身份与访问管理项目，选OAuth还是OpenID Connect？还是两者都要？我们先得看看这些标准的特点和适用场景。

身份与访问管理负责处理跨公司资源的用户认证、授权以及访问管理事宜。这是一个涉及范围很广的领域，涵盖了从账号配置与注销、单点登录、多因素认证、特权访问管理到机器身份管理等方面。

由于身份与访问管理涉及众多任务，没有哪一项单一技术或标准能够完全解决其中的所有问题。不同组织和行业的使用场景及环境各不相同。

了解以下7种常用的身份与访问管理标准，会让你在身份与访问管理项目中更加游刃有余。

认证、授权与记账（AAA）

AAA是一种安全框架，它首先验证用户身份（认证），接着确定用户被允许做什么（授权），最后跟踪用户的资源使用情况（记账），以此来控制网络访问。

工作原理

AAA采用客户端 – 服务器模型，通常通过行业标准协议进行管理。远程认证拨入用户服务（RADIUS）常用于网络访问。终端访问控制器访问控制系统增强版（TACACS +）用于设备管理。直径（Diameter）协议是RADIUS的增强版，运行在处理AAA全部三个步骤的专用服务器上。

适用场景

AAA框架适用于各种规模的组织，因为它提供了一种结构化的方法，可进行扩展并能适应各种不同要求。

优点

• 提升网络安全性
• 集中化协议管理
• 可进行细粒度控制且具备灵活性
• 提供可扩展的访问管理

缺点

• 要完全实施可能较为复杂
• 需要持续的维护与更新

 OAuth 2.0

OAuth 2.0是一种授权框架，能使第三方应用程序获取对超文本传输协议（HTTP）服务上用户账户的有限访问权限。

工作原理

OAuth 2.0的工作方式是允许用户授予第三方应用程序对其在另一服务上资源的有限访问权限，且无需共享实际的登录凭据。该过程涉及第三方应用程序请求访问权限，然后用户通过服务的授权服务器批准该请求，授权服务器随后会向应用程序提供一个临时访问令牌，该令牌仅可用于访问特定的允许访问的资源。

适用场景

OAuth 2.0尤其适合开发现代网络和移动应用程序的组织，特别是那些需要与第三方服务集成的组织。

优

• 允许在不暴露用户凭据的情况下安全地共享数据
• 使用令牌而非用户名和密码来访问资源
• 针对特定时长内的特定资源提供细粒度的访问控制

缺点

• 主要是为授权而设计，并非用于认证
• 如果实施不当，可能容易出现安全漏洞

 OpenID Connect（OIDC）

OpenID Connect是构建在OAuth 2.0之上的一种认证协议，可实现单点登录（SSO）以及标准化的用户认证。

工作原理

OpenID Connect的工作方式是将想要访问应用程序的用户重定向到身份提供商（如谷歌或微软）那里，由其验证用户身份。在成功认证后，身份提供商将向应用程序发回一个包含用户身份信息的安全令牌，使用户无需创建新凭据即可访问服务。

适用场景

OpenID Connect对于从头开始构建新应用程序的组织来说是绝佳选择，尤其是针对移动平台的应用程序开发组织。

优点

• 将认证和授权相结合。
• 支持移动应用程序、应用程序编程接口（API）以及基于浏览器的应用程序。
• 使用JSON Web令牌，更便于实施。

缺点

• 需要信任第三方认证服务
• 如果身份提供商出现停机情况，可能会面临服务中断问题
• 一旦凭证被泄露，单个凭证可能会影响对多个服务的访问

 安全断言标记语言（SAML）

SAML是一种基于可扩展标记语言（XML）的用于交换认证和授权数据的标准。

工作原理

SAML通过实现身份提供商（如一个组织的主登录系统）与第三方应用程序之间的安全通信来发挥作用。身份提供商通过数字签名的XML消息向服务提供商确认用户身份。

适用场景

SAML非常适合大型企业以及拥有现有XML基础设施的组织，特别是那些需要在多个内部应用程序间实现单点登录的组织。

优点

• 为企业环境中的单点登录提供广泛的安全性保障
• 支持详细的用户信息交换
• 在大型组织和政府机构中已经很成熟

缺点

• 复杂的XML模式可能实施起来颇具挑战性
• 不太适合移动应用程序

 跨域身份管理系统（SCIM）

SCIM是一种用于自动实现跨域用户账号配置的开放标准。与处理认证的SAML和OIDC不同，SCIM负责管理用户配置。SCIM可与SAML和OIDC协同工作，以提供全面的身份管理。

工作原理

SCIM会自动在不同域或系统之间同步用户账号信息。当源系统中发生变更时，SCIM会自动更新目标系统中相应的用户账号，从而无需手动进行账号管理。

适用场景

对于有着复杂用户管理的组织来说，SCIM很有价值，特别是那些需要应对员工频繁流动或访问要求变化的组织。

优点

• 简化用户配置和注销流程
• 减少用户管理中的人为错误

缺点

• 主要侧重于用户生命周期管理，而非认证或授权。

  轻量级目录访问协议（LDAP）

LDAP是一种软件协议，有助于在网络上查找有关组织、个人和资源的信息。

工作原理

LDAP通过提供一种集中式目录服务来发挥作用，有关用户、组织和资源的信息以层次树结构存储在其中，可对其进行查询。当用户或应用程序需要查找信息或进行认证时，LDAP会与目录服务器建立安全连接，验证用户凭据，并根据用户授权级别返回所请求的信息。

适用场景

LDAP的主要用途是集中式认证和目录服务。

优点

• 集中进行认证和用户管理
• 是一种轻量级且高效的协议
• 是一项得到广泛支持的行业标准

缺点

• 并非为频繁的数据更新而设计
• 如果配置不当则容易出现安全漏洞
• 局限于层次数据结构
• 可能成为单点故障源

 企业安全身份互操作性剖析（IPSIE）

IPSIE工作组是OpenID基金会近期发起的一项倡议。虽然它本身并非一项标准，但IPSIE旨在为现有规范开发具有安全设计的配置文件，以增强企业实施中的互操作性。

工作原理

IPSIE为现有的身份安全协议创建标准化配置文件，以确保在企业软件即服务（SaaS）应用程序和身份提供商之间能一致地实施。它使不同系统能够以统一的方式进行通信并共享安全信息，协调从用户认证、访问管理到风险检测和会话控制等各个方面。

适用场景

IPSIE面向那些需要在多个软件即服务（SaaS）应用程序间实现标准化身份安全，以确保一致的认证、访问控制和安全监控的企业。

优点

• 在多个软件即服务（SaaS）应用程序间实现身份安全标准化
• 得到微软、谷歌等大型科技公司的支持
• 使用现有协议，而非创建新协议

缺点

• 仍处于早期开发阶段
• 需要得到广泛采用才能发挥效力
• 局限于企业软件即服务（SaaS）使用场景

参考链接：

https://www.techtarget.com/searchsecurity/tip/Must-know-IAM-standards