主流身份认证协议都有哪些？应用场景有何区别？

目录

用户身份数据管理的基石：LDAP协议

跨应用/跨域身份互认的纽带：SSO协议族

网络接入认证的标准：RADIUS协议

特权操作的安全闸机：TACACS+协议

域环境免密认证的支柱：Kerberos协议

身份认证协议作为用户身份管理（包括账户存储、认证、授权与审计）的核心技术规范，其设计目标与技术特性的差异直接决定了适用场景的边界。当前企业级主流身份认证协议可归纳为六大类：LDAP、RADIUS、SAML、OAuth、TACACS+、Kerberos 。下文将按功能场景展开具体分析。

用户身份数据管理的基石：LDAP协议

LDAP（轻量级目录访问协议）是专门用于用户身份数据存储、查询与管理的基础协议，其树形目录结构天然适配组织架构的层级化管理需求。微软 Active Directory（AD）、OpenLDAP 、宁盾国产身份域管系统均基于 LDAP 协议实现用户身份信息的集中式管理，为上层认证与授权提供统一的身份数据源。

跨应用/跨域身份互认的纽带：SSO协议族

在跨应用或跨域场景中实现“一次认证、多应用系统免密访问”的需求，催生了 SSO（单点登录）协议族，SAML、OAuth、CAS、OIDC等均是 SSO 单点登录的具体协议类型，但它们也有区别。例如：

1. SAML（安全断言标记语言） 基于 XML 的协议特性使其在传统企业级软件中兼容性更佳，主要适用于 Web 应用跨域 SSO 场景，但受限于协议复杂度，不适合移动端原生应用；

2. OAuth（开放授权协议） 以 OAuth 2.0 版本为代表，不仅支持 Web 应用SSO，还适用于移动 APP、小程序及API 接口的 SSO 与社交登录、第三方授权场景，是现代云原生应用的主流选择。

网络接入认证的标准：RADIUS协议

作为网络接入认证的国际标准协议，RADIUS（远程认证拨入用户服务）主要用于网络设备的鉴权与记账。其典型应用场景包括：

1. 结合 802.1X 或 Portal 协议，实现终端接入有线交换机、无线 Wi-Fi 的身份验证，实现上网实名认证可追溯；

2. 与 VPN 设备联动，验证移动办公用户接入内网的身份合规性；

3. 结合 OTP 动态密码服务，构建双因素认证机制，强化 VPN 登录安全。

特权操作的安全闸机：TACACS+协议

TACACS+（终端访问控制器访问控制系统增强版）聚焦网络设备管理员的身份验证与操作授权，可看做是特权身份管理领域的协议机制。常用于路由器、交换机、防火墙等网络设备的运维审计场景，TACACS+可完整记录“何人、何时、何地执行了哪些命令配置”，为合规审计提供关键依据。

域环境免密认证的支柱：Kerberos协议

Kerberos 协议一般用于企业 AD 域环境中基于加域计算机身份的免密认证核心机制。值得注意的是，

Kerberos 机制与操作系统本地登录认证有所区别：

1）计算机操作系统启动后的首次登录验证，仍由各系统内建模块完成验证（如Windows 依赖 LSA 本地安全机构、SAM 安全账户管理器，Linux 系统基于 PAM 可插拔认证模块）；

2） 而加域后的跨系统访问，则通过 Kerberos 票据实现免密通行。

多协议融合的实践逻辑

以上协议中，LDAP 协议可谓是最核心的一个，其他协议往往都需要跟 LDAP 结合，比如 IAM 系统在提供 SSO 能力时，往往会把 AD 作为身份源，这就是 SAML、OAuth 等和 LDAP 的结合。再比如企业内网准入后端用户数据来自 LDAP 目录，这就是 RADIUS 和 LDAP 的结合。多协议融合是现今企业身份认证的主流方案。