Агляд ідэнтычнасці і кіравання доступам (IAM) і пастаўшчыка ідэнтыфікацый (IdP)

Ідэнтыфікацыя і кіраванне доступам - гэта дысцыпліна бяспекі, якая дазваляе патрэбным людзям атрымаць доступ да патрэбных рэсурсаў у патрэбны час па патрэбных прычынах.

У гэтым пасце мы разгледзім агляд асноўных тэм, звязаных з ідэнтыфікацыяй і кіраваннем доступам.



Што такое ідэнтычнасць

Калі чалавек спрабуе атрымаць доступ да рэсурсу, нам трэба пераканацца, што карыстальнік з'яўляецца тым, хто сам сябе прэтэндуе.


Ідэнтыфікацыя - гэта працэс прысваення унікальнай ідэнтычнасці кожнаму асобнаму карыстальніку, каб можна было яго ідэнтыфікаваць.

Прыкладанні і сістэмы выкарыстоўваюць ідэнтыфікацыю, каб вызначыць, ці можа карыстальнік атрымаць доступ да рэсурсу.


Працэс кіравання ідэнтычнасцю прадугледжвае стварэнне, кіраванне і выдаленне ідэнтыфікацый, не турбуючыся пра ўзровень іх доступу.





Што такое аўтэнтыфікацыя

Аўтэнтыфікацыя - гэта працэс пацверджання асобы. Каб зрабіць гэта, карыстальнік павінен прадставіць свае ўліковыя дадзеныя аб'екту аўтэнтыфікацыі, каб атрымаць доступ.

Аўтэнтыфікацыю часта называюць AuthN.

Ідэнтыфікацыя адбываецца, калі карыстальнік вызнае ідэнтычнасць (напрыклад, з імем карыстальніка). Аўтэнтыфікацыя адбываецца, калі карыстальнікі даказваюць сваю асобу.

Існуе некалькі розных формаў аўтэнтыфікацыі:


Шматфактарная аўтэнтыфікацыя (MFA)

Як правіла, для аўтэнтыфікацыі можна выкарыстоўваць тры агульныя фактары:

  • Штосьці вы ведаеце (напрыклад, пароль)
  • Штосьці ў вас ёсць (напрыклад, смарт-карта)
  • Штосьці вы (напрыклад, адбіткі пальцаў ці іншы біяметрычны метад)

Шматфактарная аўтэнтыфікацыя выкарыстоўвае 2 ці больш любых з гэтых спосабаў.

Мэта шматфактарнай аўтэнтыфікацыі - дадаць яшчэ адзін узровень абароны ў працэс аўтэнтыфікацыі.

Адзіны ўваход (SSO)

Адзіны ўваход (SSO) - гэта ўласцівасць, якое дазваляе карыстальніку ўвайсці ў адну сістэму і атрымаць доступ да ўсіх іншых сістэм, звязаных з ёй.


Прыклад SSO - гэта калі вы ўваходзіце ў Google, а потым вы можаце атрымаць доступ да Gmail, Дакументаў Google, Табліц Google, без неабходнасці прадастаўляць свае дадзеныя для ўваходу зноў.

Федэрацыя

Федэрацыя проста дазваляе SSO у некалькіх даменах. Google і Facebook - два найбуйнейшыя правайдэры Федэрацыі.

Гэта дазваляе нашым карыстальнікам прайсці аўтэнтыфікацыю ў нашых сістэмах, выкарыстоўваючы ўжо існуючыя ўліковыя дадзеныя гэтых правайдэраў.

Жэтоны

Токены могуць быць на апаратнай або праграмнай аснове і забяспечваць механізм аўтэнтыфікацыі вакол 'таго, што ў вас ёсць'.


Апаратныя жэтоны могуць быць 'смарт-картамі', якія вы можаце выкарыстоўваць для падлучэння да кампутара праз счытвальнік карт, які забяспечвае праверку сапраўднасці.

Звычайна праграмныя маркеры могуць быць устаноўлены на любой прыладзе (напрыклад, мабільным тэлефоне) і выкарыстоўваюцца для генерацыі аднаразовага кода пропуска.



Аўтарызацыя

Аўтарызацыя - гэта працэс вызначэння, якія карыстальнікі маюць доступ да якіх рэсурсаў у сістэме.

Карыстальнікам прызначаецца альбо прадастаўляецца доступ да пэўных рэсурсаў у сістэме. Звычайна гэты доступ заснаваны на ролі карыстальніка.


Пасля аўтэнтыфікацыі карыстальніка ён мае права доступу да прызначаных рэсурсаў.

Звязаныя:



Навошта нам IAM

IAM нам патрэбны па шэрагу прычын:

Па-першае, нам патрэбен IAM для абароны нашых сістэм. Мы не хочам, каб хто-небудзь атрымліваў доступ да нашых прыватных альбо канфідэнцыйных дадзеных без неабходнасці пацвярджаць сваю асобу.

Па-другое, нам трэба забяспечыць доступ толькі тых упаўнаважаных асоб да рэсурсаў, на якія яны прызначаны.

Нам таксама патрэбны IAM для падсправаздачнасці. Калі якое-небудзь дзеянне здзяйсняецца, мы павінны ведаць, хто выканаў гэтае дзеянне. Мы можам паглядзець сістэмныя часопісы, якія прызначаны ідэнтыфікацыі. Без IAM мы не маем магчымасці даведацца, хто і якія дзеянні выканаў.



Выкарыстанне пастаўшчыка пасведчання асобы (IdP)

У першыя дні, калі распрацоўшчыкі стваралі прыкладанні, якія патрабавалі аўтэнтыфікацыю карыстальніка, ім трэба было стварыць сховішча карыстальнікаў у дадатку для ідэнтыфікацыі. У дадатак да таго, што распрацоўшчыкі павінны былі стварыць нейкі спосаб аўтэнтыфікацыі, механізм роляў і правоў.

Кожнае новае прыкладанне патрабавала гэтай налады. Праблемы з гэтым заключаліся ў тым, што калі метад аўтэнтыфікацыі павінен быў змяніцца, распрацоўшчыкі павінны былі змяніць усе прыкладання, каб задаволіць новае патрабаванне.

Выкарыстанне лакальнага механізму аўтэнтыфікацыі балюча для карыстальнікаў, распрацоўшчыкаў і адміністратараў:

  • Карыстальнікі павінны ўвесці імя карыстальніка і пароль, каб атрымаць доступ да кожнага прыкладання, гэта значыць без магчымасці SSO
  • Часта можа прывесці да выкарыстання слабых пароляў альбо паўторнага выкарыстання пароляў
  • Распрацоўшчыкі павінны кіраваць іншай службай
  • Няма цэнтралізаванага месца для кіравання карыстальнікамі

Выкарыстанне пастаўшчыка пасведчання асобы (IdP) вырашае гэтыя праблемы.

Мадэль доступу на аснове прэтэнзій

Сучасны механізм кіравання ідэнтычнасцю і доступам выкарыстоўвае мадэль доступу на аснове прэтэнзій.

У доступе на аснове прэтэнзіі распрацоўшчыкі замяняюць логіку аўтэнтыфікацыі ў дадатку на больш простую логіку, якая можа прыняць прэтэнзія .

ДА Давер усталёўваецца паміж дадаткам і крыніцай аўтэнтыфікацыі і аўтарызацыі, у гэтым выпадку пастаўшчыком пасведчання асобы альбо IdP.

Дадатак з задавальненнем прыме прэтэнзію, адпраўленую з IdP.

Акрамя таго, прыкладанне не павінна апрацоўваць паролі, паколькі карыстальнікі ніколі не праходзяць сапраўднасць у дадатку. Замест гэтага карыстальнікі праходзяць сапраўднасць у пастаўшчыка ідэнтыфікацыі, які стварае прэтэнзію альбо маркер доступу, які адпраўляецца ў дадатак.

Выкарыстанне пасведчання асобы азначае:

  • Распрацоўшчыкі не павінны ствараць моцныя метады аўтэнтыфікацыі; яны таксама не павінны абараняць паролі карыстальнікаў
  • Калі неабходна змяніць спосаб аўтэнтыфікацыі, мы мяняем яго толькі ў пастаўшчыка ідэнтыфікацыі. Дадатак застаецца нязменным
  • Карыстальнікі задаволены - яны могуць прайсці аўтарызацыю адзін раз у пастаўшчыка ідэнтыфікацыі і бесперашкодна атрымаць доступ да іншых прадастаўленых прыкладанняў, г.зн.
  • Адміністратары таксама задаволеныя - калі карыстальнік пакідае кампанію, адміністратар можа адключыць карыстальніка ў правайдэры ідэнтыфікацыі і неадкладна пазбавіць доступу.


Рэзюмэ

Ідэнтыфікатар

Ідэнтыфікацыя - гэта працэс прысваення унікальнай ідэнтычнасці кожнаму асобнаму карыстальніку, каб можна было яго ідэнтыфікаваць.

Аўтэнтыфікацыя супраць аўтарызацыі

Аўт

  • Акт даказу, хто ты
  • Часта называюць AuthN
  • Агульныя метады AuthN:

    • Аўтэнтыфікацыя на аснове формы (імя карыстальніка і пароль)

    • Шматфактарная аўтэнтыфікацыя (MFA)

    • Жэтоны

AuthZ

  • Акт прадастаўлення каму-небудзь доступу
  • Часта называюць AuthZ
  • Прыклады AuthZ

    • Ваш аб'ект карыстальніка з'яўляецца членам групы. Група мае права на папку з пэўнымі прывілеямі. Вы маеце права ўзаемадзейнічаць з файламі ў тэчцы.

IdP

  • Цэнтралізаванае месца для кіравання карыстальнікамі, праверкі сапраўднасці і аўтарызацыі
  • Больш бяспечны, забяспечвае прымяненне галіновых стандартаў у кіраванні карыстальнікамі і паролямі
  • Забяспечвае SSO
  • Прасцейшае кіраванне доступам і адкліканне