IAM 的系統的關鍵任務就是驗證當前用戶的存取，
當系統登入介面開始敲入帳號密碼時，就是最基本的認證的開始，
意即身份認證 (Authentication) 是決定身份安全的關鍵環節，
而除了傳統的帳號與密碼的認證機制，
也能同時提供 IT 生產效率與安全機制，
即為 單一登入 (SSO) 與 多因子認證機制 (MFA) 技術。

單一登入 (SSO)

單一登入 Single sign-on (SSO) 技術，
目的係讓用戶僅需完成一次的身份認證後，
即可以切換、存取該次認證成功後授予的系統存取權限。
讓組織成員、員工與終端用戶可以無縫的切換不同系統存取。

而單一登入的背後，牽涉到身份目錄服務 (Directory)運作，
或是透過 SAML 與 LDAP 機制整合連接各項身份目錄，

安全斷言標記語言 (SAML) 是一種基於 XML 的開放標準，
用於識別身份識別提供者 (IdP) 和服務提供商 (SP)兩者傳輸資料，
身份提供者：執行身份驗證並建立用戶身份憑據加密保護傳送給 SP 端，
服務提供商：信任身份提供者，並能驗證來自 Idp 的身份令牌。

透過 SSO 的效益，可以改進整體用戶使用體驗，
同時做到一次登入、多個系統存取無縫切換的 IAM 功能。

多因子認證 (MFA)

多因子認證機制係除了帳號密碼認證之外，
更多一步要求提供 SMS OTP、MOTP 的第二層因子確保，
當然這份多因子的來源，也可以透過生物辨識技術，
例如指紋、臉部辨識技術等提供，當然須搭配外部硬體元件，
目前常見的 MFA 技術包含 Push推播/生物辨識/FIDO2 等等。

除了配置 MFA 機制外，何時觸發與啟用多因子認證也是管理因素，
因為每次都需要接收 OTP / MOTP 的過程，
有可能會干擾用戶正常使用的體驗系統存取流程，
因此 MFA 的啟用，也可稱為條件式的 MFA，
例如包含評估用戶屬性、來源位置、設備資訊計算出風險分數，
進而決定是否需要求當前用戶執行 MFA 或阻止當前訪問。

Fast IDentity Online, FIDO2

FIDO2 是一組標準和技術為 Web 和 AP 提供的強認證機制，
甚至可以 將 FIDO2 作為首要認證機制，進而取代帳號密碼進行身份認證。
FIDO2 的採用仰賴支援外部或內建的身份驗證器 (Token)，
包含像是 iOS 的 TouchID / FaceID 等，
或是硬體式驗證器，如 USB Dongle、指紋辨識器等，
最後透過 WebAuthn API 讓 Web 應用程式允許與 FIDO2 溝通。

小結

身份認證是最核心的 IAM 模組，
也是系統最早之初即有的身份安全機制，
無論係透過 SSO 單一登入強化整體登入安全與簡便性，
或是透過 MFA 強化認證的安全性做法，
目的都是希望便利存取資訊系統的同時，提升身份安全的強韌度。