SAML 协议要求标识提供者 (Azure AD) 和应用程序交换有关自身的信息。

应用程序使用 HTTP 重定向绑定将身份验证请求元素传递给 Azure AD(标识提供者)。 然后,Azure AD 使用 HTTP 发布绑定将响应元素发布到云服务。

 

Azure AD SAML

SAML 身份验证中的身份验证流程:

  • 用户尝试通过在浏览器中输入应用程序 URL 来访问应用程序。
  • 然后,应用程序查找配置了它的身份提供程序,在本例中为 SAML。
  • 应用程序生成 SAML 身份验证请求,用户的浏览器将重定向到 Azure AD SAML 单一登录 URL,用户在其中使用凭据登录。
  • Azure AD 检查有效凭据,对用户进行身份验证,并生成 SAML 令牌。
  • Azure AD 发布包含令牌的 SAML 响应,并对响应进行数字签名,该响应通过浏览器回发到应用程序。
  • 应用程序使用提供给它的证书验证响应并确认源。
  • 应用程序了解用户是有效的,并完成身份验证,允许用户在应用程序内。

 

Microsoft身份平台上的 OAuth 2.0 和 OpenID Connect 协议

在几乎所有的OAuth 2.0和OpenID Connect流中,交换都涉及四方:

 

OAuth OpenID

 

  • 授权服务器。 它是 Microsoft 的标识系统,管理每个用户的身份、授予和撤销对资源的访问权限以及颁发令牌。 授权服务器也称为身份提供程序。 它安全地处理与用户信息、用户访问权限以及流中各方之间的信任关系有关的任何内容。
  • 资源所有者。 它是最终用户。 它是拥有数据的一方,并有权允许第三方访问该数据或资源。
  • OAuth 客户端。 它是您的应用程序,由其唯一的应用程序 ID 标识。 OAuth 客户端通常是最终用户与之交互的一方,它从授权服务器请求令牌。 资源所有者必须向客户端授予访问资源的权限。
  • 资源服务器。 资源或数据所在的位置。 它信任授权服务器安全地对 OAuth 客户端进行身份验证和授权,并使用持有者访问令牌来确保可以授予对资源的访问权限。

 

OpenID 中的身份验证流程:

 

Microsoft身份平台

 

  • 用户在浏览器中输入应用程序 URL。
  • 应用程序已注册到 Azure AD,并具有唯一的应用程序 ID。 应用程序使用应用程序 ID 将用户重定向到 Azure AD,以便 AD 可以识别应用程序并为用户提供登录屏幕。
  • 用户输入凭据进行身份验证并同意权限。 OAuth 验证用户并将令牌返回到用户的浏览器。
  • 用户的浏览器会将提供令牌重定向到在 Azure AD 中为其各自的应用程序注册的重定向 URI。
  • 应用程序验证令牌并设置会话,从而完成用户的身份验证。
  • 用户已安全登录并被允许访问应用程序。

 

摘要:身份和访问管理

IAM 的目标是确保授权用户能够安全访问必要的资源,如数据库、应用程序和系统。 IAM 简化了应用程序所有者、最终用户和系统管理员的流程,确保他们能够快速有效地履行其基本职责。 详细了解 Dotcom 监视器如何通过
第三方服务集成
和在 Dotcom 监视器平台中
设置的 SSO
来支持 IAM。

 

 

Facebook
Twitter
LinkedIn
电子邮件
打印