背景與定義

身分管理可分為兩個面向，即身分驗證與與授權管理。其中，身分驗證其主 要為針對核發的數位憑證、帳號與密碼等進行驗證的過程。而身分授權管理其主 要為授予權限給已被認證核准之使用者的過程，以便其存取資源。(Peter, 2005)

在身分管理的運作機制中，主要包含以下三個核心角色及三個不同的運作模 式(Yuan Cao and Lin Yang, 2010)：

( 1 ). 核心角色

(1). 使用者(User)

使用 SP 提供之服務的使用者，而該使用者必須具有合法的身分識別才 能夠存取 SP 服務，且扮演 SP 與 IdP 之客戶端角色。

(2). 服務提供者(Service Provider, SP ; 以下簡稱 SP) 提供相關資源與服務給使用者來使用。

(3). 身分提供者(Identity Provider, IdP ; 以下簡稱 IdP)

提供使用者身分註冊與驗證，並儲存管理使用者相關註冊資訊，以及接 收處理來自 SP 端發出的使用者驗證請求。

( 2 ). 運作模式

(1). 獨立模式(Isolated Model)

服務提供者同時扮演 SP 與 IdP 的角色，即使用者身分註冊、配置、刪 除、驗證、授權，以及儲存管理使用者的資訊等，皆由其獨自完成(圖五)。

(Chadwick et al., 2009)。

圖 三：Isolated Model Diagram (Yuan Cao and Lin Yang, 2010) (2). 集中模式(Centralized Model)

SP 與 IdP 各自扮演自己的角色，SP 的開發人員不必自行開發身分管理 的機制，透過介接 IdP 來達到身分管理的效果。此外在相同網域中，當不同 的 SP 皆介接到相同的 IdP 時，更可達到單一登入的機制，讓使用者在其中 一個 SP 完成登入認證後，在使用其他 SP 所提供的服務時，不必再次做登 入認證的動作(圖六)。而此模式存在的風險，當 IdP 受到惡意的攻擊時，例 如: Denial Of Service Attack(DoS)，導致其運作停擺，如此一來將會接連影響 到 SP 相關服務的運作。

圖 四：Centralized Model Diagram (Yuan Cao and Lin Yang, 2010)

(3). 聯盟模式(Federated Model)

聯盟(Federations)為一個或數個 SP(s)與 IdP(s)之間所建立的聯盟關係，

並制定一套共同的聯盟制度與規範(Chadwick et al., 2009)，例如: 規範使用 者相關資訊(使用者認證資訊、資源授權資訊…)之交換標準與格式(如: JSON、

SAML)，使 SP 與 IdP 之間能夠透過此標準交換使用者認證資訊，彼此建立 信任的關係，即 SP 能夠信任此 IdP 之身分驗證。

例如: 在跨網域(Across Domain)的環境中，有多個 SP 且皆有自己的一 套單一登入機制，並分別介接不同的 IdP 來對使用者進行身分認證，其中對 使用者來說其必須記取各個 SP 登入驗證的帳號與密碼，才能使用各個 SP 服務。此時若欲達到跨網域各個 SP 之間單一登入驗證的機制，則大家必須 建立聯盟的關係，各個 SP 必須共同信任來自不同 SP 所介接之 IdP 的身分 驗證，最後透過彼此間相互交換使用者認證資訊，來達到聯盟單一登入的機 制。如此一來，只要使用者選擇任一 SP 登入並完成驗證後，其他 SP 也將 一併完成認證(圖七)。

圖 五：Federated Model Diagram (Yuan Cao and Lin Yang, 2010)

就身分與存取管理系統功能層面來看，其主要分為三個層面，分別是身分驗 證(Authentication)、授權(Authorization)、稽核(Accounting) (Alberto, 2008 ; RFC 2903, 2000)，以下的主題將逐一針對 AAA 進行探討。