在现实世界中,您必须出示政府颁发的身份证件来证明您的身份。 这可以是护照或驾驶执照,用于验证您的姓名、居住地和其他信息。 然而,这些 ID 在互联网上是无效的。 相反,最终用户需要数字身份。 那么,还有什么比与身份提供商合作更好的方法来为您的公司生成唯一 ID呢? 因此,在这篇文章中,我们将定义 AWS 中的身份提供商,列出联合身份的一些示例,并注意服务与身份提供商之间的差异。
什么是身份提供商
身份提供商 (IdP) 是一个系统组件,它向最终用户或连接互联网的设备提供一组登录凭据,以确保该实体在众多平台、应用程序和网络中是其声称的身份或身份。 当第三方网站鼓励最终用户使用其 Google 帐户登录时,Google Sign-In 将充当身份提供商。
联合身份是可以跨平台、应用程序和网络使用的单一、一致的身份。 IDP 的作用是保护注册凭据的安全,并通过翻译服务将其提供给不同的目录服务,以维护联合身份。 如果 IdP 提供端点身份验证或用户身份验证,则它也称为身份验证即服务 (AaaS) 提供商。
目录服务(例如 Microsoft 的 Active Directory (AD))履行与身份提供者相同的基本角色。 它的使用允许信息安全 (infosec) 管理员组织和管理最终用户、数字设备和网络资源的身份,使他们能够通过专有网络安全可靠地连接。 网络资源的范围可以从软件应用程序和支持它们的数据库到实际的物联网 (IoT) 设备,例如电话、打印机、传感器和执行器。
为什么需要 IdP?
当用户拥有访问组织系统或云服务的帐户时,必须在某处跟踪用户的数字 ID。 用户身份(尤其是在云计算中)指定可以访问哪些应用程序功能或数据。 云服务必须有可靠的方法来招募新用户并对其进行身份验证。
此外,必须安全地保存用户身份记录,以便攻击者无法破坏它们并利用它们来冒充用户。 尽管云身份提供商经常采取额外的措施来保护用户数据,但他们的系统可能并非旨在保存用户数据和凭据。 他们可能会无意中将数据存储在不安全的区域,例如可通过互联网访问的服务器。 IdP 确保用户数据得到适当管理、安全存储并防止未经授权的访问。
身份提供商如何工作?
IdP 使用安全断言标记语言 (SAML) 等语言和开放授权 (OAuth) 等数据格式相互通信以及与其他 Web 服务提供商通信。
IdP 负责传输三种类型的消息:指示请求设备是谁或声明设备是什么的身份验证断言、包含发出连接请求时所有相关数据的归属断言以及指示是否是用户或请求的授权断言。设备可以访问在线资源。
这些断言通常是 XML 文档,提供向服务提供商验证用户身份所需的所有信息。
使用身份提供商的安全优势
用户受益于使用身份提供商,因为他们不再需要记住多次登录。 从服务提供商的角度来看,这种策略可能更加安全,原因如下:
- IdP 维护所有访问事件的集中审计跟踪,从而可以轻松展示谁在何时使用哪些资源。
- IdP 减轻了用户通过单点登录 (SSO) 创建和管理多个身份和密码的负担。 当您保留并重新输入许多密码时,就会出现密码疲劳。 密码疲劳既危险又不方便。 用户必须登录或记住新密码(例如将其写入某处)的次数越多,攻击者窃取该密码的机会就越大。
- 服务提供商不负责保护个人身份信息 (PII),因为这是 IdP 的职责。
身份提供商列表
以下是流行的身份提供商的列表:
- 谷歌:Google Sign-In 是一项身份提供商服务,允许用户使用其 Google 帐户登录网站和应用程序。
- Facebook:Facebook Login 是一项身份提供商服务,允许用户使用其 Facebook 个人资料登录网站和应用程序。
- 微软:Microsoft Azure Active Directory 是 Microsoft 提供的身份提供商服务,允许用户使用其 Microsoft 帐户登录网站和应用程序。
- 高层云:Okta 是一种基于云的身份服务,可帮助企业管理 Web 和移动应用程序的用户身份验证和权限。
- OneLogin:OneLogin 是一个基于云的身份提供商,提供具有单点登录 (SSO) 和多重身份验证 (MFA) 功能的 Web 和移动应用程序。
- Auth0:Auth0 是一个基于云的身份提供商,提供 Web 和移动应用程序身份验证和授权。
- 平身份:Ping Identity 是一家基于云的身份提供商,提供企业身份和访问管理解决方案。
这些只是市场上身份提供商的几个例子。 许多替代身份提供商可能适合您的用例,具体取决于您组织的需求。
服务提供商与身份提供商
联合身份管理范例严重依赖身份提供商 (IdP) 和服务提供商 (SP)。 虽然两者对于管理用户身份都很重要,但两者之间存在一些关键区别。
IdP 负责对用户进行身份验证和授权,并为他们提供对各种服务提供商的访问权限。 另一方面,SP 是用户想要使用的基于 Web 的应用程序或服务。 让我们以身份提供商为例:Google 是一个 IdP,为想要访问 Gmail、Google Drive 和 Google Docs 等服务的用户提供身份验证服务。 在这种情况下,各种 Google 服务将被视为 SP。
IdP 范例具有巨大的优势,即用户无需为他们希望访问的每项服务创建不同的帐户。 个人可以使用现有的 IdP 凭据来访问多项服务,而无需记住多个用户名和密码。
IdP 方法的另一个好处是提高安全性和对用户身份的控制。 IdP 模型不依赖单个 SP 来管理用户身份,而是集中化身份管理,赋予用户更多自主权并降低数据泄露风险。
AWS 什么是身份提供商?
AWS (Amazon Web Services) 中的身份提供商 (IdP) 是一项对用户进行身份验证并向 AWS 提供有关其身份的信息的服务。 AWS 支持各种身份源,包括 Google、Facebook 和 Amazon 等社交身份提供商,以及 Microsoft Active Directory、Okta 和 Ping Identity 等企业身份提供商。
当用户尝试访问AWS资源或服务时,AWS的IAM服务可以配置为使用IdP来验证用户的身份。 IdP 验证用户的身份并颁发包含用户名和组成员身份等信息的安全令牌。 然后,AWS 使用安全令牌来授权用户访问所请求的资源或服务。
将 IdP 与 AWS 结合使用具有多项优势,包括:
- 集中管理:IdP 使公司能够在一个地方管理用户身份和访问控制策略,从而更轻松地实施安全策略并管理各种 AWS 账户和服务的权限。
- SSO:IdP 可以提供 SSO 功能,允许用户登录一次并访问各种 AWS 账户和服务,而无需多次输入其凭证。
- 增强的安全性:IdP 添加了额外的身份验证和权限层,有助于防止非法访问 AWS 资源。
总体而言,身份提供商 (IdP) 是 AWS Identity and Access Management (IAM) 的重要组成部分,可帮助企业集中管理用户身份和访问控制策略。
联合身份提供商
提供联合身份服务以实现跨多个公司或域的单点登录 (SSO) 的身份提供商 (IdP) 称为联合身份提供商 (IdP)。 换句话说,联合 IdP 使用户能够一次性验证其身份,然后跨多个组织或域访问许多资源或服务,而无需再次登录。
当许多公司或域需要共享资源或在项目上进行协作,同时保留其身份管理系统时,通常会使用联合 IdP。 例如,公司可以利用联合 IdP 让其员工访问合作伙伴公司提供的资源或服务,而无需为每项服务创建单独的帐户或密码。
联合 IdP 使用安全断言标记语言 (SAML) 和 OpenID Connect (OIDC) 等标准协议在公司或域之间分发身份信息。 当用户尝试访问另一个组织或域提供的资源或服务时,联合 IdP 会验证用户的身份并生成一个安全令牌,其中包含有关用户身份以及所请求资源的信息。 随后,安全令牌被传递给资源或服务提供商,资源或服务提供商使用它来验证用户的访问。
Microsoft Active Directory 联合身份验证服务 (ADFS)、Okta、PingFederate 和 Shibboleth 是联合 IdP 的一些示例。 联合身份提供商 (IdP) 对于促进企业或域之间安全、无摩擦的合作和资源共享至关重要。
使用联合 IdP 有哪些好处?
使用联合身份提供商 (IdP) 具有多种优势,包括:
- 简化的用户体验:联合 IdP 允许用户进行一次身份验证,然后访问不同公司或域的大量资源或服务,而无需再次登录,从而实现流畅且简化的用户体验。
- 提高安全性:联合 IdP 可以通过提供集中式身份验证和授权系统来提高安全性,该系统能够在众多资源或服务中实施一致的访问控制策略。
- 减少管理开销:使用联合 IdP 时,组织无需为每个资源或服务创建和管理用户帐户和密码,从而减少管理开销。
- 更好的协作:联合 IdP 允许不同公司或域之间安全、顺利地协作,使合作伙伴能够共享资源并更有效地共同运营。
- 遵守法规:《通用数据保护条例》(GDPR) 和《健康保险流通与责任法案》(HIPAA) 要求企业实施有效的访问控制和身份管理系统。 通过提供集中且可审核的系统来管理用户身份和访问控制策略,联合 IdP 可以帮助企业遵守这些标准。
使用联合身份提供商 (IdP) 可以带来多种好处,包括更高的安全性、降低的管理成本、改进的协作以及遵守法律和标准。
选择数字身份提供商时要考虑的因素
#1. 一致的客户服务
当依赖身份提供商时,拥有 24/7 客户服务以促进可访问性并防止安全漏洞至关重要。 客户服务反应迟钝可能会导致难以解决访问问题并降低员工和客户的工作效率。 当您怀疑发生安全事件时,您必须能够快速获得 IdP 帮助。
#2. 高保证 IdP
当用户注册新帐户时,高可信度数字身份提供商会确保他们的身份符合适合政府和重要公共部门机构的高标准。 当 IdP 提供帐户访问权限时,它可以保证数字 ID 符合这些标准。 具有嵌入式生物识别技术、强密码、二维码和其他方式的智能设备可以帮助实现这一目标。
#3。 卓越的认证
选择支持多重身份验证 (MFA) 的 IdP。 智能 IdP 解决方案超越了密码,为用户提供了多种简单的方式来识别自己的身份,例如推送通知、一次性密码和生物识别。
#4。 全球覆盖
选择覆盖全球的 IdP 解决方案至关重要。 这确保需要您服务的员工、客户或第三方可以从世界任何地方访问它们。 全球 IdP 还可以在多个司法管辖区存储个人数据和验证用户身份的法律和合规方面提供帮助。
什么是身份提供商的示例?
Google Sign-In 是身份提供商 (IdP) 的一个示例。 用户可以使用 Google Sign-In 使用其 Google 凭据登录网站和应用程序。 当用户尝试登录使用 Google 登录的网站或应用程序时,他们会被发送到 Google 的身份验证服务,并要求提供其 Google 凭据(例如电子邮件地址和密码)。
一旦用户的身份得到验证,Google 就会生成一个安全令牌,其中包含有关用户身份和权利的信息。 然后,安全令牌返回到网站或应用程序,用于验证用户的访问权限。
SSO 的身份提供商是什么?
用于单点登录 (SSO) 的身份提供商 (IdP) 由所使用的 SSO 系统或解决方案确定。 SSO 是一种允许用户进行一次身份验证,然后无需再次登录即可访问各种资源或服务的系统。 SSO 系统通常使用身份提供商来验证用户的身份并生成用于访问各种站点或服务的安全令牌。
身份提供商有哪些不同类型?
各种形式的身份提供商 (IdP) 可用于促进一系列设置中的安全身份验证和授权。 一些最常见的 IdP 类型如下:
- 社交身份提供商
- 企业身份提供商
- 联合身份提供商
- 基于云的身份提供商
- 生物识别身份提供商
- 自主主权身份提供商
另一方面,身份提供商的选择取决于应用程序或服务的特定用例和安全要求。
我可以创建我的身份提供商吗?
是的,只要您拥有必要的技术专业知识和资源,您就可以构建自己的身份提供商 (IdP)。 另一方面,创建您自己的 IdP 可能是一项复杂且困难的操作,需要完全了解身份验证协议、安全最佳实践和软件开发。
Microsoft 是身份提供商吗?
是的,Microsoft Azure Active Directory (Azure AD) 提供身份提供商 (IdP) 服务。 Azure AD 是一种基于云的身份和访问管理解决方案,支持 Web 和移动应用程序身份验证和授权。
结论
选择并集成正确的身份提供商可能会给您的公司带来长期利益。 它不仅简化了用户的登录过程,而且还允许您跟踪客户的帐户、数据和密码,而无需雇用额外的员工。
相关文章
参考资料
