身份与访问
联合身份
别称: 身份联邦, 身份联合
定义
一种架构,不同组织或安全域通过共同信任的身份提供方,让用户使用同一份身份跨域访问各种系统。
联合身份通过在身份提供方 (IdP) 与一个或多个服务提供方 (SP) 之间建立信任关系,把用户在多个独立安全域中的身份关联起来。用户在 IdP 完成认证后,SP 接收 SAML 断言或 OIDC 令牌即可授权访问,而不必管理自有凭据。常见场景包括企业到 SaaS 的联合、合作伙伴间的 B2B 联合,以及 "使用 Google/Apple/Microsoft 登录" 等社交登录。联合身份减少凭据散落、简化离职流程并集中实施 MFA,但会把信任高度集中在 IdP,因此必须谨慎管理元数据、签名密钥和属性映射。
示例
- 员工通过企业 IdP 经由 SAML 访问第三方 SaaS 分析平台。
- 用户在第三方网站使用 "使用 Google 登录" 通过 OpenID Connect 完成认证。
相关术语
单点登录 (SSO)
一种认证方式,用户在可信的身份提供方完成一次登录后,即可访问多个应用而无需再次输入凭据。
SAML
基于 XML 的开放标准,用于在身份提供方与服务提供方之间交换认证与授权断言。
OpenID Connect (OIDC)
构建在 OAuth 2.0 之上的身份层,允许客户端通过签名的 ID 令牌验证用户身份并获取基本资料。
OAuth 2.0
开放的授权框架,允许资源所有者在不共享凭据的情况下,授予第三方应用对 API 的有限范围访问。
身份与访问管理 (IAM)
用于定义数字身份并控制每个身份在何种条件下可访问哪些资源的一套学科与技术体系。
身份认证
在授予访问权限前,验证某个实体(用户、设备或服务)确实是其所声称身份的过程。