Domain 5 权重 13% 认证、授权与身份生命周期

D5 身份和访问管理

Identity and Access Management

本领域关注主体和客体、身份识别、认证因素、SSO、联合身份、AAA、授权模型、最小权限、职责分离和身份生命周期。重点是分清认证、授权、审计和问责。

章节列表

D5-01 识别、认证、授权、审计与问责 7–9 分钟 · 重要程度:高 · IAM 的核心顺序是先声明身份、再验证身份、再授权访问,最后通过审计和记账支持问责。 D5-02 认证因素、MFA、密码、令牌与生物识别 9–11 分钟 · 重要程度:高 · 多因素认证必须来自不同因素。两个密码或密码加 PIN 仍只是同一因素。生物识别要会 FAR、FRR、CER。 D5-03 SSO、LDAP 与 Kerberos 8–10 分钟 · 重要程度:高 · SSO 让主体认证一次访问多个资源。Kerberos 是票据系统,依赖 KDC、TGT、时间同步和对称密钥。 D5-04 联合身份、SAML、OAuth、OpenID Connect 与 IDaaS 8–10 分钟 · 重要程度:高 · 联合身份让不同组织共享身份信任。SAML 常用于企业 SSO;OAuth 是授权委派;OpenID Connect 在 OAuth 上提供认证。 D5-05 AAA、RADIUS、TACACS+ 与 Diameter 6–8 分钟 · 重要程度:中 · AAA 是认证、授权和记账。RADIUS 常用于远程访问认证;TACACS+ 分离 AAA 并加密更多内容;Diameter 是增强版。 D5-06 访问控制模型:DAC、MAC、RBAC、ABAC 与规则/风险控制 8–10 分钟 · 重要程度:高 · 授权机制题常考隐式拒绝、ACL、能力表、DAC、MAC、RBAC、ABAC、Rule-based 和 Risk-based。 D5-07 最小权限、知其所需、职责分离与会话控制 6–8 分钟 · 重要程度:高 · IAM 不只认证,还要限制已认证主体能做什么。最小权限、知其所需、职责分离和会话控制可降低滥用风险。 D5-08 身份生命周期、配置、账户审核与撤销 7–9 分钟 · 重要程度:高 · 身份生命周期题常问 joiner/mover/leaver、账户配置、权限蠕变、访问审查和离职撤销。离职时要尽快停用访问。