開放式身分認證連接

開放式身分認證連接（OpenID Connect, OIDC）是由 OpenID 基金會維護的一套開放標準，它在 OAuth 2.0 授權框架之上增加了一個身份驗證層。OAuth 2.0 本身只處理「授權」（允許某應用程式存取特定資源），而 OIDC 則專注於「驗證」（確認使用者是誰）。它透過 JSON Web Tokens（JWT）格式的「ID Token」來安全地傳遞使用者身份資訊。在風險管理體系中，OIDC 是實現 ISO/IEC 27001 中 A.9 存取控制目標的關鍵技術，特別是 A.9.4.2 安全登入程序。相較於較舊的 SAML 協定，OIDC 基於 REST/JSON，更輕量且易於與現代網頁及行動應用整合。導入 OIDC 能集中化管理使用者身份驗證，強制實施多因子驗證（MFA），從而顯著降低因憑證洩漏或帳號盜用所引發的資安風險，並有助於遵循台灣《個人資料保護法》對於資料存取應有適當安全維護措施之要求。

企業可透過以下步驟將 OIDC 應用於風險管理實務： 1. **選擇身份提供者（IdP）**：評估並選擇符合企業安全政策的 IdP，例如自建 Keycloak 或採用雲端服務如 Azure AD、Okta。此決策應基於 NIST SP 800-63-3 對於身份保證等級（IAL）與驗證器保證等級（AAL）的要求。 2. **應用程式註冊與配置**：將所有內部與外部應用程式（Relying Parties）註冊至 IdP，取得客戶端憑證並設定安全的回呼 URL，以防止授權碼攔截攻擊。 3. **實作標準化驗證流程**：在應用程式中導入 OIDC 的授權碼流程（Authorization Code Flow），並強制要求 PKCE（Proof Key for Code Exchange）以保護行動與單頁應用程式的安全。同時，必須驗證 ID Token 的簽章與宣告內容（如 iss, aud）的正確性。 一家台灣的金融控股公司透過導入 OIDC 整合旗下數十個應用程式，實現了單一登入（SSO）與集中式多因子驗證（MFA）。此舉不僅使其 ISO 27001 審計中存取控制相關項目的合規率提升了約 20%，更因有效防範釣魚與憑證填充攻擊，使相關資安事件通報數量年減超過 70%。

台灣企業導入 OIDC 常面臨三大挑戰： 1. **遺留系統整合困難**：許多關鍵業務系統（ERP、CRM）年代久遠，原生不支援 OIDC。解決方案是部署「身份感知代理」（Identity-Aware Proxy, IAP），在不修改舊系統程式碼的前提下，將驗證機制外部化至代理層，由代理層處理 OIDC 流程。優先項目應為對外暴露或存取敏感資料的系統，預期時程約3至6個月。 2. **技術人才與知識缺口**：熟悉 OIDC、OAuth 2.0 及 JWT 安全性實踐的開發與維運人員不足。對策是建立內部標準作業程序（SOP）與安全開發指南，並與外部專家合作進行初期架構設計審查與教育訓練。優先行動為將 OIDC 安全配置納入開發生命週期（SDLC）的必要檢查點。 3. **法規遵循對應不清**：不清楚如何將 OIDC 的技術控制措施對應到《個人資料保護法》或金融業《電子銀行業務安全控管作業基準》等法規要求。解決方案是進行法規遵循差距分析，明確定義不同敏感度系統所需的驗證強度（如強制 MFA），並將 OIDC 的稽核日誌整合至 SIEM 系統，以滿足法規的舉證責任。優先行動為完成對金管會法規的技術對應分析，預期時程約1至2個月。

積穗科研股份有限公司專注台灣企業OIDC相關議題，擁有豐富實戰輔導經驗，協助企業在90天內建立符合國際標準的管理機制，已服務超過100家台灣企業。申請免費機制診斷：https://winners.com.tw/contact