标识和访问管理 (IAM) 基本概念

本文提供基本概念和术语，帮助你了解标识和访问管理 (IAM)。

什么是标识和访问管理 (IAM)？

标识和访问管理可确保正确的人员、计算机和软件组件能够在正确的时间访问正确的资源。首先，人员、计算机或软件组件需要证明其所声称的身份。然后，该人员、计算机或软件组件被允许或拒绝访问或使用某些资源。

下面是一些基本概念，可帮助你了解标识和访问管理：

数字标识是表示计算机系统中的人员、软件组件、计算机、资产或资源的唯一标识符或特性的集合。标识符可以是：

标识用于对资源的访问权限进行身份验证和授权、与他人通信、执行事务和其他目的。

概括而言，有三种类型的标识：

身份验证是一个质询的过程，它要求人员、软件组件或硬件设备提供凭据以验证其身份或证明它们的身份与它们所声称的身份相符。身份验证通常需要使用凭据（例如用户名和密码、指纹或证书）。身份验证有时缩写为 AuthN。

多重身份验证 (MFA) 是一种安全措施，它要求用户提供多个证据来验证其身份，例如：

单一登录 (SSO) 允许用户对其标识进行一次身份验证，然后在访问依赖于同一标识的各种资源时以无提示方式进行身份验证。完成身份验证后，IAM 系统就会成为标识真实性的来源，向用户可用的其他资源进行证明。它消除了登录到多个单独的目标系统的需要。

授权过程会验证用户、计算机或软件组件是否已被授予对某些资源的访问权限。授权有时缩写为 AuthZ。

术语“身份验证”和“授权”有时可以互换使用，因为它们对用户来说通常是一种体验。而它们实际上是两个单独的过程：

Diagram that shows authentication and authorization side by side.

下面是身份验证和授权的快速概述：

身份验证	授权
可被视为门卫，仅允许提供有效凭据的人员进入。	可被视为警卫，确保只有具有适当许可的人才能进入某些区域。
验证用户、计算机或软件的身份是否与它们所声称的身份相符。	确定用户、计算机或软件是否被允许访问特定资源。
质询用户、计算机或软件，要求出示可验证凭据（例如密码、生物识别标识符或证书）。	确定用户、计算机或软件具有的访问级别。
在授权之前完成。	在身份验证成功后完成。
信息在 ID 令牌中传输。	信息在访问令牌中传输。
通常使用 OpenID Connect (OIDC)（基于 OAuth 2.0 协议）或 SAML 协议。	通常使用 OAuth 2.0 协议。

有关更多详细信息，请阅读身份验证与授权。

假设想在旅馆过夜。你可以将身份验证和授权视为酒店大楼的安保系统。用户是想要入住酒店的人，资源是人们想要使用的房间或区域。酒店工作人员是另一种类型的用户。

如果你住在这个酒店，你会先前往前台开始“身份验证过程”。你出示身份证和信用卡，前台会将你的 ID 与线上预订信息进行比对。验证完你是谁后，前台会授予你前往分配给你的房间的权限。你会获得一张钥匙卡，现在可以进入你的房间。

Diagram that shows a person showing identification to get a hotel keycard.

酒店客房和其他区域的门都装有钥匙卡传感器。在传感器前轻扫钥匙卡是“授权过程”。钥匙卡仅允许你打开你被允许进入的房间的门，例如酒店房间和酒店健身房。如果你轻扫钥匙卡以进入任何其他酒店客房，你的访问就会被拒绝。

个人权限（例如前往健身房和特定客房）会收录到角色中，这些角色可被授予个人用户。当你入住酒店时，你会被授予酒店客人的角色。酒店客房服务人员将被授予酒店客房服务角色。此角色允许进入所有酒店客房（但仅限上午 11 点到下午 4 点之间）、洗衣房和每个楼层的物资储藏室。

Diagram that shows a user getting access to a room with a keycard.

标识提供者创建、维护和管理标识信息，同时提供身份验证、授权和审核服务。

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

利用新式身份验证，所有服务（包括所有身份验证服务）都由中央标识提供者提供。用于向服务器对用户进行身份验证的信息由标识提供者集中存储和管理。

利用中央标识提供者，组织可以建立身份验证和授权策略、监视用户行为、识别可疑活动，并减少恶意攻击。

Microsoft Entra ID 是基于云的标识提供者的一个示例。