什么是联合身份管理（FIM）？

联合身份管理（FIM）使用户能够使用同一组登录凭证，访问不同组织下的多个应用或系统。它通过在不同域之间建立可信关系，实现安全、无缝的身份认证，使用户只需一次登录即可访问多个服务，而无需管理多个用户名和密码。FIM 是现代身份和访问管理（IAM）战略中的关键组成部分，可优化用户体验，并简化访问控制管理。

联合身份管理（FIM）的工作原理

FIM 的工作原理是在身份提供者（IdP）与服务提供商之间建立可信关系。身份提供者（IdP）负责验证用户身份，服务提供商则依赖该验证来授予访问权限。当用户通过 IdP 登录时，服务提供商会接受该验证，从而使用户无需重复输入凭证即可访问服务。

这一机制依赖于诸如 SAML 等协议，在 IdP 与服务提供商之间交换认证和授权数据；同时，OAuth 可在不暴露凭证的情况下委托对资源的访问。现代应用通常使用 OpenID Connect (OIDC)，该协议在 OAuth 基础上提供额外的身份验证机制。

联合身份管理（FIM）的优势

FIM 在安全性和运营效率方面具备多项优势，包括：

提升用户便利性： 用户可使用同一套凭证访问多个应用或系统，使登录更加快捷便利。
缓解密码疲劳： 凭证数量减少意味着弱密码或重复使用密码的情况也随之减少，从而降低整体安全风险。
简化访问管理： 集中式身份验证使 IT 管理员能够更轻松地管理跨多个平台的用户访问权限。
无缝集成： FIM 支持合作伙伴与供应商之间的兼容性，实现云环境下的协作。
支持合规性： 通过提供集中访问控制和审计能力，FIM 帮助组织满足数据保护要求，如《通用数据保护条例》（GDPR）及《健康保险携带和责任法案》（HIPAA）。

FIM 常见误解

尽管 FIM 已成为现代身份验证与 IAM 策略的关键组成部分，但它仍常被误解。以下列出关于 FIM 的一些常见误解及其澄清说明。

误解 #1：FIM 与 SSO 是相同的

单点登录（SSO）允许用户使用同一套凭证访问单个组织内的多个应用。FIM 通过在 IdP 与服务提供商之间建立联合信任，将此能力扩展到多个组织。简单来说，SSO 简化单一系统内部的身份验证，而 FIM 则实现跨组织系统的安全访问。

误解 2：FIM 会削弱安全性

有人认为简化登录会降低安全性，但 FIM 配合强大的安全措施，例如多因素认证（MFA）来保障安全。额外的安全层确保即使凭证跨域重复使用，身份验证仍保持安全，并符合相关安全策略。

误解 3：任何外部登录都属于 FIM

并非所有社交平台的登录都属于 FIM。使用 Google 或 Facebook 帐户登录网站虽然采用了类似技术，但通常称为社交登录。通常，FIM 适用于企业或组织环境，其中多个系统通过正式信任协议并执行严格安全策略。

误解 4：FIM 仅适用于大型企业

有人认为 FIM 对小型组织过于复杂或成本高，但实际上，大学、政府机构及中小企业（SMB）都广泛采用 FIM。任何与第三方供应商合作或使用多个云服务的组织都能从 FIM 中受益。

FIM 示例

FIM 支持多种场景，其中安全访问需跨越多个组织。以下为一些常见示例，展示 FIM 的实际应用：

使用凭证登录第三方应用： 许多应用，如 Slack 或 Zoom，允许用户使用 Google 或 Microsoft 凭证进行身份验证。这些提供商充当 IdP，第三方应用则作为服务提供商，信任 IdP 的身份验证以授予访问权限。
大学系统与学术平台的联合： 教育机构利用 FIM，将校园凭证与外部在线学习系统连接。例如，大学可允许学生使用校园凭证登录数字图书馆或数据库，从而无需使用多套凭证。
政府机构与承包商之间的数据安全保护示例： FIM 可在公共部门实现可信身份验证，确保承包商与政府机构能够安全协作，同时保持合规性和全面可视性。通过在 IdP 与服务提供商之间建立信任，政府机构能够确保只有经过验证的用户才能访问敏感信息和关键系统。