6、企业身份认证与临时证书：保障安全访问的全面指南

企业身份认证与临时证书：保障安全访问的全面指南

1. 增强身份认证问题

在企业环境中，身份是实体的唯一标识。对于用户而言，身份信息通常由人力资源部门维护，分配的身份被称为DN（Distinguished Name），它在时空上必须是唯一的。例如，企业里可能有五个叫John Smith的人，但只有一个“John.Smith2534, UID=Finance, HID=Chicago”。这些信息和PKI（公钥基础设施）信息通常会被编码到PIV（个人身份验证）卡中，用于网络访问。

由于数据敏感性、企业政策或PKI的局限性，一些数据所有者可能不愿意仅依赖PKI证书进行身份验证。而另一些数据所有者可能认为PKI证书过于严格，需要较低级别的身份保证。对于丢失PIV卡、等待PIV卡发放或无法获得与ELS CA信任兼容的PIV卡的用户，可以使用临时证书。

增强身份认证的创建分为两个阶段：
- 候选身份创建 ：这是身份确定的起点，将候选身份与企业身份配对，并确定DN。通常从用户通过PIV卡声明拥有PKI证书开始，同时会验证候选身份与DN的配对是否属于请求者本人。
- 可信身份创建 ：当候选身份的相关信息和个人验证与企业身份有足够的匹配度时，候选身份就成为可信身份，用户可以凭借计算出的声明访问应用程序并获得相应权限。

2. 身份认证等级

多因素认证（MFA）是一种计算机访问控制方法，用户需要向认证机制提供多个独立的证据才能获得访问权限，通常包括知识（用户知道的信息）、拥有物（用户拥有的物品）和固有特征（用户的生物特征）中的至少两类。

ELS（