附录D: 术语表

本术语表收录了企业级统一身份治理平台相关的专业术语和概念定义，帮助读者更好地理解本书内容。

A

ABAC (Attribute-Based Access Control)

基于属性的访问控制，一种授权模型，通过评估主体、资源、操作和环境的属性来决定访问权限。

ACL (Access Control List)

访问控制列表，定义了哪些主体可以对特定资源执行哪些操作的列表。

ACME (Automatic Certificate Management Environment)

自动证书管理环境，用于自动化证书颁发和管理的协议。

Active Directory

微软开发的目录服务，用于Windows域网络中的身份验证和授权。

Adaptive Authentication

自适应认证，根据风险评估动态调整认证要求的认证方式。

API Gateway

API网关，作为系统入口点，提供API请求路由、组合和协议转换等功能。

B

Biometric Authentication

生物识别认证，使用指纹、面部识别、虹膜扫描等生物特征进行身份验证。

Bot Management

机器人管理，识别和控制自动化程序访问系统的技术。

C

CA (Certificate Authority)

证书颁发机构，负责颁发和管理数字证书的可信第三方机构。

CAS (Central Authentication Service)

中央认证服务，一种单点登录协议，允许用户一次登录访问多个应用。

CIAM (Customer Identity and Access Management)

客户身份与访问管理，专门管理外部客户身份和访问权限的系统。

Claims

声明，JWT中包含的关于主体的声明信息，如姓名、邮箱等。

CSP (Content Security Policy)

内容安全策略，一种安全机制，用于防止跨站脚本等代码注入攻击。

CSRF (Cross-Site Request Forgery)

跨站请求伪造，一种攻击方式，诱导用户在已登录的Web应用上执行非预期操作。

D

DAC (Discretionary Access Control)

自主访问控制，资源所有者可以自主决定谁可以访问其资源的访问控制模型。

Device Fingerprinting

设备指纹识别，通过收集设备的软硬件特征来识别和跟踪设备的技术。

Directory Service

目录服务，存储、组织和提供对网络资源信息访问的服务。

DPoP (Demonstrating Proof-of-Possession)

证明持有，一种OAuth 2.0扩展，用于证明客户端持有特定密钥。

E

EIDAS (Electronic Identification, Authentication and Trust Services)

电子身份识别、认证和信任服务，欧盟关于电子交易的法规。

Entitlement

权限，主体被授予访问特定资源或执行特定操作的权利。

Entitlement Management

权限管理，管理用户权限的生命周期，包括授予、修改和撤销。

F

FAPI (Financial-grade API)

金融级API，为金融行业设计的安全增强型API安全规范。

Federation

联合身份，允许用户使用一个身份提供商的身份信息访问多个服务。

FIDO (Fast Identity Online)

快速身份在线联盟，制定无密码认证标准的行业组织。

FIDO2

FIDO联盟的第二代认证标准，包括WebAuthn和CTAP协议。

G

GDPR (General Data Protection Regulation)

通用数据保护条例，欧盟制定的数据保护法规。

Granular Access Control

细粒度访问控制，能够对资源的特定部分进行精确访问控制的能力。

H

HMAC (Hash-based Message Authentication Code)

基于哈希的消息认证码，用于验证消息完整性和真实性的机制。

I

IAM (Identity and Access Management)

身份与访问管理，管理数字身份和访问权限的框架和系统。

IGA (Identity Governance and Administration)

身份治理与管理，涵盖身份生命周期管理、访问治理和合规性的综合解决方案。

IdP (Identity Provider)

身份提供商，负责验证用户身份并向服务提供商提供身份信息的系统。

Identity Assurance

身份保证，对身份声明的可信度进行评估和分级的机制。

Identity Federation

身份联合，多个组织之间共享身份信息和认证服务的机制。

Identity Lifecycle Management

身份生命周期管理，管理用户身份从创建到删除的全过程。

Identity Proofing

身份验证，验证个人身份声明真实性的过程。

Identity Wallet

身份钱包，存储和管理个人数字身份凭证的应用程序。

Id Token

身份令牌，OpenID Connect中包含用户身份信息的JWT令牌。

JIT (Just-In-Time) Provisioning

即时供应，在用户首次登录时自动创建账户的机制。

J

JARM (JWT Secured Authorization Response Mode)

JWT安全授权响应模式，OAuth 2.0中使用JWT保护授权响应的扩展。

JWE (JSON Web Encryption)

JSON Web加密，用于加密JWT内容的标准。

JWK (JSON Web Key)

JSON Web密钥，用于表示加密密钥的JSON数据结构。

JWS (JSON Web Signature)

JSON Web签名，用于签名JWT的机制。

JWT (JSON Web Token)

JSON Web令牌，用于在各方之间安全传输声明的开放标准。

K

Keycloak

开源的身份和访问管理解决方案。

Kratos

Ory生态系统中的身份管理组件。

L

LDAP (Lightweight Directory Access Protocol)

轻量级目录访问协议，用于访问和维护分布式目录信息服务的协议。

Login.gov

美国政府的统一身份认证平台。

M

MFA (Multi-Factor Authentication)

多因子认证，结合两种或多种认证因素进行身份验证的安全机制。

MTLS (Mutual TLS)

双向TLS，客户端和服务器都验证对方证书的TLS连接。

MTLS-Bound Access Tokens

MTLS绑定访问令牌，与客户端证书绑定的OAuth 2.0访问令牌。

N

NIST (National Institute of Standards and Technology)

美国国家标准与技术研究院，制定信息安全标准的联邦机构。

NIST SP 800-63

NIST发布的数字身份指南系列标准。

O

OAuth 2.0

授权框架，允许第三方应用在用户授权的情况下访问用户资源。

OIDC (OpenID Connect)

OpenID Connect，在OAuth 2.0基础上构建的身份认证层。

OTP (One-Time Password)

一次性密码，只能使用一次的密码。

Ory

开源的云原生身份基础设施项目。

P

Par

Pushed Authorization Requests，推送授权请求，OAuth 2.0扩展，用于提高授权请求的安全性。

Passkey

通行密钥，基于FIDO标准的无密码认证凭证。

Passwordless Authentication

无密码认证，不使用传统密码进行身份验证的认证方式。

PDP (Policy Decision Point)

策略决策点，在ABAC模型中负责做出访问控制决策的组件。

PEP (Policy Enforcement Point)

策略执行点，在ABAC模型中负责执行访问控制决策的组件。

PII (Personally Identifiable Information)

个人身份信息，能够直接或间接识别个人身份的信息。

PKCE (Proof Key for Code Exchange)

代码交换证明密钥，OAuth 2.0扩展，用于防止授权码拦截攻击。

Policy Administration Point (PAP)

策略管理点，在ABAC模型中负责创建、管理和维护访问控制策略的组件。

Policy Information Point (PIP)

策略信息点，在ABAC模型中负责提供策略决策所需属性信息的组件。

Q

QR Code Authentication

二维码认证，通过扫描二维码进行身份验证的方式。

R

RBAC (Role-Based Access Control)

基于角色的访问控制，根据用户角色分配权限的访问控制模型。

RBA (Risk-Based Authentication)

基于风险的认证，根据风险评估结果调整认证要求的认证方式。

Refresh Token

刷新令牌，用于获取新的访问令牌的特殊令牌。

Revoke Token

撤销令牌，使令牌失效的操作。

ROPC (Resource Owner Password Credentials)

资源所有者密码凭证，OAuth 2.0授权类型，直接使用用户名和密码获取令牌。

S

SAML (Security Assertion Markup Language)

安全断言标记语言，用于在身份提供商和服务提供商之间交换认证和授权数据的XML框架。

SCIM (System for Cross-domain Identity Management)

跨域身份管理系统，用于自动化用户身份信息管理的标准协议。

SDP (Software Defined Perimeter)

软件定义边界，基于身份的网络访问控制架构。

Session Management

会话管理，管理用户与应用之间交互会话的机制。

Sidecar

边车模式，将辅助功能部署为与主应用并行的独立进程的架构模式。

Single Sign-On (SSO)

单点登录，用户一次登录即可访问多个相关但独立的软件系统的机制。

SLA (Service Level Agreement)

服务等级协议，定义服务提供商和客户之间服务质量和责任的协议。

Smart Card Authentication

智能卡认证，使用智能卡进行身份验证的方式。

SP (Service Provider)

服务提供商，依赖身份提供商进行用户认证的服务。

SPI (Service Provider Interface)

服务提供商接口，允许第三方为应用提供服务实现的API。

SPML (Services Provisioning Markup Language)

服务供应标记语言，用于自动化用户账户供应和撤销的XML框架。

SSO (Single Sign-On)

单点登录，用户一次认证即可访问多个应用的机制。

State Parameter

状态参数，OAuth 2.0中用于防止CSRF攻击的参数。

STS (Security Token Service)

安全令牌服务，颁发和管理安全令牌的服务。

T

TOTP (Time-based One-Time Password)

基于时间的一次性密码，根据当前时间和密钥生成的一次性密码。

Token Binding

令牌绑定，将安全令牌与TLS连接绑定以防止令牌劫持的技术。

Token Exchange

令牌交换，OAuth 2.0扩展，允许将一种令牌交换为另一种令牌。

Token Introspection

令牌检查，OAuth 2.0扩展，用于检查令牌状态和获取令牌元数据。

TOTP (Time-based One-Time Password)

基于时间的一次性密码算法。

U

UMA (User-Managed Access)

用户管理访问，OAuth 2.0扩展，允许用户控制第三方对其资源的访问。

User Provisioning

用户供应，创建、修改和删除用户账户的过程。

V

Verifiable Credentials

可验证凭证，基于标准的数字凭证，可以加密验证其真实性。

W

WebAuthn (Web Authentication)

Web认证，W3C标准，用于无密码认证的Web API。

Webhook

网络钩子，当特定事件发生时通过HTTP POST请求通知其他应用的机制。

X

X.509 Certificate

X.509证书，公钥基础设施中使用的数字证书标准。

XSS (Cross-Site Scripting)

跨站脚本攻击，一种代码注入攻击，攻击者在网页中注入恶意脚本。

Z

Zero Trust

零信任，一种安全模型，基于"永不信任，始终验证"的原则。

Zero Trust Network Access (ZTNA)

零信任网络访问，基于零信任原则的网络访问控制解决方案。

系统与平台术语

4A

账号（Account）、认证（Authentication）、授权（Authorization）、审计（Audit）的统称。

CASDOOR

开源的身份和访问管理平台。

Keycloak

Red Hat开发的开源身份和访问管理解决方案。

Ory Kratos

Ory生态系统中的身份管理组件。

OAuth

开放授权，允许用户授权第三方应用访问其资源而无需共享凭证的开放标准。

OpenID

开放身份识别，用于用户身份验证的开放标准。

SAML

安全断言标记语言，用于在不同安全域之间交换认证和授权数据的XML框架。

SCIM

跨域身份管理系统，用于自动化用户身份信息管理的标准协议。

架构与设计术语

Microservices

微服务，将应用构建为一组小型、独立服务的架构风格。

API Gateway

API网关，作为系统入口点，提供API请求路由、组合和协议转换等功能。

Sidecar Pattern

边车模式，将辅助功能部署为与主应用并行的独立进程的架构模式。

Centralized Authorization Server

集中式授权服务器，统一处理所有授权请求的服务。

安全术语

MFA

多因子认证，结合两种或多种认证因素进行身份验证的安全机制。

PKCE

代码交换证明密钥，OAuth 2.0扩展，用于防止授权码拦截攻击。

DPoP

证明持有，一种OAuth 2.0扩展，用于证明客户端持有特定密钥。

MTLS

双向TLS，客户端和服务器都验证对方证书的TLS连接。

CSP

内容安全策略，一种安全机制，用于防止跨站脚本等代码注入攻击。

CSRF

跨站请求伪造，一种攻击方式，诱导用户在已登录的Web应用上执行非预期操作。

XSS

跨站脚本攻击，一种代码注入攻击，攻击者在网页中注入恶意脚本。

总结

本术语表涵盖了企业级统一身份治理平台涉及的主要概念和术语。随着技术的发展，新的术语和概念会不断涌现，建议读者在实际应用中持续关注和学习最新的技术和标准。