1.認(rèn)證、授權(quán)與記賬（AAA）

AAA是一種安全框架，它首先驗(yàn)證用戶身份（認(rèn)證），接著確定用戶被允許做什么（授權(quán)），最后跟蹤用戶的資源使用情況（記賬），以此來(lái)控制網(wǎng)絡(luò)訪問(wèn)。

工作原理

AAA采用客戶端 - 服務(wù)器模型，通常通過(guò)行業(yè)標(biāo)準(zhǔn)協(xié)議進(jìn)行管理。遠(yuǎn)程認(rèn)證撥入用戶服務(wù)（RADIUS）常用于網(wǎng)絡(luò)訪問(wèn)。終端訪問(wèn)控制器訪問(wèn)控制系統(tǒng)增強(qiáng)版（TACACS +）用于設(shè)備管理。直徑（Diameter）協(xié)議是RADIUS的增強(qiáng)版，運(yùn)行在處理AAA全部三個(gè)步驟的專用服務(wù)器上。

適用場(chǎng)景

AAA框架適用于各種規(guī)模的組織，因?yàn)樗峁┝艘环N結(jié)構(gòu)化的方法，可進(jìn)行擴(kuò)展并能適應(yīng)各種不同要求。

優(yōu)點(diǎn)

• 提升網(wǎng)絡(luò)安全性
• 集中化協(xié)議管理
• 可進(jìn)行細(xì)粒度控制且具備靈活性
• 提供可擴(kuò)展的訪問(wèn)管理

缺點(diǎn)

• 要完全實(shí)施可能較為復(fù)雜
• 需要持續(xù)的維護(hù)與更新

2. OAuth 2.0

OAuth 2.0是一種授權(quán)框架，能使第三方應(yīng)用程序獲取對(duì)超文本傳輸協(xié)議（HTTP）服務(wù)上用戶賬戶的有限訪問(wèn)權(quán)限。

工作原理

OAuth 2.0的工作方式是允許用戶授予第三方應(yīng)用程序?qū)ζ湓诹硪环?wù)上資源的有限訪問(wèn)權(quán)限，且無(wú)需共享實(shí)際的登錄憑據(jù)。該過(guò)程涉及第三方應(yīng)用程序請(qǐng)求訪問(wèn)權(quán)限，然后用戶通過(guò)服務(wù)的授權(quán)服務(wù)器批準(zhǔn)該請(qǐng)求，授權(quán)服務(wù)器隨后會(huì)向應(yīng)用程序提供一個(gè)臨時(shí)訪問(wèn)令牌，該令牌僅可用于訪問(wèn)特定的允許訪問(wèn)的資源。

適用場(chǎng)景

OAuth 2.0尤其適合開(kāi)發(fā)現(xiàn)代網(wǎng)絡(luò)和移動(dòng)應(yīng)用程序的組織，特別是那些需要與第三方服務(wù)集成的組織。

優(yōu)點(diǎn)

• 允許在不暴露用戶憑據(jù)的情況下安全地共享數(shù)據(jù)
• 使用令牌而非用戶名和密碼來(lái)訪問(wèn)資源
• 針對(duì)特定時(shí)長(zhǎng)內(nèi)的特定資源提供細(xì)粒度的訪問(wèn)控制

缺點(diǎn)

• 主要是為授權(quán)而設(shè)計(jì)，并非用于認(rèn)證
• 如果實(shí)施不當(dāng)，可能容易出現(xiàn)安全漏洞

3. OpenID Connect（OIDC）

OpenID Connect是構(gòu)建在OAuth 2.0之上的一種認(rèn)證協(xié)議，可實(shí)現(xiàn)單點(diǎn)登錄（SSO）以及標(biāo)準(zhǔn)化的用戶認(rèn)證。

工作原理

OpenID Connect的工作方式是將想要訪問(wèn)應(yīng)用程序的用戶重定向到身份提供商（如谷歌或微軟）那里，由其驗(yàn)證用戶身份。在成功認(rèn)證后，身份提供商將向應(yīng)用程序發(fā)回一個(gè)包含用戶身份信息的安全令牌，使用戶無(wú)需創(chuàng)建新憑據(jù)即可訪問(wèn)服務(wù)。

適用場(chǎng)景

OpenID Connect對(duì)于從頭開(kāi)始構(gòu)建新應(yīng)用程序的組織來(lái)說(shuō)是絕佳選擇，尤其是針對(duì)移動(dòng)平臺(tái)的應(yīng)用程序開(kāi)發(fā)組織。

優(yōu)點(diǎn)

• 將認(rèn)證和授權(quán)相結(jié)合。
• 支持移動(dòng)應(yīng)用程序、應(yīng)用程序編程接口（API）以及基于瀏覽器的應(yīng)用程序。
• 使用JSON Web令牌，更便于實(shí)施。

缺點(diǎn)

• 需要信任第三方認(rèn)證服務(wù)
• 如果身份提供商出現(xiàn)停機(jī)情況，可能會(huì)面臨服務(wù)中斷問(wèn)題
• 一旦憑證被泄露，單個(gè)憑證可能會(huì)影響對(duì)多個(gè)服務(wù)的訪問(wèn)

4.安全斷言標(biāo)記語(yǔ)言（SAML）

SAML是一種基于可擴(kuò)展標(biāo)記語(yǔ)言（XML）的用于交換認(rèn)證和授權(quán)數(shù)據(jù)的標(biāo)準(zhǔn)。

工作原理

SAML通過(guò)實(shí)現(xiàn)身份提供商（如一個(gè)組織的主登錄系統(tǒng)）與第三方應(yīng)用程序之間的安全通信來(lái)發(fā)揮作用。身份提供商通過(guò)數(shù)字簽名的XML消息向服務(wù)提供商確認(rèn)用戶身份。

適用場(chǎng)景

SAML非常適合大型企業(yè)以及擁有現(xiàn)有XML基礎(chǔ)設(shè)施的組織，特別是那些需要在多個(gè)內(nèi)部應(yīng)用程序間實(shí)現(xiàn)單點(diǎn)登錄的組織。

優(yōu)點(diǎn)

• 為企業(yè)環(huán)境中的單點(diǎn)登錄提供廣泛的安全性保障
• 支持詳細(xì)的用戶信息交換
• 在大型組織和政府機(jī)構(gòu)中已經(jīng)很成熟

缺點(diǎn)

• 復(fù)雜的XML模式可能實(shí)施起來(lái)頗具挑戰(zhàn)性
• 不太適合移動(dòng)應(yīng)用程序

5.跨域身份管理系統(tǒng)（SCIM）

SCIM是一種用于自動(dòng)實(shí)現(xiàn)跨域用戶賬號(hào)配置的開(kāi)放標(biāo)準(zhǔn)。與處理認(rèn)證的SAML和OIDC不同，SCIM負(fù)責(zé)管理用戶配置。SCIM可與SAML和OIDC協(xié)同工作，以提供全面的身份管理。

工作原理

SCIM會(huì)自動(dòng)在不同域或系統(tǒng)之間同步用戶賬號(hào)信息。當(dāng)源系統(tǒng)中發(fā)生變更時(shí)，SCIM會(huì)自動(dòng)更新目標(biāo)系統(tǒng)中相應(yīng)的用戶賬號(hào)，從而無(wú)需手動(dòng)進(jìn)行賬號(hào)管理。

適用場(chǎng)景

對(duì)于有著復(fù)雜用戶管理的組織來(lái)說(shuō)，SCIM很有價(jià)值，特別是那些需要應(yīng)對(duì)員工頻繁流動(dòng)或訪問(wèn)要求變化的組織。

優(yōu)點(diǎn)

• 簡(jiǎn)化用戶配置和注銷流程
• 減少用戶管理中的人為錯(cuò)誤

缺點(diǎn)

• 主要側(cè)重于用戶生命周期管理，而非認(rèn)證或授權(quán)。

6.輕量級(jí)目錄訪問(wèn)協(xié)議（LDAP）

LDAP是一種軟件協(xié)議，有助于在網(wǎng)絡(luò)上查找有關(guān)組織、個(gè)人和資源的信息。

工作原理

LDAP通過(guò)提供一種集中式目錄服務(wù)來(lái)發(fā)揮作用，有關(guān)用戶、組織和資源的信息以層次樹(shù)結(jié)構(gòu)存儲(chǔ)在其中，可對(duì)其進(jìn)行查詢。當(dāng)用戶或應(yīng)用程序需要查找信息或進(jìn)行認(rèn)證時(shí)，LDAP會(huì)與目錄服務(wù)器建立安全連接，驗(yàn)證用戶憑據(jù)，并根據(jù)用戶授權(quán)級(jí)別返回所請(qǐng)求的信息。

適用場(chǎng)景

LDAP的主要用途是集中式認(rèn)證和目錄服務(wù)。

優(yōu)點(diǎn)

• 集中進(jìn)行認(rèn)證和用戶管理
• 是一種輕量級(jí)且高效的協(xié)議
• 是一項(xiàng)得到廣泛支持的行業(yè)標(biāo)準(zhǔn)

缺點(diǎn)

• 并非為頻繁的數(shù)據(jù)更新而設(shè)計(jì)
• 如果配置不當(dāng)則容易出現(xiàn)安全漏洞
• 局限于層次數(shù)據(jù)結(jié)構(gòu)
• 可能成為單點(diǎn)故障源

7.企業(yè)安全身份互操作性剖析（IPSIE）

IPSIE工作組是OpenID基金會(huì)近期發(fā)起的一項(xiàng)倡議。雖然它本身并非一項(xiàng)標(biāo)準(zhǔn)，但I(xiàn)PSIE旨在為現(xiàn)有規(guī)范開(kāi)發(fā)具有安全設(shè)計(jì)的配置文件，以增強(qiáng)企業(yè)實(shí)施中的互操作性。

工作原理

IPSIE為現(xiàn)有的身份安全協(xié)議創(chuàng)建標(biāo)準(zhǔn)化配置文件，以確保在企業(yè)軟件即服務(wù)（SaaS）應(yīng)用程序和身份提供商之間能一致地實(shí)施。它使不同系統(tǒng)能夠以統(tǒng)一的方式進(jìn)行通信并共享安全信息，協(xié)調(diào)從用戶認(rèn)證、訪問(wèn)管理到風(fēng)險(xiǎn)檢測(cè)和會(huì)話控制等各個(gè)方面。

適用場(chǎng)景

IPSIE面向那些需要在多個(gè)軟件即服務(wù)（SaaS）應(yīng)用程序間實(shí)現(xiàn)標(biāo)準(zhǔn)化身份安全，以確保一致的認(rèn)證、訪問(wèn)控制和安全監(jiān)控的企業(yè)。

優(yōu)點(diǎn)

• 在多個(gè)軟件即服務(wù)（SaaS）應(yīng)用程序間實(shí)現(xiàn)身份安全標(biāo)準(zhǔn)化
• 得到微軟、谷歌等大型科技公司的支持
• 使用現(xiàn)有協(xié)議，而非創(chuàng)建新協(xié)議

缺點(diǎn)

• 仍處于早期開(kāi)發(fā)階段
• 需要得到廣泛采用才能發(fā)揮效力
• 局限于企業(yè)軟件即服務(wù)（SaaS）使用場(chǎng)景

參考鏈接：https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards