Галоўная Бяспека Агляд ідэнтычнасці і кіравання доступам (IAM) і пастаўшчыка ідэнтыфікацый (IdP)


Агляд ідэнтычнасці і кіравання доступам (IAM) і пастаўшчыка ідэнтыфікацый (IdP)

Ідэнтыфікацыя і кіраванне доступам - гэта дысцыпліна бяспекі, якая дазваляе патрэбным людзям атрымаць доступ да патрэбных рэсурсаў у патрэбны час па патрэбных прычынах.

У гэтым пасце мы разгледзім агляд асноўных тэм, звязаных з ідэнтыфікацыяй і кіраваннем доступам.



Што такое ідэнтычнасць

Калі чалавек спрабуе атрымаць доступ да рэсурсу, нам трэба пераканацца, што карыстальнік з'яўляецца тым, хто сам сябе прэтэндуе.


Ідэнтыфікацыя - гэта працэс прысваення унікальнай ідэнтычнасці кожнаму асобнаму карыстальніку, каб можна было яго ідэнтыфікаваць.

Прыкладанні і сістэмы выкарыстоўваюць ідэнтыфікацыю, каб вызначыць, ці можа карыстальнік атрымаць доступ да рэсурсу.


Працэс кіравання ідэнтычнасцю прадугледжвае стварэнне, кіраванне і выдаленне ідэнтыфікацый, не турбуючыся пра ўзровень іх доступу.





Што такое аўтэнтыфікацыя

Аўтэнтыфікацыя - гэта працэс пацверджання асобы. Каб зрабіць гэта, карыстальнік павінен прадставіць свае ўліковыя дадзеныя аб'екту аўтэнтыфікацыі, каб атрымаць доступ.

Аўтэнтыфікацыю часта называюць AuthN.

Ідэнтыфікацыя адбываецца, калі карыстальнік вызнае ідэнтычнасць (напрыклад, з імем карыстальніка). Аўтэнтыфікацыя адбываецца, калі карыстальнікі даказваюць сваю асобу.

Існуе некалькі розных формаў аўтэнтыфікацыі:


Шматфактарная аўтэнтыфікацыя (MFA)

Як правіла, для аўтэнтыфікацыі можна выкарыстоўваць тры агульныя фактары:

  • Штосьці вы ведаеце (напрыклад, пароль)
  • Штосьці ў вас ёсць (напрыклад, смарт-карта)
  • Штосьці вы (напрыклад, адбіткі пальцаў ці іншы біяметрычны метад)

Шматфактарная аўтэнтыфікацыя выкарыстоўвае 2 ці больш любых з гэтых спосабаў.

Мэта шматфактарнай аўтэнтыфікацыі - дадаць яшчэ адзін узровень абароны ў працэс аўтэнтыфікацыі.

Адзіны ўваход (SSO)

Адзіны ўваход (SSO) - гэта ўласцівасць, якое дазваляе карыстальніку ўвайсці ў адну сістэму і атрымаць доступ да ўсіх іншых сістэм, звязаных з ёй.


Прыклад SSO - гэта калі вы ўваходзіце ў Google, а потым вы можаце атрымаць доступ да Gmail, Дакументаў Google, Табліц Google, без неабходнасці прадастаўляць свае дадзеныя для ўваходу зноў.

Федэрацыя

Федэрацыя проста дазваляе SSO у некалькіх даменах. Google і Facebook - два найбуйнейшыя правайдэры Федэрацыі.

Гэта дазваляе нашым карыстальнікам прайсці аўтэнтыфікацыю ў нашых сістэмах, выкарыстоўваючы ўжо існуючыя ўліковыя дадзеныя гэтых правайдэраў.

Жэтоны

Токены могуць быць на апаратнай або праграмнай аснове і забяспечваць механізм аўтэнтыфікацыі вакол 'таго, што ў вас ёсць'.


Апаратныя жэтоны могуць быць 'смарт-картамі', якія вы можаце выкарыстоўваць для падлучэння да кампутара праз счытвальнік карт, які забяспечвае праверку сапраўднасці.

Звычайна праграмныя маркеры могуць быць устаноўлены на любой прыладзе (напрыклад, мабільным тэлефоне) і выкарыстоўваюцца для генерацыі аднаразовага кода пропуска.



Аўтарызацыя

Аўтарызацыя - гэта працэс вызначэння, якія карыстальнікі маюць доступ да якіх рэсурсаў у сістэме.

Карыстальнікам прызначаецца альбо прадастаўляецца доступ да пэўных рэсурсаў у сістэме. Звычайна гэты доступ заснаваны на ролі карыстальніка.


Пасля аўтэнтыфікацыі карыстальніка ён мае права доступу да прызначаных рэсурсаў.

Звязаныя:



Навошта нам IAM

IAM нам патрэбны па шэрагу прычын:

Па-першае, нам патрэбен IAM для абароны нашых сістэм. Мы не хочам, каб хто-небудзь атрымліваў доступ да нашых прыватных альбо канфідэнцыйных дадзеных без неабходнасці пацвярджаць сваю асобу.

Па-другое, нам трэба забяспечыць доступ толькі тых упаўнаважаных асоб да рэсурсаў, на якія яны прызначаны.

Нам таксама патрэбны IAM для падсправаздачнасці. Калі якое-небудзь дзеянне здзяйсняецца, мы павінны ведаць, хто выканаў гэтае дзеянне. Мы можам паглядзець сістэмныя часопісы, якія прызначаны ідэнтыфікацыі. Без IAM мы не маем магчымасці даведацца, хто і якія дзеянні выканаў.



Выкарыстанне пастаўшчыка пасведчання асобы (IdP)

У першыя дні, калі распрацоўшчыкі стваралі прыкладанні, якія патрабавалі аўтэнтыфікацыю карыстальніка, ім трэба было стварыць сховішча карыстальнікаў у дадатку для ідэнтыфікацыі. У дадатак да таго, што распрацоўшчыкі павінны былі стварыць нейкі спосаб аўтэнтыфікацыі, механізм роляў і правоў.

Кожнае новае прыкладанне патрабавала гэтай налады. Праблемы з гэтым заключаліся ў тым, што калі метад аўтэнтыфікацыі павінен быў змяніцца, распрацоўшчыкі павінны былі змяніць усе прыкладання, каб задаволіць новае патрабаванне.

Выкарыстанне лакальнага механізму аўтэнтыфікацыі балюча для карыстальнікаў, распрацоўшчыкаў і адміністратараў:

  • Карыстальнікі павінны ўвесці імя карыстальніка і пароль, каб атрымаць доступ да кожнага прыкладання, гэта значыць без магчымасці SSO
  • Часта можа прывесці да выкарыстання слабых пароляў альбо паўторнага выкарыстання пароляў
  • Распрацоўшчыкі павінны кіраваць іншай службай
  • Няма цэнтралізаванага месца для кіравання карыстальнікамі

Выкарыстанне пастаўшчыка пасведчання асобы (IdP) вырашае гэтыя праблемы.

Мадэль доступу на аснове прэтэнзій

Сучасны механізм кіравання ідэнтычнасцю і доступам выкарыстоўвае мадэль доступу на аснове прэтэнзій.

У доступе на аснове прэтэнзіі распрацоўшчыкі замяняюць логіку аўтэнтыфікацыі ў дадатку на больш простую логіку, якая можа прыняць прэтэнзія .

ДА Давер усталёўваецца паміж дадаткам і крыніцай аўтэнтыфікацыі і аўтарызацыі, у гэтым выпадку пастаўшчыком пасведчання асобы альбо IdP.

Дадатак з задавальненнем прыме прэтэнзію, адпраўленую з IdP.

Акрамя таго, прыкладанне не павінна апрацоўваць паролі, паколькі карыстальнікі ніколі не праходзяць сапраўднасць у дадатку. Замест гэтага карыстальнікі праходзяць сапраўднасць у пастаўшчыка ідэнтыфікацыі, які стварае прэтэнзію альбо маркер доступу, які адпраўляецца ў дадатак.

Выкарыстанне пасведчання асобы азначае:

  • Распрацоўшчыкі не павінны ствараць моцныя метады аўтэнтыфікацыі; яны таксама не павінны абараняць паролі карыстальнікаў
  • Калі неабходна змяніць спосаб аўтэнтыфікацыі, мы мяняем яго толькі ў пастаўшчыка ідэнтыфікацыі. Дадатак застаецца нязменным
  • Карыстальнікі задаволены - яны могуць прайсці аўтарызацыю адзін раз у пастаўшчыка ідэнтыфікацыі і бесперашкодна атрымаць доступ да іншых прадастаўленых прыкладанняў, г.зн.
  • Адміністратары таксама задаволеныя - калі карыстальнік пакідае кампанію, адміністратар можа адключыць карыстальніка ў правайдэры ідэнтыфікацыі і неадкладна пазбавіць доступу.


Рэзюмэ

Ідэнтыфікатар

Ідэнтыфікацыя - гэта працэс прысваення унікальнай ідэнтычнасці кожнаму асобнаму карыстальніку, каб можна было яго ідэнтыфікаваць.

Аўтэнтыфікацыя супраць аўтарызацыі

Аўт

  • Акт даказу, хто ты
  • Часта называюць AuthN
  • Агульныя метады AuthN:

    • Аўтэнтыфікацыя на аснове формы (імя карыстальніка і пароль)

    • Шматфактарная аўтэнтыфікацыя (MFA)

    • Жэтоны

AuthZ

  • Акт прадастаўлення каму-небудзь доступу
  • Часта называюць AuthZ
  • Прыклады AuthZ

    • Ваш аб'ект карыстальніка з'яўляецца членам групы. Група мае права на папку з пэўнымі прывілеямі. Вы маеце права ўзаемадзейнічаць з файламі ў тэчцы.

IdP

  • Цэнтралізаванае месца для кіравання карыстальнікамі, праверкі сапраўднасці і аўтарызацыі
  • Больш бяспечны, забяспечвае прымяненне галіновых стандартаў у кіраванні карыстальнікамі і паролямі
  • Забяспечвае SSO
  • Прасцейшае кіраванне доступам і адкліканне

Выбар Рэдакцыі

Цікавыя Артыкулы

Verizon 'apos:' Ці чуеш мяне зараз? ' качар зараз са Спрынтам
Verizon 'apos:' Ці чуеш мяне зараз? ' качар зараз са Спрынтам
Які тэлефон мае лепшыя калонкі? iPhone супраць Galaxy, OnePlus, LG, Pixel, сляпы тэст ROG Phone II
Які тэлефон мае лепшыя калонкі? iPhone супраць Galaxy, OnePlus, LG, Pixel, сляпы тэст ROG Phone II
Як усталяваць пакеты значкоў на Android без каранёвай і старонняй запуску
Як усталяваць пакеты значкоў на Android без каранёвай і старонняй запуску
Афіцыйны скураны чахол iPhone 12 і iPhone 12 Pro атрымлівае рэдкую зніжку на Amazon
Афіцыйны скураны чахол iPhone 12 і iPhone 12 Pro атрымлівае рэдкую зніжку на Amazon
Якая роля менеджэра якасці?
Якая роля менеджэра якасці?
Рамонт разбітага шкла iPhone 8 каштуе значна больш, чым замена яго экрана
Рамонт разбітага шкла iPhone 8 каштуе значна больш, чым замена яго экрана
Абнаўленне Android Nougat для Motorola Droid Turbo 2 (ён жа Moto X Force), сертыфікаванае Bluetooth SIG
Абнаўленне Android Nougat для Motorola Droid Turbo 2 (ён жа Moto X Force), сертыфікаванае Bluetooth SIG
Лепшыя (платныя і бясплатныя) праграмы для адсочвання сну для Apple Watch
Лепшыя (платныя і бясплатныя) праграмы для адсочвання сну для Apple Watch
Гэта тое, што трэба iPadOS, перш чым iPad сапраўды зможа замяніць кампутар
Гэта тое, што трэба iPadOS, перш чым iPad сапраўды зможа замяніць кампутар
Лепшыя дынамікі Bluetooth-дынамікаў 'Чорная пятніца', якія даступныя зараз і ў бліжэйшы час
Лепшыя дынамікі Bluetooth-дынамікаў 'Чорная пятніца', якія даступныя зараз і ў бліжэйшы час