Управление идентификацией и доступом - это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по нужным причинам.
В этом посте мы рассмотрим обзор основных тем, связанных с управлением идентификацией и доступом.
Когда человек пытается получить доступ к ресурсу, мы должны убедиться, что пользователь является тем, кем он себя называет.
Идентификация - это процесс присвоения уникального идентификатора каждому отдельному пользователю, чтобы его можно было идентифицировать.
Приложения и системы используют идентификацию, чтобы определить, может ли пользователь иметь доступ к ресурсу.
Процесс управления удостоверениями включает создание, управление и удаление удостоверений, не беспокоясь об их уровнях доступа.
Аутентификация - это процесс подтверждения личности. Для этого пользователь должен передать свои учетные данные объекту аутентификации, чтобы получить доступ.
Аутентификацию часто называют AuthN.
Идентификация происходит, когда пользователь заявляет личность (например, имя пользователя). Аутентификация происходит, когда пользователи подтверждают свою личность.Есть несколько различных форм аутентификации:
Как правило, для аутентификации можно использовать три общих фактора:
Многофакторная аутентификация использует два или более из этих методов.
Цель многофакторной аутентификации - добавить еще один уровень защиты к процессу аутентификации.
Единый вход в систему (SSO) - это свойство, которое позволяет пользователю войти в одну систему и получить доступ ко всем другим системам, связанным с ней.
Примером единого входа является случай, когда вы входите в систему Google, а затем получаете доступ к Gmail, Документам Google, Таблицам Google без повторного ввода данных для входа.
Федерация просто разрешает единый вход в нескольких доменах. Google и Facebook - два крупнейших провайдера Федерации.
Это позволяет нашим пользователям аутентифицироваться в наших системах, используя уже существующие учетные данные этих провайдеров.
Токены могут быть аппаратными или программными и обеспечивать механизм аутентификации на основе «того, что у вас есть».
Аппаратные токены могут быть «смарт-картами», которые можно использовать для подключения к компьютеру через устройство для чтения карт, обеспечивающее аутентификацию.
Программные токены обычно могут быть установлены на любом устройстве (например, мобильном телефоне) и используются для генерации одноразового кода доступа.
Авторизация - это процесс определения того, какие пользователи имеют доступ к каким ресурсам в системе.
Пользователям назначается или предоставляется доступ к определенным ресурсам в системе. Этот доступ обычно зависит от роли пользователя.
После аутентификации пользователя он получает право доступа к назначенным ресурсам.
Связанный:
Нам нужен IAM по ряду причин:
Во-первых, нам нужен IAM для защиты наших систем. Мы не хотим, чтобы кто-либо имел доступ к нашим личным или конфиденциальным данным без необходимости подтверждения своей личности.
Во-вторых, нам нужно убедиться, что только авторизованные лица могут получить доступ к ресурсам, которым они назначены.
Нам также нужен IAM для подотчетности. Если действие выполнено, нам нужно знать, кто его выполнил. Мы можем посмотреть системные журналы, присвоенные личности. Без IAM у нас нет возможности узнать, кто какое действие выполнил.
В первые дни, когда разработчики создавали приложения, требующие аутентификации пользователя, им приходилось создавать хранилище пользователей в приложении для идентификации. Вдобавок к этому разработчики должны были создать какой-то метод аутентификации, а также механизм ролей и прав.
Каждое новое приложение требовало такой настройки. Проблема заключалась в том, что при изменении метода аутентификации разработчикам приходилось модифицировать все приложения, чтобы удовлетворить новые требования.
Использование механизма локальной аутентификации болезненно для пользователей, разработчиков и администраторов:
Эти проблемы решаются с помощью поставщика удостоверений (IdP).
Современный механизм управления идентификацией и доступом использует модель доступа на основе утверждений.
В доступе на основе утверждений разработчики заменяют логику аутентификации в приложении более простой логикой, которая может принимать требовать .
К Доверять устанавливается между приложением и источником аутентификации и авторизации, в данном случае провайдером идентификации или IdP.
Приложение с радостью примет заявку, отправленную от IdP.
Кроме того, приложение не должно обрабатывать какие-либо пароли, поскольку пользователи никогда не проходят аутентификацию непосредственно в приложении. Вместо этого пользователи проходят аутентификацию в провайдере идентификации, который генерирует утверждение или токен доступа, который отправляется приложению.
Использование поставщика удостоверений означает:
Идентификация - это процесс присвоения уникального идентификатора каждому отдельному пользователю, чтобы его можно было идентифицировать.