識別提供者 (IdP) 是一種儲存和驗證使用者身分的服務。IdP 通常是雲端託管的服務,它們通常與單一登入 (SSO) 提供者合作對使用者進行驗證。
閱讀本文後,您將能夠:
複製文章連結
識別提供者 (IdP) 儲存並管理使用者的數位身分。可以將 IdP 看做來賓名單,但用於數位和雲端託管的應用程式,而不是活動。IdP 可以透過使用者名稱-密碼組合和其他因素檢查使用者身分,或者可能只是簡單地提供一個使用者身分清單,供另一個服務提供者(如 SSO)用來檢查使用者身分。
IdP 不僅限於驗證人類使用者。從技術上講,IdP 可以對連接到網路或系統(包括電腦和其他裝置)的任何實體進行驗證。IdP 儲存的任何實體都稱為「主體」(而不是「使用者」。但是,IdP 最常用於在雲端運算中管理使用者身分。
數位使用者身分與可由電腦系統驗證的可量化因素相關聯。這些因素稱為「驗證因素」。三個驗證因素包括:
IdP 可以使用其中一個或多個因素來識別使用者。使用多個因素來驗證使用者身分的行為稱為多重要素驗證 (MFA)。
數位身分必須在某處進行追蹤,尤其是對於雲端運算,其中使用者身分決定了某人是否可以存取敏感性資料。雲端服務需要確切地知道擷取和驗證使用者身分的位置和方式。
使用者身分記錄也需要以安全的方式儲存,以確保攻擊者無法使用它們來冒充使用者。雲端識別提供者通常會採取額外的預防措施來保護使用者資料,而不專門用於儲存身分的服務可能會將其儲存在不安全的位置,例如向網際網路開放的伺服器。
單一登入服務(通常稱為「SSO」)是一個統一的位置,讓使用者一次即可登入其所有雲端服務。除了對使用者更方便之外,實作 SSO 通常還可以使得使用者登入更安全。
在大多數情況下,SSO 和 IdP 是分開的。SSO 服務使用 IdP 檢查使用者身分,但它實際上並不儲存使用者身分。SSO 提供者更像是中間人,而不是一站式商店;把它想像成一個保安公司,受雇來保護公司的安全,但實際上並不是該公司的一部分。
儘管它們是獨立的,但 IdP 是 SSO 登入過程的重要組成部分。SSO 提供者在使用者登入時透過 IdP 檢查使用者身分。完成此操作后,SSO 可以向任意數量的已連接雲端應用程式驗證使用者身分。
但是,情況並非總是如此。從理論上講,SSO 和 IdP 可以是同一個。但是,此設定對中間人攻擊更為開放,在這種攻擊中,攻擊者偽造 SAML 宣告*以獲取對應用程式的存取權限。因此,IdP 和 SSO 通常是分開的。
*SAML 宣告是從 SSO 服務傳送到任何雲端應用程式的專用訊息,用於確認使用者驗證,允許使用者存取和使用應用程式。
這一切在實際中是怎樣的?
假設 Alice 在僱主的辦公室使用她的工作筆記型電腦。Alice 需要登入公司的即時聊天應用程式,以便更好地與同事協調。她在瀏覽器上開啟一個索引標籤並載入聊天應用程式。假設她的公司使用 SSO 服務,則會在後台進行以下步驟:
此時,Alice 的瀏覽器會將她重新導向到 SSO 登入頁面。該頁面包含供 Alice 輸入使用者名稱和密碼的欄位。由於她的公司要求雙重驗證,Alice 還必須輸入一個短代碼,SSO 會自動將其傳送到她的智慧型手機。完成此操作后,她按一下「登入」。現在,將發生以下情況:
Alice 被重新導向回她的聊天應用程式。現在她可以和同事聊天了。整個過程只用了幾秒鐘。
Cloudflare Zero Trust 透過與 SSO 和 IdP 整合來管理使用者存取,從而確保內部團隊的安全。