数字身份管理中常见的协议有哪些？

数字身份管理依赖于多种标准化协议，以实现安全认证、授权及身份信息交换。以下为常见的核心协议及其特点：

🔒 ​一. SAML（安全断言标记语言）​​

• ​功能​：基于XML协议实现跨域单点登录（SSO），在身份提供商（IdP）和服务提供商（SP）间传递身份断言。
• ​特点​：
• ​高安全性​：通过数字签名保证断言完整性，适合企业级应用（如政府、金融）。
• ​成熟度高​：2003年商用，支持集中式用户管理，但XML处理复杂，移动端兼容性弱。
• ​典型场景​：企业内网门户访问、需符合严格监管的行业（如医疗数据交换）。

🆔 ​二. OIDC（OpenID Connect）​​

• ​功能​：在OAuth 2.0上扩展身份认证层，通过JSON Web令牌（JWT）传递用户身份信息。
• ​特点​：
• ​轻量化​：基于RESTful API和JSON，开发友好，适合现代Web/移动应用。
• ​灵活性​：支持去中心化身份验证，可集成社交登录（如微信、Google账号）。
• ​典型场景​：移动App登录、API保护、消费者级SSO（如电商平台一键登录）。

🔑 ​三. OAuth 2.0（开放授权协议）​​

• ​功能​：授权第三方应用有限访问用户资源（如API、数据），​不直接处理身份认证。
• ​特点​：
• ​资源隔离​：用户凭证不暴露给第三方，仅通过令牌（Token）授权访问。
• ​广泛适配​：为OIDC提供基础框架，支持多种授权模式（如授权码、隐式模式）。
• ​典型场景​：第三方应用访问用户数据（如小程序调用微信API）、云服务授权管理。

🔄 ​四. SCIM（跨域身份管理系统）​​

• ​功能​：自动化用户账号生命周期管理（创建、更新、注销），实现跨系统身份同步。
• ​特点​：
• ​高效协同​：与SAML/OIDC互补，解决用户配置而非认证问题。
• ​减少人工干预​：员工入职时自动开通多系统权限，离职时一键冻结。
• ​典型场景​：企业HR系统与IT系统的账号同步、多云环境用户管理。

📁 ​五. LDAP（轻量级目录访问协议）​​

• ​功能​：提供集中式目录服务，存储和查询用户/组织信息，支持基础认证。
• ​特点​：
• ​层次化结构​：适合企业内网用户信息管理（如微软Active Directory）。
• ​局限性​：非为高频更新设计，易成单点故障源；需结合其他协议增强安全性。
• ​典型场景​：企业内部统一账号库、邮箱系统认证。

⚖️ ​六. 国家标准协议（如GB/T 31504-2015）​​

• ​功能​：中国《数字身份信息服务框架规范》，定义身份信息创建、查询、修改的XML交互格式。
• ​特点​：
• ​合规性优先​：遵循国内数据安全法规，支持属性扩展和标准化治理。
• ​典型场景​：政务身份认证、金融行业合规系统开发。