在零信任网络中做出访问决策时，用户、服务和设备身份是一个非常重要的因素。

　　介绍

　　身份可以代表用户（人）、服务（软件过程）或设备。在零信任架构中，每个都应该是唯一可识别的。这是决定是否应授予某人或某物访问数据或服务的权限的最重要因素之一。

　　这些唯一身份是输入策略引擎的众多信号之一，策略引擎使用此信息做出访问决策。例如，在允许访问服务或数据之前，策略引擎可以评估用户和设备身份信号以确定两者是否真实。

　　用户、服务和设备分配单一身份来源的重要第一步。

　　用户身份

　　组织应使用明确的用户目录，创建与个人相关联的帐户。这可以以虚拟目录或目录同步的形式出现，以呈现单个用户目录的外观。

　　每个身份都应该分配给一个角色，并且应该将其配置为“最低权限”，因此用户只能访问他们执行角色所需的内容。事实上，这些特权通常源自用户在组织内的工作职能。

　　无论从何处访问，用户有一个单一的身份和登录来源。这将允许更好的用户体验，但也允许所有服务具有单一的强身份。

　　用户身份服务应该能够：

　　创建群组

　　定义已配置为“最低权限”的角色

　　支持强大的现代身份验证方法，例如多因素或无密码身份验证。

　　安全地为用户提供凭据

　　启用对服务的联合身份验证（例如 SAML 2.0、OAuth 2.0 或 OpenID Connect）

　　在适用的情况下管理外部服务中的用户身份（例如 SCIM 2.0）

　　支持您的加入者、移动者和离开者流程

　　支持第三方联合 ID（接受来自其他受信任的第三方用户目录的身份）

　　迁移

　　如果有一个现有目录，迁移到另一个目录需要仔细规划。某些目录服务允许在目录之间导入、同步或联合，这将实现分阶段迁移，或者有效地提供共享目录。

　　外部访问

　　应该考虑如何向组织外部的人员提供访问权限。服务可以与外部身份提供者联合，以允许访问适当的服务和数据。例如，访客可以查看午餐菜单，或者承包商只能访问与其工作相关的文档。

　　身份和身份验证是一个需要仔细考虑的广泛主题。

　　服务令牌

　　服务不应该能够代表用户采取无限的行动。如果这样的服务受到威胁，它将提供对系统中任何服务或任何数据的高特权访问。

　　为服务提供适当访问权限的更好方法是将每个操作与与用户身份相关联的范围和限时访问令牌相关联。这样，如果同一服务受到损害，对您的服务造成的损害将仅限于原始操作的权限。

　　如果检测到异常行为，用户和设备评估服务或数据的信心水平将会下降。应立即触发补救措施，因为由于用户或设备健康状况的变化，令牌的可信度低于发布时的可信度。一些补救措施的示例是终止连接或触发 MFA 提示。

　　服务标识

　　一项服务或者更准确地说，提供一项服务的软件——应该有自己独特的身份，并被授予正常运行所需的最低权限。这包括根据服务的身份维护连接的允许列表，将服务之间的网络通信限制为所需的最小数量。

　　示例身份验证方法可能涉及每个服务的唯一证书。然后可以使用证书身份验证在构成服务的软件进程之间形成相互的TLS（传输层安全）连接。

　　用户对应用程序或容器平台的访问应联合到单个用户目录中，并使用策略引擎根据多个信号授权访问。如果满足策略，策略引擎可以做出访问决策并释放令牌。

　　设备标识

　　组织拥有的每台设备都应在单个设备目录中唯一标识。这可以实现高效的资产管理，并提供访问服务和数据的设备的清晰可见性。

　　定义的零信任策略将使用设备的合规性和健康声明来决定它可以访问哪些数据以及它可以执行的操作。需要一个强大的身份来确保这些声明可以得到验证。

　　设备身份的强度取决于设备类型、硬件和平台：

　　设备身份应在安全硬件协处理器（例如 TPM）上与设备紧密绑定，这将使您对设备身份充满信心。应尽可能使用密钥证明来证明身份在安全硬件协处理器中受到保护。

　　与基于 TPM 的方法相比，使用基于软件的密钥存储存储在管理良好的设备上的身份对设备身份的信心较低。

　　相对于上述内容，基于软件的密钥库中的非托管设备上的身份对设备身份的可信度最低。

　　识别来自另一个组织的设备需要在两个组织之间建立信任关系。这应该发生在治理和技术层面。

　　自带设备场景

　　当允许来自不拥有和管理的设备的请求时，识别可能具有挑战性。BYOD 模型中的设备仍应具有与其相关联的身份以进行监控，但对该设备身份的置信度可能会降低。