身分識別和存取權管理 (IAM) 基本概念

本文提供基本概念和術語，協助您了解身分識別與存取權管理 (IAM)。

什麼是身分識別和存取權管理 (IAM)？

身分識別和存取權管理可確保正確的人員、機器和軟體元件在正確的時間存取正確的資源。 首先，人員、機器或軟體元件必須證明他們是誰或聲稱的身分。 然後，系統會允許或拒絕人員、機器或軟體元件存取或使用特定資源。

以下是一些基本概念，可協助您了解身分識別和存取權管理：

身分識別

數位身分識別是在電腦系統中代表某人、軟體元件、機器、資產或資源的唯一識別碼或屬性集合。 識別碼可以是：

• 電子郵件地址
• 登入認證 (使用者名稱/密碼)
• 銀行帳戶號碼
• 政府簽發的識別碼
• MAC 位址或 IP 位址

身分識別可用來驗證和授權存取資源、與其他人員通訊、執行交易和其他用途。

概括而言，身分識別分成三種類型：

• 人類身分識別代表人，例如員工 (內部工作者和第一線工作者) 和外部使用者 (客戶、顧問、廠商和合作夥伴)。
• 工作負載身分識別代表軟體工作負載，例如應用程式、服務、指令碼或容器。
• 裝置身分識別代表裝置，例如桌上型電腦、手機、IoT 感應器及 IoT 受控裝置。 裝置身分識別與人類身分識別不同。

驗證

驗證是查問人員、軟體元件或硬體裝置的認證程序，以便驗證其身分識別，或證明他們是誰或他們所聲稱的身分。 驗證通常需要使用認證 (例如使用者名稱和密碼、指紋、憑證或一次性密碼)。 驗證 (Authentication) 有時會簡稱為「AuthN」。

多重要素驗證 (MFA) 是一項安全性措施，要求使用者提供一個以上的證據來驗證其身分識別，例如：

• 他們知道的東西，例如密碼。
• 他們擁有的東西，例如徽章或安全性權杖。
• 他們是什麼，例如生物特徵辨識 (指紋或臉部)。

單一登入 (SSO) 允許使用者一次性驗證身分識別，然後在存取倚賴同一身分識別的各種資源時自動進行驗證。 通過驗證後，IAM 系統將可作為使用者可使用之其他資源的身分識別真實性來源。 使用者無需再登入多個獨立的目標系統。

授權

授權會驗證使用者、機器或軟體元件是否已獲得特定資源的存取權。 授權 (Authorization) 有時會被簡稱為「AuthZ」。

比較驗證與授權

驗證和授權詞彙有時會交替使用，因為它們通常看起來就像是使用者的單一體驗。 但其實是兩種不同的程序：

• 驗證會證明使用者、機器或軟體元件的身分識別。
• 授權會授與或拒絕使用者、機器或軟體元件對特定資源的存取。

以下是驗證和授權的快速總覽：

如需詳細資訊，請參閱驗證與授權。

範例

假設您想要在旅館待一晚。 您可以將驗證和授權想成是旅館大樓的安全性系統。 使用者是想要在旅館住宿的人，資源是旅客想要使用的房間或區域。 旅館工作人員是另一種類型的使用者。

如果您要在旅館住宿，請先前往服務台，開始「驗證程序」。 您要顯示身分證和信用卡，接待人員會比對您的身分證號和網路預約資料。 在接待人員確認您是誰之後，接待人員會授與您權限以使用獲指派的房間。 您已取得房卡，現在可以前往您的房間。

旅館房間和其他區域的門有房卡感應器。 在感應器前面刷一下房卡是「授權程序」。 房卡只能讓您打開有權使用的房間房門，例如您的旅館客房和旅館健身房。 如果您刷房卡進入任何其他旅館客房，會遭到拒絕存取。

個別權限，例如使用健身房和特定存取練習室和特定客房，會納入可授與個別使用者的角色。 當您住在旅館時，您會被授與旅館顧客角色。 旅館客房服務人員會被授與旅館客房服務角色。 這個角色允許進入所有旅館客房 (但僅限上午 11 點到下午 4 點之間)、洗衣房，以及每個樓層的供應櫃。

識別提供者

識別提供者可建立、維護及管理身分識別資訊，同時提供驗證、授權和稽核服務。

透過新式驗證，所有服務 (包括所有驗證服務) 都是由中央身分識別提供者所提供。 身分識別提供者會集中儲存及管理使用者的伺服器驗證資訊。

有了中央身分識別提供者，組織就可以建立驗證和授權原則、監視使用者行為、找出可疑的活動，以及減少惡意攻擊。

Microsoft Entra 是雲端式識別提供者的範例。 其他範例包括 X、Google、Amazon、LinkedIn 和 GitHub。

後續步驟

• 若要深入了解，請參閱身分識別和存取權管理簡介。
• 深入了解單一登入 (SSO)。
• 深入了解多重要素驗證 (MFA)。