假設(shè)網(wǎng)絡(luò)是敵對的,，驗證和授權(quán)所有訪問數(shù)據(jù)或服務(wù)的連接,。

　　介紹

　　構(gòu)建具有強(qiáng)大身份驗證方法的系統(tǒng)并構(gòu)建應(yīng)用程序以接受來自策略引擎的訪問決策,。

　　在評估與訪問請求相關(guān)的風(fēng)險時，身份驗證和授權(quán)決策應(yīng)考慮多種信號,，例如設(shè)備健康狀況,、設(shè)備位置、用戶身份和狀態(tài),。

　　多因素

　　MFA是零信任架構(gòu)的要求,。

　　這并不意味著用戶體驗一定很差。在現(xiàn)代設(shè)備和平臺上,，可以通過良好的用戶體驗實現(xiàn)強(qiáng)大的MFA,。例如，僅當(dāng)用戶和設(shè)備的信心下降時才觸發(fā) MFA,。某些身份驗證應(yīng)用程序會在受信任的設(shè)備上提供推送通知,，因此用戶無需為鍵入代碼或查找硬件令牌而煩惱。

　　值得注意的是,，并非所有身份驗證因素對用戶都是可見的,，其中一個因素可能是使用內(nèi)置 FIDO2 （線上快速身份驗證服務(wù)）平臺身份驗證器的加密支持的無密碼登錄。

　　可用性

　　重要的是,，強(qiáng)身份驗證不會妨礙服務(wù)的可用性,。例如，僅當(dāng)請求具有較高影響時才提示其他身份驗證因素,，例如請求敏感數(shù)據(jù)或特權(quán)操作,，包括創(chuàng)建新用戶。應(yīng)考慮 SSO,，以減少 MFA 的摩擦。

　　應(yīng)考慮采用基于風(fēng)險的方法來減輕額外身份驗證因素造成的更大影響,。在上面的示例中,，如果用戶的置信水平足夠高，則可以避免其他因素,。

　　無密碼身份驗證（例如 FIDO2）是一種理想的解決方案,，因為它提供了強(qiáng)大的安全性和出色的用戶體驗?？紤]實施無密碼身份驗證,，以在用戶所有服務(wù)中獲得強(qiáng)大、一致和積極的用戶體驗,。

　　服務(wù)到服務(wù)

　　服務(wù)之間的請求也需要進(jìn)行身份驗證,。通常是使用 API 令牌、OAuth 2.0 或公鑰基礎(chǔ)設(shè)施 （PKI）等框架來實現(xiàn)的,。

　　使用相互身份驗證,，因此用戶可以確信通信的兩個服務(wù)都是真實的。這是構(gòu)建允許列表時的關(guān)鍵，以根據(jù)身份授權(quán)服務(wù)之間的連接,。