身份管理的核心，在於決定「誰」能夠存取什麼「資源」，
系統存取之初，即須先決定如何確認你是宣稱的合法使用者，
以及當前使用的帳號、憑據能夠存取到一定範圍 IT 系統資源。

身份認證 (Authentication)

在嚴謹的密碼學定義裡，一個安全、確保的身份認證元素需有：

1. 你知道的事 (Something you know)
2. 你擁有的物 (Something you have)
3. 你宣稱的你 (Something you are)

傳統的帳號密碼認證，基本上都係僅有採用第一種機制，
因此帳號密碼的持有，就衍生冒用、盜用的情況，
當事者也可否認當前存取認證的行為動作，
進而造成合規性稽核的難題，即如何符合安全的「不可否認性」

因此雙因子認證 (Multi-factor authentication, MFA)，
即從三個元素當中取二，無論是透過持有的物品 (token/智慧卡)，
或是生物辨識特徵（指紋、臉部辨識）等，透過採用雙因子提升身份安全強度。

身份授權 (Authorization)

授權，牽涉的即為該用戶登入後能夠存取的系統資源，
在網路層的 L3/L4 概念而言，當 MAC / IP 都能抵達時，
基本上當認證機制成功後，用戶即能存取到該系統資源，
而進一步細膩的身份授權管控則包含：

1. 身份 (Identity)
2. 角色 (Role)
3. 帳號 (Account)
4. 服務 (Service)
5. 政策 (Policy)
6. 流程 (Workflow)

在典型的 IT 場域裡，都會有目錄服務 (Directory)角色，
無論是 Active Directory 或是 Verify Directory，
在其上都會存放組織內、外重要的帳號、角色與授權群的資訊，
包含透過 LDAP 輕型目錄存取協定的基石，
背後搭配 SAML / OIDC / OAUth 等串接各個目錄、資源與帳號，
搭建起當前網際網路無所不在的 IT 系統存取與授權過程。

身份稽核 (Accountability)

基於以上的 認證 (Authentication) 跟授權 (Authorization)，
都係為了要滿足在 IT 系統使用過程最核心的安全原則，
即：問責制 (Accountability)
所以身份安全領域的核心目標，即為達成 AAA 的 Triple A 原則，
讓存取系統過程的記錄、稽核日誌與軌跡，都能有所追尋、溯源，
這亦即是現在各產業法規均共同要求滿足日誌保存與合規要求，
即是為了滿足每個系統活動都能有明確的稽核機制來確保事後稽查。

小結 & 身份安全發展進程

當前資安趨勢發展，從典型的閘道防護方案開始至今，
包含防火牆、IDS/IPS、DDOS防護設備等等，
開始拓展到這幾年的端點偵測與回應 NGAV/EDR，
到現在更多開始從「工具」層面」發展至身份安全的應用領域，
除了必須兼顧 IT 生產力效率外，也須合乎安全法規要求的規範。

因此在身份領域的發展與市場，也拓畫出幾塊核心領域工具，包含像是：

• 身份與存取管控 Identity and Access Management, IAM
• 身份治理與生命週期管理 Identity Governance and Administration, IGA
• 身份特權保護 Privileged Access Management, PAM
• 身份目錄服務 Identity Directory
• 身份安全保護 Identity Protection

不同的領域工具，都特別針對部分的身份安全板塊，
提供了相應的機制與流程，提供給 IT 發展進程不同的各個組織，
按需挑選、導入與使用合宜的身份安全工具。