Обзор управления идентификацией и доступом (IAM) и поставщика идентификационной информации (IdP)

Управление идентификацией и доступом - это дисциплина безопасности, которая позволяет нужным людям получать доступ к нужным ресурсам в нужное время по нужным причинам.

В этом посте мы рассмотрим обзор основных тем, связанных с управлением идентификацией и доступом.

Что такое идентичность

Когда человек пытается получить доступ к ресурсу, мы должны убедиться, что пользователь является тем, кем он себя называет.

Идентификация - это процесс присвоения уникального идентификатора каждому отдельному пользователю, чтобы его можно было идентифицировать.

Приложения и системы используют идентификацию, чтобы определить, может ли пользователь иметь доступ к ресурсу.

Процесс управления удостоверениями включает создание, управление и удаление удостоверений, не беспокоясь об их уровнях доступа.



Что такое аутентификация

Аутентификация - это процесс подтверждения личности. Для этого пользователь должен передать свои учетные данные объекту аутентификации, чтобы получить доступ.

Аутентификацию часто называют AuthN.

Идентификация происходит, когда пользователь заявляет личность (например, имя пользователя). Аутентификация происходит, когда пользователи подтверждают свою личность.

Есть несколько различных форм аутентификации:

Многофакторная аутентификация (MFA)

Как правило, для аутентификации можно использовать три общих фактора:

  • Что-то, что вы знаете (например, пароль)
  • Что-то, что у вас есть (например, смарт-карта)
  • Что-то, что вы есть (например, отпечаток пальца или другой биометрический метод)

Многофакторная аутентификация использует два или более из этих методов.

Цель многофакторной аутентификации - добавить еще один уровень защиты к процессу аутентификации.

Единый вход (SSO)

Единый вход в систему (SSO) - это свойство, которое позволяет пользователю войти в одну систему и получить доступ ко всем другим системам, связанным с ней.

Примером единого входа является случай, когда вы входите в систему Google, а затем получаете доступ к Gmail, Документам Google, Таблицам Google без повторного ввода данных для входа.

Федерация

Федерация просто разрешает единый вход в нескольких доменах. Google и Facebook - два крупнейших провайдера Федерации.

Это позволяет нашим пользователям аутентифицироваться в наших системах, используя уже существующие учетные данные этих провайдеров.

Жетоны

Токены могут быть аппаратными или программными и обеспечивать механизм аутентификации на основе «того, что у вас есть».

Аппаратные токены могут быть «смарт-картами», которые можно использовать для подключения к компьютеру через устройство для чтения карт, обеспечивающее аутентификацию.

Программные токены обычно могут быть установлены на любом устройстве (например, мобильном телефоне) и используются для генерации одноразового кода доступа.

Авторизация

Авторизация - это процесс определения того, какие пользователи имеют доступ к каким ресурсам в системе.

Пользователям назначается или предоставляется доступ к определенным ресурсам в системе. Этот доступ обычно зависит от роли пользователя.

После аутентификации пользователя он получает право доступа к назначенным ресурсам.

Связанный:

Зачем нам IAM

Нам нужен IAM по ряду причин:

Во-первых, нам нужен IAM для защиты наших систем. Мы не хотим, чтобы кто-либо имел доступ к нашим личным или конфиденциальным данным без необходимости подтверждения своей личности.

Во-вторых, нам нужно убедиться, что только авторизованные лица могут получить доступ к ресурсам, которым они назначены.

Нам также нужен IAM для подотчетности. Если действие выполнено, нам нужно знать, кто его выполнил. Мы можем посмотреть системные журналы, присвоенные личности. Без IAM у нас нет возможности узнать, кто какое действие выполнил.

Использование поставщика удостоверений (IdP)

В первые дни, когда разработчики создавали приложения, требующие аутентификации пользователя, им приходилось создавать хранилище пользователей в приложении для идентификации. Вдобавок к этому разработчики должны были создать какой-то метод аутентификации, а также механизм ролей и прав.

Каждое новое приложение требовало такой настройки. Проблема заключалась в том, что при изменении метода аутентификации разработчикам приходилось модифицировать все приложения, чтобы удовлетворить новые требования.

Использование механизма локальной аутентификации болезненно для пользователей, разработчиков и администраторов:

  • Пользователи должны ввести имя пользователя и пароль для доступа к каждому приложению, т. Е. Без возможности единого входа.
  • Часто может привести к использованию слабых паролей или повторному использованию паролей.
  • Разработчикам приходится управлять другим сервисом
  • Нет централизованного места для управления пользователями

Эти проблемы решаются с помощью поставщика удостоверений (IdP).

Модель доступа на основе утверждений

Современный механизм управления идентификацией и доступом использует модель доступа на основе утверждений.

В доступе на основе утверждений разработчики заменяют логику аутентификации в приложении более простой логикой, которая может принимать требовать .

К Доверять устанавливается между приложением и источником аутентификации и авторизации, в данном случае провайдером идентификации или IdP.

Приложение с радостью примет заявку, отправленную от IdP.

Кроме того, приложение не должно обрабатывать какие-либо пароли, поскольку пользователи никогда не проходят аутентификацию непосредственно в приложении. Вместо этого пользователи проходят аутентификацию в провайдере идентификации, который генерирует утверждение или токен доступа, который отправляется приложению.

Использование поставщика удостоверений означает:

  • Разработчикам не нужно создавать надежные методы аутентификации; и при этом они не должны защищать пароли пользователей
  • Если требуется изменение метода аутентификации, мы меняем его только у поставщика удостоверений. Приложение остается без изменений
  • Пользователи довольны - они могут быть аутентифицированы один раз в провайдере идентификации и беспрепятственно получить доступ к другим предоставленным приложениям, то есть (SSO)
  • Администраторы также довольны - если пользователь покидает компанию, администратор может отключить пользователя в провайдере идентификации и немедленно отозвать весь доступ.

Резюме

Идентификатор

Идентификация - это процесс присвоения уникального идентификатора каждому отдельному пользователю, чтобы его можно было идентифицировать.

Аутентификация против авторизации

AuthN

  • Акт доказательства того, кто вы
  • Часто упоминается как AuthN
  • Общие методы AuthN:

    • Аутентификация на основе форм (имя пользователя и пароль)

    • Многофакторная аутентификация (MFA)

    • Жетоны

AuthZ

  • Акт предоставления кому-либо доступа
  • Часто упоминается как AuthZ
  • Примеры AuthZ

    • Ваш пользовательский объект является членом группы. Группа имеет право на папку с определенными привилегиями. Вам разрешено работать с файлами в папке.

IdP

  • Централизованное место для управления пользователями, аутентификацией и авторизацией
  • Более безопасный, обеспечивает соблюдение отраслевых стандартов в области управления пользователями и паролями
  • Обеспечивает единый вход
  • Упрощенное управление доступом и отзыв