假設(shè)網(wǎng)絡(luò)是敵對(duì)的，驗(yàn)證和授權(quán)所有訪問(wèn)數(shù)據(jù)或服務(wù)的連接。

　　介紹

　　構(gòu)建具有強(qiáng)大身份驗(yàn)證方法的系統(tǒng)并構(gòu)建應(yīng)用程序以接受來(lái)自策略引擎的訪問(wèn)決策。

　　在評(píng)估與訪問(wèn)請(qǐng)求相關(guān)的風(fēng)險(xiǎn)時(shí)，身份驗(yàn)證和授權(quán)決策應(yīng)考慮多種信號(hào)，例如設(shè)備健康狀況、設(shè)備位置、用戶身份和狀態(tài)。

　　多因素

　　MFA是零信任架構(gòu)的要求。

　　這并不意味著用戶體驗(yàn)一定很差。在現(xiàn)代設(shè)備和平臺(tái)上，可以通過(guò)良好的用戶體驗(yàn)實(shí)現(xiàn)強(qiáng)大的MFA。例如，僅當(dāng)用戶和設(shè)備的信心下降時(shí)才觸發(fā) MFA。某些身份驗(yàn)證應(yīng)用程序會(huì)在受信任的設(shè)備上提供推送通知，因此用戶無(wú)需為鍵入代碼或查找硬件令牌而煩惱。

　　值得注意的是，并非所有身份驗(yàn)證因素對(duì)用戶都是可見(jiàn)的，其中一個(gè)因素可能是使用內(nèi)置 FIDO2 （線上快速身份驗(yàn)證服務(wù)）平臺(tái)身份驗(yàn)證器的加密支持的無(wú)密碼登錄。

　　可用性

　　重要的是，強(qiáng)身份驗(yàn)證不會(huì)妨礙服務(wù)的可用性。例如，僅當(dāng)請(qǐng)求具有較高影響時(shí)才提示其他身份驗(yàn)證因素，例如請(qǐng)求敏感數(shù)據(jù)或特權(quán)操作，包括創(chuàng)建新用戶。應(yīng)考慮 SSO，以減少 MFA 的摩擦。

　　應(yīng)考慮采用基于風(fēng)險(xiǎn)的方法來(lái)減輕額外身份驗(yàn)證因素造成的更大影響。在上面的示例中，如果用戶的置信水平足夠高，則可以避免其他因素。

　　無(wú)密碼身份驗(yàn)證（例如 FIDO2）是一種理想的解決方案，因?yàn)樗峁┝藦?qiáng)大的安全性和出色的用戶體驗(yàn)。考慮實(shí)施無(wú)密碼身份驗(yàn)證，以在用戶所有服務(wù)中獲得強(qiáng)大、一致和積極的用戶體驗(yàn)。

　　服務(wù)到服務(wù)

　　服務(wù)之間的請(qǐng)求也需要進(jìn)行身份驗(yàn)證。通常是使用 API 令牌、OAuth 2.0 或公鑰基礎(chǔ)設(shè)施 （PKI）等框架來(lái)實(shí)現(xiàn)的。

　　使用相互身份驗(yàn)證，因此用戶可以確信通信的兩個(gè)服務(wù)都是真實(shí)的。這是構(gòu)建允許列表時(shí)的關(guān)鍵，以根據(jù)身份授權(quán)服務(wù)之間的連接。