什麼是身分識別提供者 (IdP)?

識別提供者 (IdP) 是一種儲存和驗證使用者身分的服務。IdP 通常是雲端託管的服務,它們通常與單一登入 (SSO) 提供者合作對使用者進行驗證。

學習目標

閱讀本文後,您將能夠:

  • 定義識別提供者 (IdP)
  • 瞭解為什麼 IdP 很重要
  • 瞭解 IdP 在使用者驗證流程中的位置

相關內容


想要繼續瞭解嗎?

訂閱 TheNET,這是 Cloudflare 每月對網際網路上最流行見解的總結!

請參閱 Cloudflare 的隱私權政策,了解我們如何收集和處理您的個人資料。

複製文章連結

什麼是身分識別提供者 (IdP)?

識別提供者 (IdP) 儲存並管理使用者的數位身分。可以將 IdP 看做來賓名單,但用於數位和雲端託管的應用程式,而不是活動。IdP 可以透過使用者名稱-密碼組合和其他因素檢查使用者身分,或者可能只是簡單地提供一個使用者身分清單,供另一個服務提供者(如 SSO)用來檢查使用者身分。

IdP 不僅限於驗證人類使用者。從技術上講,IdP 可以對連接到網路或系統(包括電腦和其他裝置)的任何實體進行驗證。IdP 儲存的任何實體都稱為「主體」(而不是「使用者」。但是,IdP 最常用於在雲端運算中管理使用者身分。

什麼是使用者身分?

數位使用者身分與可由電腦系統驗證的可量化因素相關聯。這些因素稱為「驗證因素」。三個驗證因素包括:

  • 知道的內容:您知道的資訊,例如使用者名稱和密碼
  • 擁有的物品:您擁有的物品,例如智慧型手機
  • 固有特質:您的特質,例如指紋或視網膜掃描

IdP 可以使用其中一個或多個因素來識別使用者。使用多個因素來驗證使用者身分的行為稱為多重要素驗證 (MFA)

為什麼需要 IdP?

數位身分必須在某處進行追蹤,尤其是對於雲端運算,其中使用者身分決定了某人是否可以存取敏感性資料。雲端服務需要確切地知道擷取和驗證使用者身分的位置和方式。

使用者身分記錄也需要以安全的方式儲存,以確保攻擊者無法使用它們來冒充使用者。雲端識別提供者通常會採取額外的預防措施來保護使用者資料,而不專門用於儲存身分的服務可能會將其儲存在不安全的位置,例如向網際網路開放的伺服器。

IdP 如何與 SSO 服務搭配?

單一登入服務(通常稱為「SSO」)是一個統一的位置,讓使用者一次即可登入其所有雲端服務。除了對使用者更方便之外,實作 SSO 通常還可以使得使用者登入更安全。

在大多數情況下,SSO 和 IdP 是分開的。SSO 服務使用 IdP 檢查使用者身分,但它實際上並不儲存使用者身分。SSO 提供者更像是中間人,而不是一站式商店;把它想像成一個保安公司,受雇來保護公司的安全,但實際上並不是該公司的一部分。

儘管它們是獨立的,但 IdP 是 SSO 登入過程的重要組成部分。SSO 提供者在使用者登入時透過 IdP 檢查使用者身分。完成此操作后,SSO 可以向任意數量的已連接雲端應用程式驗證使用者身分。

但是,情況並非總是如此。從理論上講,SSO 和 IdP 可以是同一個。但是,此設定對中間人攻擊更為開放,在這種攻擊中,攻擊者偽造 SAML 宣告*以獲取對應用程式的存取權限。因此,IdP 和 SSO 通常是分開的。

*SAML 宣告是從 SSO 服務傳送到任何雲端應用程式的專用訊息,用於確認使用者驗證,允許使用者存取和使用應用程式。

這一切在實際中是怎樣的?

假設 Alice 在僱主的辦公室使用她的工作筆記型電腦。Alice 需要登入公司的即時聊天應用程式,以便更好地與同事協調。她在瀏覽器上開啟一個索引標籤並載入聊天應用程式。假設她的公司使用 SSO 服務,則會在後台進行以下步驟:

  • 聊天應用程式要求 SSO 對 Alice 進行驗證。
  • SSO 看到 Alice 尚未登入。
  • SSO 會提示 Alice 登入。

此時,Alice 的瀏覽器會將她重新導向到 SSO 登入頁面。該頁面包含供 Alice 輸入使用者名稱和密碼的欄位。由於她的公司要求雙重驗證,Alice 還必須輸入一個短代碼,SSO 會自動將其傳送到她的智慧型手機。完成此操作后,她按一下「登入」。現在,將發生以下情況:

  • SSO 向 Alice 公司使用的 IdP 傳送 SAML 請求。
  • IdP 向 SSO 傳送 SAML 回應,確認 Alice 的身分。
  • SSO 將 SAML 宣告傳送到 Alice 最初想要使用的聊天應用程式。

Alice 被重新導向回她的聊天應用程式。現在她可以和同事聊天了。整個過程只用了幾秒鐘。

Cloudflare 如何與識別提供者整合?

Cloudflare Zero Trust 透過與 SSO 和 IdP 整合來管理使用者存取,從而確保內部團隊的安全。