歷經將近 20 天的身份安全系列連載，
我們從身份目錄、認證、授權、治理、特權與編排等，
從基本的功能概念與背後採用的技術細節作介紹，

身份目錄機制(Directory)

身份目錄機制通常會由資料庫作為帳號儲存，
也通常會由存續在平台本身之後，
例如 Microsoft / AWS / Google 等，
也可以提供獨立的身份目錄服務作為應用程式開發建置，
目錄(Directory)係採用分層結構排列的資訊集合，
提供資料儲存庫，使用戶或應用程式能找到特定所需的資源定位。

身份認證與授權(Auth)

認證 (Authentication) 確認當前是否為合法用戶；
授權 (Authorization) 則為給予適當的系統存取權限。
除了傳統帳號密碼外，也提供 MFA 機制強化認證，
同時提供 SAML / OIDC / OAuth 機制實現 SSO 與連接授權。

身份治理機制(IGA)

身份治理與管理，主要用於跨不同身份資料庫來源的資訊統合，
確保應用系統當中的使用者帳戶資訊都是最新更新的。
主要區分 UAP, ILM, IAG 三個核心功能：
: 使用者存取配置(User Access Provisioning, UAP)
: 身份生命週期管理 (Identity Lifecycle Management, ILM)
: 身分與存取治理 (Identity and Access Governance, IAG)

身份特權管控(PAM)

身分和存取管理(IAM) 是一個廣泛的領域，
泛指所有使用者和資源的所有身分相關的安全管理，
而 PAM 則是 IAM 的專屬領域，旨於專注保護特權帳戶和使用者，
PAM 策略的核心在於：特權帳戶、管理權限管理，以及特權會話管理。

身份編排機制(Orchestration)

身份編排(Orchestration)，
係連結並協調不同身分工具的功能，以建立統一、簡化的身分工作流程，
透過身份編排的應用，可以有效提升員工身份相關的 IT 工作的生產力。
當使用者存取任一應用程式時，首先會先至平台請求應用程式的存取權限，
一旦使用者通過中央目錄的身份驗證和授權，
編排平台就會觸發應用程序，讓使用者以正確的權限存取系統。

小結

透過介紹＆梳理身份安全常見情境與技術，
希望能夠將 IAM 這個領域的資安專業做初步全貌性的介紹。
剩餘的鐵人賽時間，希望透過攻擊、威脅與風險的角度，
來看看目前既有的身份安全機制，面臨怎麼樣的挑戰。