1.認證、授權(quán)與記賬（AAA）

AAA是一種安全框架，它首先驗證用戶身份（認證），接著確定用戶被允許做什么（授權(quán)），最后跟蹤用戶的資源使用情況（記賬），以此來控制網(wǎng)絡(luò)訪問。

工作原理

AAA采用客戶端 - 服務(wù)器模型，通常通過行業(yè)標(biāo)準(zhǔn)協(xié)議進行管理。遠程認證撥入用戶服務(wù)（RADIUS）常用于網(wǎng)絡(luò)訪問。終端訪問控制器訪問控制系統(tǒng)增強版（TACACS +）用于設(shè)備管理。直徑（Diameter）協(xié)議是RADIUS的增強版，運行在處理AAA全部三個步驟的專用服務(wù)器上。

適用場景

AAA框架適用于各種規(guī)模的組織，因為它提供了一種結(jié)構(gòu)化的方法，可進行擴展并能適應(yīng)各種不同要求。

優(yōu)點

• 提升網(wǎng)絡(luò)安全性
• 集中化協(xié)議管理
• 可進行細粒度控制且具備靈活性
• 提供可擴展的訪問管理

缺點

• 要完全實施可能較為復(fù)雜
• 需要持續(xù)的維護與更新

2. OAuth 2.0

OAuth 2.0是一種授權(quán)框架，能使第三方應(yīng)用程序獲取對超文本傳輸協(xié)議（HTTP）服務(wù)上用戶賬戶的有限訪問權(quán)限。

工作原理

OAuth 2.0的工作方式是允許用戶授予第三方應(yīng)用程序?qū)ζ湓诹硪环?wù)上資源的有限訪問權(quán)限，且無需共享實際的登錄憑據(jù)。該過程涉及第三方應(yīng)用程序請求訪問權(quán)限，然后用戶通過服務(wù)的授權(quán)服務(wù)器批準(zhǔn)該請求，授權(quán)服務(wù)器隨后會向應(yīng)用程序提供一個臨時訪問令牌，該令牌僅可用于訪問特定的允許訪問的資源。

適用場景

OAuth 2.0尤其適合開發(fā)現(xiàn)代網(wǎng)絡(luò)和移動應(yīng)用程序的組織，特別是那些需要與第三方服務(wù)集成的組織。

優(yōu)點

• 允許在不暴露用戶憑據(jù)的情況下安全地共享數(shù)據(jù)
• 使用令牌而非用戶名和密碼來訪問資源
• 針對特定時長內(nèi)的特定資源提供細粒度的訪問控制

缺點

• 主要是為授權(quán)而設(shè)計，并非用于認證
• 如果實施不當(dāng)，可能容易出現(xiàn)安全漏洞

3. OpenID Connect（OIDC）

OpenID Connect是構(gòu)建在OAuth 2.0之上的一種認證協(xié)議，可實現(xiàn)單點登錄（SSO）以及標(biāo)準(zhǔn)化的用戶認證。

工作原理

OpenID Connect的工作方式是將想要訪問應(yīng)用程序的用戶重定向到身份提供商（如谷歌或微軟）那里，由其驗證用戶身份。在成功認證后，身份提供商將向應(yīng)用程序發(fā)回一個包含用戶身份信息的安全令牌，使用戶無需創(chuàng)建新憑據(jù)即可訪問服務(wù)。

適用場景

OpenID Connect對于從頭開始構(gòu)建新應(yīng)用程序的組織來說是絕佳選擇，尤其是針對移動平臺的應(yīng)用程序開發(fā)組織。

優(yōu)點

• 將認證和授權(quán)相結(jié)合。
• 支持移動應(yīng)用程序、應(yīng)用程序編程接口（API）以及基于瀏覽器的應(yīng)用程序。
• 使用JSON Web令牌，更便于實施。

缺點

• 需要信任第三方認證服務(wù)
• 如果身份提供商出現(xiàn)停機情況，可能會面臨服務(wù)中斷問題
• 一旦憑證被泄露，單個憑證可能會影響對多個服務(wù)的訪問

4.安全斷言標(biāo)記語言（SAML）

SAML是一種基于可擴展標(biāo)記語言（XML）的用于交換認證和授權(quán)數(shù)據(jù)的標(biāo)準(zhǔn)。

工作原理

SAML通過實現(xiàn)身份提供商（如一個組織的主登錄系統(tǒng)）與第三方應(yīng)用程序之間的安全通信來發(fā)揮作用。身份提供商通過數(shù)字簽名的XML消息向服務(wù)提供商確認用戶身份。

適用場景

SAML非常適合大型企業(yè)以及擁有現(xiàn)有XML基礎(chǔ)設(shè)施的組織，特別是那些需要在多個內(nèi)部應(yīng)用程序間實現(xiàn)單點登錄的組織。

優(yōu)點

• 為企業(yè)環(huán)境中的單點登錄提供廣泛的安全性保障
• 支持詳細的用戶信息交換
• 在大型組織和政府機構(gòu)中已經(jīng)很成熟

缺點

• 復(fù)雜的XML模式可能實施起來頗具挑戰(zhàn)性
• 不太適合移動應(yīng)用程序

5.跨域身份管理系統(tǒng)（SCIM）

SCIM是一種用于自動實現(xiàn)跨域用戶賬號配置的開放標(biāo)準(zhǔn)。與處理認證的SAML和OIDC不同，SCIM負責(zé)管理用戶配置。SCIM可與SAML和OIDC協(xié)同工作，以提供全面的身份管理。

工作原理

SCIM會自動在不同域或系統(tǒng)之間同步用戶賬號信息。當(dāng)源系統(tǒng)中發(fā)生變更時，SCIM會自動更新目標(biāo)系統(tǒng)中相應(yīng)的用戶賬號，從而無需手動進行賬號管理。

適用場景

對于有著復(fù)雜用戶管理的組織來說，SCIM很有價值，特別是那些需要應(yīng)對員工頻繁流動或訪問要求變化的組織。

優(yōu)點

• 簡化用戶配置和注銷流程
• 減少用戶管理中的人為錯誤

缺點

• 主要側(cè)重于用戶生命周期管理，而非認證或授權(quán)。

6.輕量級目錄訪問協(xié)議（LDAP）

LDAP是一種軟件協(xié)議，有助于在網(wǎng)絡(luò)上查找有關(guān)組織、個人和資源的信息。

工作原理

LDAP通過提供一種集中式目錄服務(wù)來發(fā)揮作用，有關(guān)用戶、組織和資源的信息以層次樹結(jié)構(gòu)存儲在其中，可對其進行查詢。當(dāng)用戶或應(yīng)用程序需要查找信息或進行認證時，LDAP會與目錄服務(wù)器建立安全連接，驗證用戶憑據(jù)，并根據(jù)用戶授權(quán)級別返回所請求的信息。

適用場景

LDAP的主要用途是集中式認證和目錄服務(wù)。

優(yōu)點

• 集中進行認證和用戶管理
• 是一種輕量級且高效的協(xié)議
• 是一項得到廣泛支持的行業(yè)標(biāo)準(zhǔn)

缺點

• 并非為頻繁的數(shù)據(jù)更新而設(shè)計
• 如果配置不當(dāng)則容易出現(xiàn)安全漏洞
• 局限于層次數(shù)據(jù)結(jié)構(gòu)
• 可能成為單點故障源

7.企業(yè)安全身份互操作性剖析（IPSIE）

IPSIE工作組是OpenID基金會近期發(fā)起的一項倡議。雖然它本身并非一項標(biāo)準(zhǔn)，但IPSIE旨在為現(xiàn)有規(guī)范開發(fā)具有安全設(shè)計的配置文件，以增強企業(yè)實施中的互操作性。

工作原理

IPSIE為現(xiàn)有的身份安全協(xié)議創(chuàng)建標(biāo)準(zhǔn)化配置文件，以確保在企業(yè)軟件即服務(wù)（SaaS）應(yīng)用程序和身份提供商之間能一致地實施。它使不同系統(tǒng)能夠以統(tǒng)一的方式進行通信并共享安全信息，協(xié)調(diào)從用戶認證、訪問管理到風(fēng)險檢測和會話控制等各個方面。

適用場景

IPSIE面向那些需要在多個軟件即服務(wù)（SaaS）應(yīng)用程序間實現(xiàn)標(biāo)準(zhǔn)化身份安全，以確保一致的認證、訪問控制和安全監(jiān)控的企業(yè)。

優(yōu)點

• 在多個軟件即服務(wù)（SaaS）應(yīng)用程序間實現(xiàn)身份安全標(biāo)準(zhǔn)化
• 得到微軟、谷歌等大型科技公司的支持
• 使用現(xiàn)有協(xié)議，而非創(chuàng)建新協(xié)議

缺點

• 仍處于早期開發(fā)階段
• 需要得到廣泛采用才能發(fā)揮效力
• 局限于企業(yè)軟件即服務(wù)（SaaS）使用場景

參考鏈接：https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards