在數位轉型、雲端服務盛行的今天,企業的資安挑戰早已不再只是單純的「誰可以登入系統」這麼簡單。從帳號自動化、單一簽入,到動態的細緻授權,標記語言(Markup Language)已經成為現代身份與存取控管(IAM, Identity and Access Management)的核心基礎。這篇文章將帶你認識三種重要的存取控制標記語言:SPML、SAML、XACML,以及在 Zero Trust 架構下的四大授權組件(PAP、PDP、PEP、PIP)。
標記語言:讓資料與規則結構化的利器
Markup Language(標記語言),最經典的例子就是 HTML、XML。透過標記(Tag),把資料結構化,讓不同系統彼此溝通、協作。到了身份與存取控管領域,這樣的標記語言更是「標準化」與「自動化」不可或缺的工具。
SPML:自動化帳號生命週期管理
- SPML(Service Provisioning Markup Language)是專為企業帳號管理自動化而生的標準。想像一下新員工入職時,不同系統(Email、AD、CRM、ERP)都能自動建立專屬帳號、分派權限,離職時也能自動移除,不必人工手動同步。
- 實際應用:HR 異動自動同步到各大系統,極大減少 IT 人員重工與失誤風險。
- 格式與特色:SPML 以 XML 為基礎,可跨系統、跨廠牌溝通,成為企業級身分管理的基石。
SAML:聯盟認證與授權資訊的傳遞標準
- SAML(Security Assertion Markup Language)解決了「跨系統、跨雲」的身份交換難題。比如說你用 Google 帳號一鍵登入第三方服務、企業內部的單一簽入(SSO),背後通常就是 SAML 在發功。
- 主要功能:SAML 能夠傳遞「認證資訊」(例如誰已經登入)和「授權資訊」(例如他有什麼角色、可存取什麼系統)。
- 典型情境:讓不同公司的系統彼此信任,用戶體驗一致、資安流程標準化。
XACML:細緻動態的存取控制標準
- XACML(eXtensible Access Control Markup Language)專注於「授權決策」這一塊,讓企業能以規則為基礎,彈性定義各種複雜的存取權限。
- 特色:可描述誰(Subject)對什麼資源(Resource)執行什麼操作(Action),甚至依據情境(環境屬性)做動態判斷,例如「只有在上班時間、來自內網的財會人員才能下載財報」。
- 實務應用:微服務 API 授權、醫療資訊分享、政府資料開放授權等,都能用 XACML 提高細緻度與自動化。
Zero Trust 架構下的授權四大組件
隨著企業擁抱 Zero Trust(零信任)架構,授權不再「一次登入,永久通行」,而是每一次存取都需要被動態判斷。這時候,四大元件發揮了關鍵作用:
1. PAP(Policy Administration Point)——政策管理點
PAP 負責政策(Policy)的建立與管理。資安人員在 PAP 設定哪些資源需受控、誰擁有什麼權限,政策經由這裡制定後,成為整個授權決策的依據。
2. PDP(Policy Decision Point)——政策決策點
PDP 是決策中樞,負責根據政策判斷某個請求是否應該被允許。例如某員工想存取公司內部 API,PDP 會根據 Policy 來判定這個請求該放行還是阻擋。
3. PEP(Policy Enforcement Point)——政策執行點
PEP 則是政策的守門人。它負責攔截所有請求,並將相關存取請求送到 PDP 決策。當 PDP 做出決定後,PEP 會實際執行——要嘛放行、要嘛拒絕。常見於 API Gateway、Proxy、Web 應用程式的前端。
4. PIP(Policy Information Point)——政策資訊點
PIP 負責提供決策時所需的各種「外部資料」,如使用者所屬部門、資源敏感等級、當前環境狀態等,協助 PDP 做出更全面的判斷。PIP 資料來源可以是 HR 系統、AD、資料庫等。
結語
現代企業的資訊安全與存取控管,已經從「單點認證」進化到「動態授權」,甚至強調持續驗證的 Zero Trust 架構。SPML、SAML、XACML等標記語言,幫助企業實現帳號自動化、身分交換與精細授權的目標。而 PAP、PDP、PEP、PIP 四大組件,更讓授權判斷邏輯化、標準化、自動化。
面對日益嚴峻的資安挑戰,善用這些標準化工具與架構,才能讓企業既安全又高效地擁抱數位轉型!
玖駿資訊股份有限公司 