什么是身份提供程序 (IDP)?
身份提供程序 (IdP) 是创建、存储和管理数字身份的系统。IdP 可直接对用户进行身份验证,也可以向第三方服务提供程序(应用程序、网站或其他数字服务)提供身份验证服务。
简而言之,IdP 可提供用户身份验证即服务。例如,您可以使用 Google 帐户凭据登录 Spotify。在此,您的 Google 登录是 IdP,Spotify 是服务提供程序 (SP)。例如,任何需要登录的网站都使用 IdP 对用户进行身份验证。密码或其他身份验证因素可用于对用户进行身份验证。
从 IdP 的角度来看,用户统称为委托人。委托人可以是个人或设备。IdP 可以对任何实体(包括设备)进行身份验证。IdP 旨在跟踪这些实体,了解在何处以及如何检索委托人身份,以确定个人或设备是否可以访问敏感数据。
IdP 的工作流程是怎样的?
IdP 可方便用户使用其身份访问所有资源,例如电子邮件和公司文件管理系统。
IdP 工作流程包括三个关键步骤:
- 请求:用户需输入某种形式的身份,例如用户名和密码或生物识别验证。
- 验证:IdP 会进行检查,以确定用户是否具有访问权限及其有权访问的内容。
- 解锁:用户可以访问其获权访问的特定资源。
什么是服务提供程序 (SP)?如何与 IdP 配合使用?
服务提供程序是提供正被访问服务的实体,而 IdP 是创建、存储和管理身份以及可对用户进行身份验证的实体。
SP 和 IdP 都是联合身份管理 (FIM) 的一部分,使用户能够利用相同的验证方法访问不同的资源。FIM 通过 SAML、OAuth、OpenID Connect (OIDC) 和 SCIM 等标准协议实现。
IdP 通过跨域共享身份和对用户进行身份验证与 SP 建立信任关系。例如,当用户尝试访问任何第三方应用程序 (SP) 时,请求将发送至 IdP,如 Entrust 身份即服务 (IDaaS)。IdP 对用户身份进行验证,并使用 SAML 断言向 SP 表明用户已通过验证并有权访问服务。
拥有 IdP 有何益处?
益处如下:
- 更强大的身份验证:IdP 可提供工具和解决方案,以确保跨应用程序、网站和其他数字平台(例如,基于风险的自适应多重身份验证 (MFA))的安全访问。
- 简化用户管理:大多数 IdP 提供的另一种解决方案是单点登录 (SSO),这为用户省去了创建并维护多个用户名和密码的麻烦。
- 自备身份 (BYOI):借助 BYOI,用户可使用其已有的身份凭据(例如 Google、Outlook 等)访问服务,而不必创建新的身份凭据。 这进一步提高了登记和管理用户的效率,同时仍能保持较高的安全性。
- 更好的可见性:IdP 将保存所有访问事件的集中审核记录,从而更容易证明谁在何时访问了哪些资源。
- 减轻身份管理负担:SP 不需要管理用户身份,因为这是 IdP 的责任。
身份提供程序 (IdP) 类型
身份提供程序主要有两种类型:安全断言标记语言 (SAML) 和单点登录 (SSO)。
SAML 是一种基于 XML 的标记语言,用于通过身份联合进行身份验证。SAML 是一项十分普及的协议,受到各种服务提供商应用程序(例如 Office 365、Salesforce、Webex、ADP 和 Zoom)的支持。
SSO 是一种访问管理功能,使用户能够利用一组身份凭证登录多个账户、软件、系统和资源。例如,当员工输入凭证以登录其工作站时,他们也会通过身份验证访问其应用程序、资源和基于云的软件。
身份提供程序 (IdP) 使用案例
身份提供程序 (IdP) 可以帮助解决企业面临的多个管理难题。有了身份服务提供程序,实际上消除了冗长的用户名和密码列表,简化了管理,如果出现问题,还会有详细的访问尝试记录。
大多数消费者都熟悉一些应用程序,这些应用程序使他们能够通过点击将该账户连接至用户 Facebook 或 Google 账户的按钮,从而选择登录。在商业中,此概念相似,但有一些额外的好处。首先,通过对所有访问事件的审计跟踪简化合规性。其次,通过缩短服务台重置密码的时间,企业可以将 IT 成本降低 20% 以上。
Entrust IDaaS 是满足您业务需求的适当 IdP 解决方案吗?
是的。Entrust 身份即服务 (IDaaS) 是一种基于云的身份和访问管理 (IAM) 解决方案,包括多重身份验证 (MFA)、基于凭据的免密访问和单点登录 (SSO)。IDaaS 提供详尽的 IAM 功能,是通过零信任方法最大程度保障安全性的最佳 IdP。
什么是身份和访问管理?
身份和访问管理 (IAM) 是由安全策略和技术组成的框架,可确保适当实体能够在适当的时间访问适当资源。
实体可以是个人或设备。资源包括应用程序、网络、基础架构和数据。IAM 可应用于员工、消费者和公民用例。
IAM 基于建立和维护可信数字身份的前提。借助 IAM,组织能够对实体进行身份验证和授权,授予对适当资源的安全访问权限。随着时间的推移,组织还能借助基于风险的自适应身份验证维持信任,在条件允许的情况下提供升级挑战。