Keeper IAM 词汇表

这是一个权限列表，指定哪些用户或系统被授予或拒绝访问特定系统资源的权限，以及可以对这些资源执行哪些操作。

IT 管理员授予和限制用户对特定系统和数据的访问权限的流程。通常，这是通过为工作角色、部门和/或项目团队设置组，然后将用户分配到适当的组来完成。可与身份管理结合使用。

Active Directory (AD) 是 Microsoft 为 Windows 域网络开发的一种目录服务。最初，AD 仅用于集中式域管理，但现在已成为一个总括术语，指代各种基于目录的身份服务。它允许组织使用每个用户的单一身份管理多个本地基础设施组件和系统。不要与 Microsoft Entra ID 混淆，后者是与 AD 结合使用的一个工具。

由于组织的 Active Directory 控制着所有系统访问，因此有效的 Active Directory 安全对于保护整个数据环境至关重要。

这是 Active Directory (AD) 的一个补充工具，可将本地身份扩展到云应用；类似于 Web 应用 SSO 工具，不过是在本地而非云端使用。与 Microsoft Entra ID (Azure AD) 一样，AD FS 不是用于取代 Active Directory，而是与之结合使用的工具。

亦称为自适应身份验证或基于风险的身份验证。这是一种根据特定访问请求带来的风险动态调整登录参数的方法。例如，用户在自己一直使用的设备上登录服务可能只需要提供密码，但如果他们尝试从新设备甚至是新浏览器登录，则可能还需要回答安全问题或提供一次性访问码。

一组定义和协议，允许不同的软件应用相互通信。例如，天气应用可使用政府气象局的 API 来显示天气数据。大多数现代网站和应用或多或少都使用了一些第三方 API。

有四种不同类型的 API：

公共 API，任何人都可以使用，但某些公共 API 需要事先授权和/或使用费。

私有 API，顾名思义：私有。它们属于组织内部，仅在内部使用。

合作伙伴 API，类似于私有 API。它们只能由经授权的外部业务合作伙伴使用，以促进业务之间的应用和交易。

复合 API，这是两种或多种 API 类型的组合。

这是用于向 API 验证用户、开发人员或应用身份的唯一标识符。通常包括对 API 的一组访问权限。

确保用户是其声称的身份。请参阅身份管理。

确保用户被授权访问特定系统和数据。请参阅访问管理。

一种身份即服务 (IDaaS) 解决方案，组织可以在其数据环境中（包括云端和本地）用于其所有应用。Microsoft Entra ID 不是用于取代 Active Directory，相反，它可与 AD 结合使用。

一个人独特的身体特征，例如指纹、虹膜扫描和面部识别，用于用户身份验证和访问控制。

一种自动化攻击，威胁行为者使用脚本提交大量的密码或密码短语，系统地检查所有可能的组合，直到找到一组有效的凭据。

业务流程自动化 (BPA) 是指自动执行重复或手动任务以提高组织效率的软件。BPA 的示例包括自动响应客户操作，例如订单确认和自助式密码重置 (SSPR)。

一种旧式 IAM 框架，其中定义的网络外围内的所有用户均为隐式受信任，而外部用户则不是。云计算、移动性和广泛的远程访问已使城堡与护城河过时，它已被弃用，取而代之的是零信任。

作为 FIDO2 规范集的一个关键组成部分，客户端到身份验证器协议 (CTAP) 使外部身份验证器（例如智能手机或安全密钥）能够与支持 WebAuthn 的浏览器配合使用，并充当 Web 服务和桌面应用的身份验证器。

亦称为云安全。这是一个总括术语，涵盖用于保护云端存储和使用的数据、应用和服务以及底层云基础设施的策略、程序、控制和工具。

通常，公共云服务采用责任分担模式运行，其中云服务提供商负责云端*的*安全，而购买服务的组织负责云端*内*的安全。这意味着云服务提供商保护底层基础设施，包括物理数据中心以及其中的所有服务器和设备，而组织则保护其云部署内的数据和工作负载。

一种基于云的服务，为其他基于云的服务提供 IAM 解决方案。

系统在会话期间监视用户行为，将其与基线进行比较，查看是否有异常，并在检测到异常行为时要求用户重新进行身份验证的过程。

一种利用许多人在多个帐户上使用相同登录凭据这一事实的攻击。在撞库攻击中，一旦威胁行为者成功地从一个站点获得了一组有效的登录凭据，他们就会试图在尽可能多的站点上使用这些凭据。

组织管理客户身份和访问级别的流程。本质上是 IAM 的一个子类型，仅指客户，而不是内部用户或业务合作伙伴。

纵深防御 (DiD) 是一种多层网络安全方法，每层都侧重于不同类型的安全，以创建针对网络威胁的全面而强大的防御。其理念是，如果一层失效，下一层仍可阻碍威胁行为者。DiD 策略中最常见的元素包括防病毒软件、网络安全工具和控件、IAM 解决方案以及数据丢失防护解决方案。

移除用户对整个系统或单个应用访问权限的过程。从公司离职的员工将被从整个系统中取消预配；调到另一个地点或部门的员工将被从原地点或部门的系统中取消预配。

DevOps 安全，亦称为 DevSecOps，是一种应用安全实践，旨在进行“安全左移”，即尽早将其引入软件开发生命周期 (SDLC)，以构建安全的应用。此外，与 DevOps 一样，DevSecOps 打破了组织的孤岛，在整个 SDLC 中增强了开发、运营和安全团队之间的沟通和协作。

端点是连接到计算机网络的物理设备。该术语通常用于描述通过网络进行数据交换的点或接入点。端点可以是单个设备，如智能手机、平板电脑和计算机，也可以是服务器上的软件应用程序，如网络服务 API。

EDR 解决方案有时亦称为端点威胁检测和响应 (ETDR)，是一种集成的端点安全工具，可将实时持续监视和端点数据收集与基于规则的自动响应和分析相结合。EDR 解决方案可监视所有端点活动，对其进行分析以识别威胁模式，自动响应以消除或遏制已识别的威胁，并通知人类安全人员。EDR 系统的目标是实时识别威胁，尽可能自动缓解或遏制威胁，并便于相关人员快速响应。

端点特权管理将应用控制与最低特权访问相结合，以确保用户仅运行具有最低特权的受信任应用。

在过去，组织内的网络访问分为两大类：标准用户和管理员。在当今高度复杂的分布式数据环境中，这远不足以抵御与凭据相关的网络攻击。端点特权管理可控制用户访问级别，以便将管理特权授予尽可能少的用户。除了防范内部威胁外，端点特权管理还可限制在外部威胁行为者获得泄露的一组有效用户凭据后在网络中横向移动的能力。

端点保护平台 (EPP) 是一种集成解决方案，可检测端点设备上的恶意活动，并保护其免受未授权访问、网络钓鱼和基于文件的恶意软件攻击。现代 EPP 通常基于云，其中一些包含个人防火墙、数据保护和数据丢失防护功能、设备控制以及与漏洞、补丁和配置管理解决方案的集成。

企业密码管理程序 (EPM) 是专门为商业用途设计的密码管理平台。EPM 是任何组织的安全和 IAM 堆栈的基本组成部分。

EPM 具有消费者密码管理程序的所有功能，例如自动生成高强度密码，为用户提供安全的数字保管库以用于从多个设备存储和访问其密码。但是，它们还包含许多特定于组织的功能，例如 IT 和安全人员可以用来预配和取消预配用户帐户的管理面板；监视和控制整个组织的密码使用；设置基于角色的访问控制 (RBAC) 和最低特权访问；运行审计报告和管理共享密码。

此外，一些 EPM 提供专门定制的解决方案，以满足托管服务提供商（例如 KeeperMSP）和美国政府机构（例如 Keeper Security Government Cloud，亦称 KSGC）的需求。

联合身份管理 (FIM) 是一种身份验证方法，通过该方法，多个软件系统共享来自更大的集中式系统的身份数据，从而允许用户使用一组登录凭据访问多个应用和系统。虽然联合身份管理经常与 SSO 同义使用，但 FIM 允许跨域（称为“联合组织”）访问系统和应用，而 SSO 则是允许在单个域内进行访问。

组织经常会同时使用 SSO 和 FIM。

这是一个开放的行业协会，其使命是促进“通过身份验证标准帮助减少世界对密码的过度依赖”。

这是 FIDO 联盟和万维网联盟 (W3C) 共同促成的一个项目，旨在让用户能够使用常见设备（例如智能手机和硬件安全令牌）在电脑和移动环境中进行在线服务身份验证。FIDO2 主要是基于 U2F 身份验证标准，由 WebAuthn 标准集和 FIDO 客户端到身份验证器协议 (CTAP) 组成。

身份和访问管理 (IAM) 是一个总括术语，涵盖组织用来管理最终用户的数字身份和控制对组织网络、应用和数据的访问的策略、程序、控制和技术工具。IAM 是纵深防御 (DiD) 的基本组成部分。

特权访问管理 (PAM)、特权会话管理 (PSM)、身份治理和管理 (IGA) 以及客户身份和访问管理 (CIAM) 均为 IAM 的子类别。

身份即服务 (IDaaS) 是一种基于云的身份验证解决方案。有时亦称为 SaaS 交付的 IAM (Gartner) 或 IAM 即服务 (IaaS)。IDaaS 是一个总括术语，指代 IAM 的各种 SaaS 解决方案，从 SSO 平台到密码管理程序。

身份治理和管理 (IGA) 是 IAM 的一个子类别，指的是允许组织确保其 IAM 策略在整个数据环境中保持一致并普遍执行的策略和技术工具。IGA 工具使组织能够自动创建、管理和认证用户帐户、角色及访问权限，从而更有效地管理数字身份，并降低与身份相关的访问风险。

虽然 IGA 和 IAM 有时可以互换使用，但 IGA 与 IAM 的不同之处在于，正如 Gartner 所说，IGA“不仅允许组织定义和强制 IAM 策略，还可以连接 IAM 功能以满足审计和合规要求”。

身份生命周期管理 (ILM) 是 IAM 的一个子类别，指的是创建数字身份及其相关权限，在整个生命周期中对其进行管理和更新，以及在不再需要时将其删除的策略、程序和技术工具。数字身份可以属于人类用户（包括员工、承包商、供应商、业务合作伙伴）或应用。

用户特权会随时间而变化。如果员工晋升或承担额外的工作职责，则可能需要调整其网络特权。当员工从组织离职时，必须立即撤销其访问权限。在这些情况下，ILM 将发挥作用。

系统确定用户是其声称身份的过程。示例包括用户名和密码以及多步验证。可与访问管理结合使用。

身份提供程序 (IdP) 是一种存储和管理用户身份的服务。IdP 可能会根据存储的用户名和密码组合列表检查用户，或者也可以提供用户身份列表让其他提供程序检查。SSO 提供程序属于 IdP。

JSON Web 令牌 (JWT) 是一种开放标准，用于在客户端和服务器之间共享安全信息。JWT 使用私有机密或公钥/私钥进行签名，因此在签发令牌后不能更改声明。

即时访问，亦称为 JIT 访问，是一种特权访问管理 (PAM) 实践，其中人类和非人类用户的特权实时提升，会话时长限制在预定时间内。这确保了人类用户或应用只有在需要时才能访问特权应用或系统，并且只能在一段时间内访问。

一种开源网络身份验证协议，使用对称密钥加密来验证通过不受信任的网络（例如互联网）进行通信的受信任主机之间的请求。Kerberos 是 Microsoft Windows 的默认授权协议，也是 Windows Active Directory 的核心组件。所有主流操作系统都内置了对 Kerberos 的支持。它广泛用于支持多种身份验证方法的大型 SSO 部署。

一种安全最佳实践，其中人类用户和应用拥有执行任务所需的绝对最低级别的系统访问权限，而不提供更多权限。

轻量级目录访问协议 (LDAP) 是一种开放的应用协议标准，用于通过 IP 网络访问和维护分布式目录信息服务。LDAP 通常用作用户名和密码的单一真实来源；在员工入职和离职时，应用可以连接到 LDAP 服务器自动添加和删除用户。LDAP 被用作 Microsoft Active Directory 的基础。

另请参阅 SCIM，这是一种正在迅速流行的 LDAP 替代方案。

机器身份管理 (MIM) 用于管理非人类用户的数字身份，即硬件设备（包括物联网设备）、工作负载、应用、容器等使用的数字证书和密钥。MIM 是 IAM 和机密管理的子集。

恶意软件，顾名思义，是指一种通过各种技术感染设备的恶意软件，例如通过受害者点击钓鱼电子邮件或下载游戏、电影或软件等恶意文件。

主密码，有时缩写为 MP，是指最终用户在安装和设置 Keeper 之类的密码管理程序时创建的密码。用户的主密码是他们唯一必须记住的密码。因为这是他们进入其数字密码保管库的钥匙，所以使用高强度的唯一密码至关重要，并且用户决不能丢失或忘记它。因此，密码短语是创建主密码的一个好方法。

多步验证 (MFA) 和两步验证 (2FA) 是一种身份验证方法，要求用户提供两个或多个身份验证因素以获得对资源（例如应用、文件夹或系统）的访问权限。“合格”的两步验证/多步验证要求每个验证因素必须来自不同的验证类别，如下所示：

您知道的事情 - 例如密码或 PIN 码。

您拥有的东西 - 例如安全钥匙或卡。

您的身份 - 生物识别特征，例如指纹或虹膜扫描。

您的位置 - 您的 IP 地址和地理位置。不经常使用。

ATM 是多步验证的一个示例，因为用户必须插卡（他们拥有的东西）并输入密码（他们知道的事情）。

两步验证和多步验证本质上是同义词，唯一的区别是两步验证只需要 2 个身份验证因素，就如在 ATM 示例中，而多步验证理论上可能需要 3 个或更多因素（例如智能卡、密码和指纹）。

委派对 Web 应用和网站中用户信息的访问的一项开放标准。由 Amazon、Google、Facebook、Microsoft 和 Twitter 等公司使用，允许用户与第三方应用或网站共享有关其帐户的信息，而无需向这些第三方提供其密码。

一次性密码 (OTP) 或基于时间的一次性密码 (TOTP) 是一种自动生成的字符串，用于对单个事务或登录会话的用户进行身份验证。OTP 可通过电子邮件、短信或身份验证器应用发送。经常被用作两步验证/多步验证的身份验证因素。

TOTP 与 OTP 类似，不同之处在于它仅在很短的时间内有效，通常为 30-60 秒。

OpenID Connect (OIDC) 是一种基于 OAuth 2.0 框架构建的 RESTful 身份验证系统，使用 JSON Web 令牌。它允许第三方应用验证用户身份，并获取基本的用户个人资料信息，从而实现跨多个应用的单点登录。

在哈希传递 (PTH) 攻击中，威胁行为者窃取了经过哈希处理的密码，并在不破解密码的情况下，试图用来诱骗系统创建新的经过身份验证的用户会话。哈希传递通常用于在已经被入侵的网络中横向移动。Windows 机器特别容易受到哈希传递的影响，因为 New Technology Local Area Network Manager (NTLM) 哈希中存在一个漏洞，该漏洞允许威胁行为者仅使用密码哈希来利用被入侵的域帐户，而无需实际的密码。

密码短语是用户创建高强度唯一密码的一种简便方法。因此，密码短语经常用于创建主密码。

创建密码短语时，用户需要编一个由大小写字母、数字、特殊字符和标点符号组合的句子或短语。

不可接受的密码短语示例：“My first apartment was in Alexandria, Virginia.” 这将生成密码 MfawiAV — 长度很短（只有 7 个字符），并且不包含任何特殊字符或数字。使用自动密码破解器的威胁行为者可以相当快地破解此密码。

可接受的密码短语示例：“My first apartment was at 2630 Hegal Place #42 Alexandria, Virginia 23242.” 这将生成密码 Mfawa2630HP#42AV23242，长度为 21 个字符，并且包含大小写字母、数字和特殊字符。即使使用自动密码破解器也需要几十年的时间才能破解这个密码！

一种暴力攻击，它利用了许多密码在用户中相当“热门”这一事实。例如，许多人会使用键盘上的“qwerty”模式或仅使用“password”一词。 密码喷洒攻击会获取“热门”密码列表，并尝试将其与系统中的每个用户名组合使用。

一种不使用密码，而是通过生物识别、安全密钥或一次性密码 (OTP) 等手段验证用户身份的方法。

特权提升和委派管理 (PEDM) 亦称为超级用户特权管理 (SUPM)，是 PAM 的一个子集，可为非管理员用户提供基于特定限制的临时访问特权系统的权限。例如，用户只能在指定的时间段内被授予对特定应用的访问权限。在会话限制到期后，用户的访问权限将自动撤销。

PEDM 解决方案使组织能够利用即时访问来减少具有管理特权的用户数量。

特权访问治理 (PAG) 将 IAM 规则应用于特权用户，确保即使是特权用户的访问亦遵循最低特权原则。与 PAG 相关的流程包括自动帐户预配和取消预配，授予新特权访问权限的正式批准流程，以及定期审查特权帐户以确保访问级别仍然适当。

特权访问管理 (PAM) 是指组织用于保护、控制和监视对其最关键的信息和资源（例如本地和域管理帐户）访问的工具和技术。

特权访问管理即服务 (PAMaaS) 有时被称为 PAM-as-a-Service，是一种基于云的特权访问管理解决方案。

特权访问工作站 (PAW)，有时亦称为安全访问工作站 (SAW)，是一种专门为执行高特权任务而设计的强化工作站。PAW 配置了限制本地管理访问权限和阻止电子邮件、办公生产工具和 Web 浏览的安全控制和策略；它们仅配备了执行高特权任务绝对必要的工具。这可以阻止最常见的网络钓鱼攻击媒介（电子邮件和网页浏览），从而大大降低了 PAW 遭到入侵的风险。

相较于标准用户帐户，特权帐户的网络访问级别要高得多。例如，特权帐户可以预配和取消预配用户、更改用户访问级别或者修改系统或应用配置。

特权帐户通常称为管理员帐户，但并非所有特权帐户都是由人类使用。应用使用的服务帐户也是特权帐户。

此外，术语“特权帐户”亦可能是指高级非技术用户，例如首席执行官或首席财务官，他们可以访问极其敏感的数据，例如政府机密文件、医疗记录或组织的财务信息。

特权帐户和会话管理 (PASM) 是特权访问管理 (PAM) 的一部分，它为组织提供了一种保护、控制和监视特权用户帐户的方法。它使 IT 团队能够对关键的管理用户会话进行强有力的管理。

特权身份管理 (PIM) 可与 PAM 协同使用。PAM 指的是管理特权用户帐户的策略和技术解决方案，PIM 则涉及管理特权用户可以访问哪些资源。PIM 允许组织控制、管理和监视特权用户对特定数据及系统的访问权限。

特权会话管理 (PSM) 可与特权访问管理 (PAM) 协同使用，以保护对组织最敏感和最关键系统及数据的访问。PAM 侧重于保护特权用户凭据，而 PSM 则用于控制、监视和记录特权会话，这意味着特权用户在登录网络后将执行哪些操作。

除了防范特权用户滥用访问权限外，PSM 还使组织能够满足合规性法规，例如 SOX、HIPAA、PCI DSS、ICS CERT、GLBA、FDCC 和 FISMA，这些法规要求记录和监视特权活动。

特权用户管理 (PUM) 有时亦作为特权访问管理 (PAM) 和特权身份管理 (PIM) 的同义词。但是，它们存在一些关键的区别。与 PAM 帐户不同，PUM 帐户通常是共享的，并且它们并不使用两步验证/多步验证，用户只需通过密码即可访问 PUM 帐户。因此，应避免使用 PUM 帐户。

建立用户对整个系统或单个应用访问权限的过程。新员工将被预配到其完成工作所需的所有系统和应用；承担额外工作职责的员工可能需要被预配到额外的应用和系统。

亦称为公钥加密或非对称加密。一种加密数据的方法，使用两个密钥，一个是公钥，任何人都可以使用，另一个是私钥。使用公钥加密的数据仅可使用私钥解密，反之亦然。

PWN 是黑客俚语，起源于在线游戏社区，是“owned”误拼（这也是为什么 PWN 的发音是 “own”而非“pawn”的原因）。它的意思是征服或控制，例如成功入侵帐户或网络。

远程身份验证拨入用户服务 (RADIUS) 是一种客户端-服务器协议，支持对远程和无线网络访问进行集中式身份验证、授权和记帐管理。RADIUS 在应用层运行，使组织能够在所有远程服务器共享的中央存储库中维护用户个人资料。

远程桌面协议 (RDP) 是由微软开发的专有网络通信协议，RDP 支持对工作站和服务器的安全远程访问。非技术最终用户可以使用 RDP 远程访问其工作站，IT 管理员和 DevOps 团队亦可使用 RDP 远程执行系统维护以及诊断和修复问题。使用图形用户界面，远程用户可以像坐在远程机器前一样打开应用和编辑文件。

除了 Windows 版之外，RDP 客户端亦提供 Mac OS、Linux/Unix、Google Android 和 Apple iOS 版本。RDP 软件还有开源版本。

表述性状态转移。一种现代、无状态、高度灵活的 API，定义了一组函数，例如 GET、PUT 和 DELETE，客户端可以使用这些函数访问服务器数据。客户端和服务器使用 HTTP 交换数据。

与业务流程自动化 (BPA) 类似，机器人流程自动化 (RPA) 是指自动执行手动和重复性工作的软件。但是，与 BPA 解决方案不同，RPA 更多地使用了人工智能和机器学习，以便机器人可以模仿人类用户，并适应动态环境。例如，BPA 用于通过电子邮件向客户发送预设回复（例如订单或发货确认），而 RPA 则用于构建可实时分析客户查询的交互式聊天机器人。

基于角色的访问控制 (RBAC)，亦称为基于角色的安全性，是一种访问控制模型，其中用户在组织中的角色决定了他们可以访问哪些网络资源。RBAC 的目标是确保用户无法访问与其工作职能无关的系统和数据，从而加强合规，防止数据泄露，并在用户凭据遭到泄露时阻碍威胁行为者在网络内横向移动的能力。可与最低特权访问协同使用。

安全断言标记语言。各方之间交换身份验证和授权数据的一种开放标准。通常由 SSO 身份提供程序用于与服务提供程序进行通信，从而允许 SSO 跨安全域扩展，并使 Web 浏览器单点登录成为可能。

在 IT 环境中，机密是任何必须保密的紧凑数据。通常由非人类用于对高特权系统和数据进行身份验证。IT 机密的示例包括 RDP 凭据、SSH 密钥、API 密钥和特权帐户凭据。

在 IT 环境中安全存储、访问和管理基础设施机密的工具和方法，例如 API 密钥、数字证书和特权帐户凭据。 也称为应用到应用密码管理 (AAPM)。

安全外壳协议 (SSH) 是一种允许两台电脑安全进行通信的加密网络协议。SSH 的开发是作为 Telnet 和不安全的 Unix 远程外壳协议（以明文形式传输数据，包括密码）的安全替代方案。SSH 使用公钥加密技术对远程电脑进行身份验证，允许其对用户进行身份验证，并对两台电脑之间的所有通信进行加密。SSH 最常见的用途是远程登录和执行命令行。

安全即服务 (SaaS/SecaaS) 是一种商业模式, 在该模式下, 组织将网络安全解决方案和服务外包出去, 而不是使用内部资源。SECaaS 可以小至部署托管的基于云的 PAM 或 IAM 平台，亦可大至外包组织的所有安全功能。

安全信息和事件管理 (SIEM) 系统是一个软件平台，用于汇集来自整个组织数据环境的安全数据，对其进行分析，并在发现潜在威胁时通知人类安全人员。SIEM 可从硬件和应用（包括网络设备、服务器和域控制器）收集和分析数据。

最终用户用来证明其身份和访问数字资源的一种物理或逻辑设备。除了密码之外，您还可以使用安全令牌，作为两步验证/多步验证因素，或者在无密码身份验证设置中代替密码。

物理安全令牌包括密钥卡或安全密钥（例如 YubiKey）。数字安全令牌包括由身份验证应用生成的 OTPS/TOTP。

自助式密码重置 (SSPR) 是一项业务流程自动化功能，使用户无需与人工 IT 人员交互即可重置其密码，从而为最终用户和服务台员工节省了时间。SSPR 通常用于重置丢失、忘记或过期的密码。

非人类用户（尤其是应用）使用的一种特殊类型的特权帐户。服务帐户的常见用途包括在虚拟机 (VM) 实例上运行工作负载，在调用 API 和其他自动化流程的本地工作站或数据中心运行工作负载。

人类用户不直接参与服务帐户的创建或使用。通常，它们是由软件包管理程序在软件安装期间创建和配置，应用将使用服务帐户的身份来调用 API 或运行其他进程。这类自动化为 IT 团队节省了时间，但与其他特权帐户一样，服务帐户会带来重大的网络安全风险，必须对其进行严格管理和控制。

密钥是一种现代无密码身份验证技术，它允许用户使用加密密钥而不是密码来登录帐户和应用。密钥利用生物识别（指纹、面部识别等）来确认用户的身份。

作为机密管理的一个子集，服务帐户治理 (SAG) 是指用于保护和管理服务帐户的策略、程序和技术工具，包括预配和取消预配、密码管理和依赖关系管理。

共享帐户密码管理 (SAPM) 类似于特权用户管理 (PUM)。它指的是共享特权帐户的管理，组织应竭尽全力避免这种情况，因为出于安全和合规目的，必须严格管理和监视特权帐户。

单点登录 (SSO) 是一种身份验证方法，用户可以使用一组凭据访问多个应用和系统。虽然 SSO 经常与联合身份管理 (FIM) 同义使用，但 SSO 允许在单个域内进行访问，而联合身份管理则允许跨域访问系统和应用。

SSO 示例：员工使用一组凭据访问其工作电子邮件、HR 系统和其他内部资源。

FIM 示例：员工使用一组凭据访问第三方应用，例如视频会议应用和工单系统。

SSO 和 FIM 经常相互结合使用。

一个已停止使用的较旧 API，取而代之的是更灵活的选项，例如 REST。其采用简单对象访问协议，客户端和服务器使用 XML 交换消息。

Gartner 将软件变更和配置管理 (SCCM) 定义为用于管理和控制软件版本和配置的工具。Gartner 亦将“开发变更管理、缺陷跟踪、变更自动化、开发发布管理、集成测试管理、集成构建管理和其他相关流程”的解决方案视为 SCCM 的一部分。

跨域身份管理系统 (SCIM) 是自动执行用户预配和取消预配的一种开放标准。SCIM 支持通过 REST 标准化 API 在身份域或 IT 系统之间交换用户身份信息，数据格式为 JSON 或 XML。组织在员工入职和离职时可使用 SCIM 从第三方平台（例如办公生产力套件、CRM 和工单系统）自动添加和删除用户。

随着组织越来越多地采用 SaaS 解决方案，SCIM 作为 LDAP 的替代方案正在迅速普及。Microsoft Entra ID 等主要身份提供程序都支持 SCIM，包括 Microsoft Office 和 Google Workspace 在内的许多热门 SaaS 平台也是如此。

传输层安全 (TLS) 和安全套接字层 (SSL) 是在通过互联网传输数据时加密数据和验证连接的加密协议。

TLS 是从 SSL 演变而来；TLS 协议原本应该被称为 SSL 3.0。该名称在发布之前进行了更改，以解除与创建 SSL 的现已倒闭的 Netscape 公司的关联。虽然 TLS 和 SSL 这两个术语经常互换使用，但 SSL 已不再使用，因为它包含 TLS 旨在修复的安全漏洞。

用户可以使用包含会话状态信息的签名 Cookie 进行身份验证进入应用的一种方法。基于令牌的身份验证通常是与其他身份验证方法结合使用。在此情况下，将使用另一种方法进行初始身份验证，当用户返回网站或应用时，则使用基于令牌的身份验证进行重新身份验证。

通用身份验证框架 (UAF) 是由 FIDO 联盟开发的开放标准，其目标是将无密码身份验证作为主要身份验证因素，而不是辅助身份验证因素。

通用第二因素 (U2F) 是一种开放标准，使用通过 USB 或近场通信 (NFC) 连接的硬件安全令牌作为两步验证/多步验证中的额外因素。U2F 标准最初由 Google 和 Yubico 开发，NXP Semiconductors 亦有贡献，目前由 FIDO Alliance 管理。它已被 FIDO2 项目替代。

用户帐户控制 (UAC) 是 Microsoft Windows 系统中包含的一项强制性访问控制强制功能。UAC 通过防止人类用户、应用和恶意软件对操作系统进行未经授权的更改，帮助降低恶意软件的影响。它的工作原理是强制每个要求管理员访问令牌的应用在运行特定进程（例如安装新软件）之前提示征得同意。

用户和实体行为分析 (UEBA) 利用人工智能和机器学习算法为组织网络中的人类用户、路由器、服务器和端点创建行为基线，然后监视与该基线的偏离。使用 UEBA 的一个常见示例是，信用卡公司暂时冻结客户的帐户，因为其算法注意到用户行为发生了极大变化，例如客户突然下了多个非常大的订单。

Vendor Privileged Access Management (VPAM) is a component of Privileged Access Management (PAM) that focuses on managing, controlling and monitoring the access third-party vendors and contractors have to an organization’s systems, networks and data.

虚拟网络计算 (VNC) 是一种跨平台的屏幕共享系统，用于从另一台电脑远程控制桌面。使用 VNC，远程用户可以像坐在其前面一样使用电脑的屏幕、键盘和鼠标。

VNC 在客户端/服务器模式下工作，这要求在被访问的远程机器上安装服务器组件，并在访问远程机器的设备上安装一个 VNC 查看器或客户端。VNC 使用远程帧缓冲 (RFB) 协议来控制在客户端和服务器之间传递的数据格式。

VNC 与 RDP 类似，但 VNC 可以跨多个操作系统工作，并直接连接到远程电脑，而不是通过服务器。

Web 访问管理 (WAM) 是 IAM 的前身，其在 20 世纪 90 年代和 21 世纪初很常见。WAM 解决方案可控制和管理用户对企业数据中心本地托管的 Web 资源的访问。由于 WAM 工具无法适应云计算、移动性、API 和远程访问的出现，它们已被更强大的 IAM 解决方案所取代。

WebAuthn（Web 身份验证）是由万维网联盟 (W3C) 发布的基于 Web 的 API，也是 FIDO2 规范集的关键组成部分。WebAuthn 允许网站更新其登录页面，以便在支持的浏览器和平台上添加基于 FIDO 的身份验证。

可扩展访问控制标记语言。这是 IAM 解决方案使用的一种结构化语言，支持基于属性的访问控制 (ABAC)、基于策略的访问控制 (PBAC) 和其他高复杂度的授权机制，这些机制根据一组协同的细粒度用户属性授予访问权限。

零知识是一种安全模型，它使用独特的加密和数据隔离框架，通过确保 IT 服务提供商不了解其服务器上存储的客户数据来防止远程数据泄露。

在零知识环境中，数据是在设备级别而非在服务器上进行加密和解密。服务器从不以明文形式接收或存储数据，IT 服务提供商也无法访问客户加密密钥。因此，除了客户之外，任何人都无法访问未加密数据，即使是 IT 服务提供商自己的员工也无法访问。

Keeper Security 是一个零知识安全产品供应商。数据在传输并存储在 Keeper 的数字保管库之前，会在用户设备上进行加密。当数据同步到另一设备时，数据将保持加密，直到在另一设备上解密。Keeper 无法访问客户的主密码，也无法访问客户的加密密钥来解密其数据。

一种现代 IAM 框架，其假定所有用户和设备都可能存在威胁，因此无论是人还是机器都必须经过验证才能访问网络，并且对网络资源必须只有最低特权访问权限。

零信任网络访问 (ZTNA) 是一个网络安全框架，专注于维护严格的访问控制和身份验证机制，无论用户或设备是位于网络边界内部还是外部。

可发现凭据，亦称常驻密钥，使 WebAuthn API 能够提供高可信度多步验证和无密码登录体验。

在“传统”身份验证设置中，用户的凭据存储在信赖方的服务器上。这使得服务器必须先将凭据返回给身份验证器，然后身份验证器才能解密和使用它们。此外，用户必须输入用户名（通常还要密码）来验证其身份。

在可发现凭据设置中，用户的私钥和关联元数据是存储在身份验证器上，而不是信赖方的服务器上。在初始注册过程中，信赖方的服务器会生成一个包含唯一标识符的用户句柄。此用户句柄及私钥均存储在身份验证器上。

然后，在身份验证过程中，身份验证器返回用户句柄，并允许服务器查找关联的用户，而不是用户必须输入其用户名才能登录。如果身份验证器还支持 PIN 码或生物特征验证，则信赖方可在单个登录步骤中得到高可信度多步验证，而无需传输任何密码。

证明是指某事的根据或证据。FIDO 2.0 安全规范集使用证明向信赖方提供身份验证器模型的密码验证，然后信赖方可以从中推导出身份验证器的安全特征。

在 FIDO 2.0 中，证明语句绑定至上下文数据。当签名请求从服务器传递给身份验证器时，将观察并添加数据。为了验证签名，服务器会根据预期值检查所收到的数据。

在 FIDO 2.0 中，信赖方是使用 FIDO 协议直接对用户进行身份验证的网站或任何其他实体。

在 FIDO 与 SAML 和 OpenID Connect 之类的联合身份管理协议结合使用的情况下，身份提供程序也是 FIDO 的信赖方。