3.9.1　认证和授权

认证是指谁可以访问系统，而授权则是指用户进入系统或应用程序后可以执行哪些操作。解决方案架构师在设计解决方案时必须考虑适当的认证与授权机制。始终从最小的权限开始，根据用户角色的要求进一步提供访问权限。

如果应用程序仅供公司内部使用，你可能希望用户可以通过统一的组织管理系统（例如Active Directory、SAML 2.0或LDAP）进行访问。如果应用程序针对的是诸如社交媒体网站或游戏应用之类的大众用户群体，则可以允许他们通过OAuth 2.0和OpenID进行认证，这样用户就可以使用其他的ID（例如Facebook、Google、Amazon和Twitter）进行访问。

识别所有未授权的访问并立即采取措施以降低安全威胁非常重要，这需要通过持续监控和审计访问管理系统来保证。应用程序安全性详见第8章。