数字身份是计算机存储外部人员或系统记录的方式。它与身份验证密切相关。
阅读本文后,您将能够:
复制文章链接
在访问管理中,数字身份是记录的一组可测量特征,计算机可以通过这些特征识别外部实体。该实体可以是个人、组织、软件程序或另一台计算机。
数字身份依赖于计算机可识别的属性。例如,计算机可能因某个人知道密码或声音在某些频率上产生共鸣而识别这个人。一台计算机还可以通过其 IP 地址或媒体访问控制 (MAC) 地址来识别另一台计算机。
Jim 和 Sharon 作为同事,也许能通过视觉认出对方。但是计算机不知道“Jim”是谁或“Sharon”是谁。计算机为 Jim 和 Sharon 存储了一个单独的用户配置文件,其中包括一个姓名、一组关于他们身份的事实和一组权限。它必须通过一些可衡量的方法来检查他们是谁,例如他们是否输入了正确的密码。(如果 Jim 知道 Sharon 的用户名和密码,他可能能够冒充她。)
请注意,“数字身份”一词也可以指政府颁发的个人身份证明的计算机化等价物——有时这些被称为“数字 ID”。但本文重点关注访问管理系统背景下的数字身份。
如今,几乎每个使用计算机或访问互联网的人都拥有某种形式的数字身份。这可能是电子邮件地址和密码的组合、他们的互联网浏览历史、他们的购物历史和在线商店保存的信用卡信息,或者存储在身份和访问管理 (IAM) 系统中的识别特征。
计算机和计算设备也具有某种形式的身份。网络系统和协议使用几种不同的方法来识别这些设备;例如,许多系统出于此目的使用 IP 地址或 MAC 地址。组织还具有允许外部系统识别并与之交互的存储特征。甚至可以说 API 端点*具有数字身份。使用适当保护的 API,端点需要证明它们是谁才能发出和接收 API 请求。
*API 是一个软件程序向另一个软件程序请求服务的一种方式。API 端点是此类请求开始或接收的点,例如软件程序或 API 服务器。
访问控制定义用户可以查看、更改或复制哪些数据。作为一名会计师,Sharon 可以访问她公司的账簿和工资系统。但作为销售人员,Jim 只需要访问客户数据库和其他几个系统,不应该访问账簿或工资系统。他们的雇主使用访问控制来 1) 识别 Sharon 和 Jim,以及 2) 确保 Sharon 可以访问工资系统,而 Jim 不能。
如示例中所示,身份是确定访问权限的一部分。在这种情况下,Sharon 和 Jim 的身份也与特定角色相关联。如果不知道此人是谁以及他们的角色是什么,就无法正确控制访问。因此,身份验证是访问控制的重要组成部分。
身份验证是验证身份的过程。访问控制系统会检查用户或设备的一项或多项特征以对其进行身份验证。
身份验证可以评估三个主要特征或“因素”:
通常,这些因素中的几个将被一起评估,如在多因素身份验证 (MFA) 中。
身份验证与授权不同,授权与每个人拥有的权限有关。然而,两者都至少部分依赖于数字身份。一个人是谁通常有助于确定他们被允许做什么。例如,公司的 CEO 可能被授权访问比低级别员工更多的数据。了解有关授权和身份验证的更多信息。
数字身份通常依赖于存储和验证个人信息——例如,他们的电子邮件地址、他们的面部记录(如在面部识别中)或关于他们生活的事实(安全问题的答案)。如果个人数据泄露,如果未经授权的人能够查看数据,或者如果用户不知道如何使用他们的个人数据,这可能会成为数据隐私问题。
身份和访问管理 (IAM) 包括许多共同管理和跟踪数字身份的技术,以及与每个身份相关的特权。数字身份是 IAM 的基础;如果没有某种方式知道用户是谁,组织就无法分配和限制他们的权限。
IAM 对于防止数据丢失、网络攻击和其他威胁极为重要。强身份验证有助于确保攻击者无法冒充合法用户。如果用户帐户实际上遭到入侵,正确配置的授权会限制潜在的损害,因为攻击者仍然只能访问某些数据,而不是组织中的每个系统。
Cloudflare Zero Trust 是一个安全平台,使组织能够采取身份感知的零信任方法来防止威胁。它与各种单点登录 (SSO) 解决方案集成,以便在授予应用程序访问权限之前验证用户身份。了解有关 Cloudflare Zero Trust 的更多信息。