美国国防部实施零信任模型的方法指南支柱1用户身份联邦和用户认证（Identity Federation and User Credentialing）

爱打CS

已于 2025-01-17 16:04:56 修改

阅读量1.4k

点赞数 43

分类专栏：零信任文章标签：网络安全安全架构

于 2025-01-13 13:35:21 首次发布

本文链接：https://blog.csdn.net/nick_zlg/article/details/145111731

版权

零信任专栏收录该内容

18 篇文章

订阅专栏

1.5.1 功能描述

此功能的初始范围侧重于标准化身份生命周期管理 (ILM) 流程，并与标准组织 IDP /IDM 解决方案集成。完成后，该功能将转向通过单一解决方案或身份联邦建立企业 ILM 流程/解决方案。

名词解释：

ILM (Identity Lifecycle Management身份生命周期管理)：涵盖了用户身份的整个生命周期，包括创建、维护、更新和删除用户账户，以及管理用户的访问权限。

IDM (Identity and Access Management身份和访问管理) ：涵盖了更广泛的范围，包括身份认证、授权、审计等。

1.5.2 能力结果

国防部各机构手动签发、管理和撤销绑定到国防部员工设备和 NPE（非个人实体）身份的凭证。身份信息在实体（SIC）和信任域之间开发和共享，为已识别（经过身份验证和授权）的用户和设备提供“单点登录”的便利性和效率。

1.5.3 对 ZT 的影响

用户身份验证信息的可见性和准确性得到提高，包括国防部用户和其他机构管理的用户。根据既定政策，缺乏足够凭证的用户将被拒绝访问。

1.5.4 活动

组织身份生命周期管理；企业身份生命周期管理。

1.5.5 模型解读

身份联邦是一个相对复杂的系统，它涉及多个组织或系统之间的身份信息共享。简单举例：你可以使用微信的账号注册麦当劳或肯德基App，身份联邦涉及多个组件和技术。如：

1.身份提供商（Identity Provider, IDP），在多因子认证章节已有描述，常见的企业级IDP有Windows Active Directory、AD FS、Azure AD、Google Workspace、Okta等，常见的社交媒体IDP有阿里、微信、网易、Google、Facebook等；

2.服务提供商（Service Provider, SP）是提供服务的系统，它依赖IDP进行用户认证。常见的SP有企业内部应用和SaaS应用；

3.协议包括SAML、Oauth2.0、OpenID Connect (OIDC)；

4.信任关系包括元数据（Metadata）和证书

Metadata是IDP和SP之间通过元数据交换信息，建立信任关系；

证书用于加密和验证身份信息；

5.其他组件，包括存储用户信息的数据库、管理用户在不同系统中的权限的权限管理系统等。

身份联邦的工作流程参考

 用户访问SP: 用户尝试访问某个SP提供的服务。

 SP重定向到IDP: SP将用户重定向到IDP进行认证。

 用户认证: 用户在IDP上输入凭证进行认证。

 IDP生成令牌: IDP成功认证后，生成一个包含用户身份信息的令牌。

 IDP重定向回SP: IDP将用户重定向回SP，并将令牌作为参数传递。

 SP验证令牌: SP验证令牌的有效性，并根据令牌中的信息授权用户访问资源。

看到上图有的读者可能会觉得和SSO（单点登录）类似，虽然SSO和身份联邦都是为了实现用户单点登录，但两者略有区别，SSO 强调在单个组织内的单点登录，当多个系统属于同一个组织时，它们之间的身份联邦就可以简化为SSO，而身份联邦强调跨组织的身份共享，SSO像是A城市的交通卡，只能在本市使用，而身份联邦就像是一张全国通用的交通卡，您可以用它在不同城市的交通系统中通行。

总结一下：通过建立统一的流程来管理用户身份，提高效率和一致性，将 ILM 过程与组织现有的 IDP/IDM 解决方案集成，避免重复建设，实现跨组织、跨系统的一致性身份管理。对零信任而言则是促进零信任环境下更便捷、安全的身份验证，提高了对用户身份和访问权限的管理和控制能力，为实现零信任架构奠定基础。

1.5.6 Gartner 研究

组织必须采取稳健的方法进行凭证管理，尤其是账户恢复，因为薄弱的流程会增加账户接管 (ATO) 的风险。与身份验证 (又称身份证明) 的集成越来越重要。用户注册 (凭证) 是 B2B 客户 IAM (CIAM) 上下文中的重要步骤。机器身份管理 (MIM) 对非个人实体 (NPE) 来说至关重要。身份联邦是 AM 工具环境中实现单点登录 (SSO) 的一种支持方法。

1.5.7 Gartner 研究解读

以上内容强调了妥善管理用户凭证（如密码、密钥等）的重要性，因为不当的凭证管理会增加账户被盗用的风险，账户恢复流程的健壮性直接影响到用户体验和系统安全性。与身份验证的集成指业务系统（如CRM、OA等）与第三方身份提供商的集成，形成一个完整的安全体系。在 B2B 场景中，身份管理需要确保客户信息的准确性和安全性，又要更加注重用户注册流程和体验。随着物联网和云计算的发展，对非人实体（如设备、应用程序、服务）的管理也不要忽视。身份联邦是实现 SSO 的一种有效途径，通过建立信任关系，允许用户使用单个凭证访问跨组织的多个系统。