假设网络是敌对的，验证和授权所有访问数据或服务的连接。

　　介绍

　　构建具有强大身份验证方法的系统并构建应用程序以接受来自策略引擎的访问决策。

　　在评估与访问请求相关的风险时，身份验证和授权决策应考虑多种信号，例如设备健康状况、设备位置、用户身份和状态。

　　多因素

　　MFA是零信任架构的要求。

　　这并不意味着用户体验一定很差。在现代设备和平台上，可以通过良好的用户体验实现强大的MFA。例如，仅当用户和设备的信心下降时才触发 MFA。某些身份验证应用程序会在受信任的设备上提供推送通知，因此用户无需为键入代码或查找硬件令牌而烦恼。

　　值得注意的是，并非所有身份验证因素对用户都是可见的，其中一个因素可能是使用内置 FIDO2 （线上快速身份验证服务）平台身份验证器的加密支持的无密码登录。

　　可用性

　　重要的是，强身份验证不会妨碍服务的可用性。例如，仅当请求具有较高影响时才提示其他身份验证因素，例如请求敏感数据或特权操作，包括创建新用户。应考虑 SSO，以减少 MFA 的摩擦。

　　应考虑采用基于风险的方法来减轻额外身份验证因素造成的更大影响。在上面的示例中，如果用户的置信水平足够高，则可以避免其他因素。

　　无密码身份验证（例如 FIDO2）是一种理想的解决方案，因为它提供了强大的安全性和出色的用户体验。考虑实施无密码身份验证，以在用户所有服务中获得强大、一致和积极的用户体验。

　　服务到服务

　　服务之间的请求也需要进行身份验证。通常是使用 API 令牌、OAuth 2.0 或公钥基础设施 （PKI）等框架来实现的。

　　使用相互身份验证，因此用户可以确信通信的两个服务都是真实的。这是构建允许列表时的关键，以根据身份授权服务之间的连接。