مشاركة عبر

ما هي إدارة الهوية والوصول (IAM)؟

في هذه المقالة، ستتعرف على بعض المفاهيم الأساسية لإدارة الهوية والوصول (IAM)، وسبب أهميتها، وكيفية عملها.

تضمن إدارة الهوية والوصول وصول الأشخاص والأجهزة ومكونات البرامج المناسبة إلى الموارد المناسبة في الوقت المناسب. أولا، يثبت الشخص أو الجهاز أو مكون البرنامج أنه هو الشخص أو ما يدعيه. بعد ذلك، يسمح للشخص أو الجهاز أو مكون البرنامج أو يحرم من الوصول إلى موارد معينة أو استخدامها.

للتعرف على المصطلحات والمفاهيم الأساسية، راجع أساسيات الهوية.

ماذا يفعل IAM؟

توفر أنظمة IAM عادة الوظائف الأساسية التالية:

  • إدارة الهوية - عملية إنشاء معلومات الهوية وتخزينها وإدارتها. موفرو الهوية (IdP) هم حلول برامج تستخدم لتعقب هويات المستخدمين وإدارتها، بالإضافة إلى الأذونات ومستويات الوصول المرتبطة بهذه الهويات.

  • اتحاد الهوية - يمكنك السماح للمستخدمين الذين لديهم بالفعل كلمات مرور في مكان آخر (على سبيل المثال، في شبكة المؤسسة أو مع موفر الهوية الاجتماعية أو الإنترنت) بالوصول إلى نظامك.

  • توفير المستخدمين وإلغاء توفيرهم - عملية إنشاء حسابات المستخدمين وإدارتها، والتي تتضمن تحديد المستخدمين الذين لديهم حق الوصول إلى الموارد، وتعيين الأذونات ومستويات الوصول.

  • مصادقة المستخدمين - مصادقة مكون مستخدم أو جهاز أو برنامج عن طريق التأكد من أنهم من هم أو ما يقولونه. يمكنك إضافة مصادقة متعددة العوامل (MFA) للمستخدمين الفرديين لمزيد من الأمان أو تسجيل الدخول الأحادي (SSO) للسماح للمستخدمين بمصادقة هويتهم باستخدام مدخل واحد بدلا من العديد من الموارد المختلفة.

  • تخويل المستخدمين - يضمن التخويل منح المستخدم المستوى الدقيق ونوع الوصول إلى أداة يحق له الوصول إليها. يمكن أيضا تقسيم المستخدمين إلى مجموعات أو أدوار بحيث يمكن منح مجموعات كبيرة من المستخدمين نفس الامتيازات.

  • التحكم في الوصول - عملية تحديد من أو ما لديه حق الوصول إلى الموارد. يتضمن ذلك تحديد أدوار المستخدم وأذوناته، بالإضافة إلى إعداد آليات المصادقة والتخويل. تنظم ضوابط الوصول الوصول إلى الأنظمة والبيانات.

  • التقارير والمراقبة - إنشاء تقارير بعد الإجراءات المتخذة على النظام الأساسي (مثل وقت تسجيل الدخول والأنظمة التي يتم الوصول إليها ونوع المصادقة) لضمان التوافق وتقييم المخاطر الأمنية. احصل على رؤى حول أنماط الأمان والاستخدام لبيئتك.

كيفية عمل IAM

يوفر هذا القسم نظرة عامة على عملية المصادقة والتخويل والمعايير الأكثر شيوعا.

مصادقة الموارد وتخويلها والوصول إليها

لنفترض أن لديك تطبيقا يقوم بتسجيل الدخول إلى مستخدم ثم يصل إلى مورد محمي.

رسم تخطيطي يوضح عملية مصادقة المستخدم والتخويل للوصول إلى مورد محمي باستخدام موفر هوية.

  1. يبدأ المستخدم (مالك المورد) طلب مصادقة مع موفر الهوية/خادم التخويل من تطبيق العميل.

  2. إذا كانت بيانات الاعتماد صالحة، يرسل موفر الهوية/خادم التخويل أولا رمزا مميزا للمعرف يحتوي على معلومات حول المستخدم مرة أخرى إلى تطبيق العميل.

  3. يحصل موفر الهوية/خادم التخويل أيضا على موافقة المستخدم النهائي ويمنح تخويل تطبيق العميل للوصول إلى المورد المحمي. يتم توفير التخويل في رمز مميز للوصول، والذي يتم إرساله أيضا مرة أخرى إلى تطبيق العميل.

  4. يتم إرفاق الرمز المميز للوصول بالطلبات اللاحقة التي تم إجراؤها على خادم الموارد المحمي من تطبيق العميل.

  5. يتحقق موفر الهوية/خادم التخويل من صحة الرمز المميز للوصول. إذا تم منح طلب الموارد المحمية بنجاح، ويتم إرسال استجابة مرة أخرى إلى تطبيق العميل.

لمزيد من المعلومات، اقرأ المصادقة والتخويل.

معايير المصادقة والتخويل

هذه هي معايير المصادقة والتخويل الأكثر شهرة و شيوعا:

OAuth 2.0

OAuth هو بروتوكول إدارة هوية مفتوح المعايير يوفر وصولا آمنا لمواقع الويب وتطبيقات الأجهزة المحمولة وإنترنت الأشياء والأجهزة الأخرى. يستخدم الرموز المميزة التي يتم تشفيرها أثناء النقل ويزيل الحاجة إلى مشاركة بيانات الاعتماد. OAuth 2.0، أحدث إصدار من OAuth، هو إطار عمل شائع تستخدمه منصات وسائل التواصل الاجتماعي الرئيسية وخدمات المستهلكين، من Facebook وLinkedIn إلى Google و PayPal و Netflix. لمعرفة المزيد، اقرأ عن بروتوكول OAuth 2.0.

OpenID Connect (OIDC)

مع إصدار OpenID Connect (الذي يستخدم تشفير المفتاح العام)، أصبح OpenID طبقة مصادقة معتمدة على نطاق واسع ل OAuth. مثل SAML، يستخدم OpenID Connect (OIDC) على نطاق واسع لتسجيل الدخول الأحادي (SSO)، ولكن OIDC يستخدم REST/JSON بدلا من XML. تم تصميم OIDC للعمل مع كل من التطبيقات الأصلية وتطبيقات الأجهزة المحمولة باستخدام بروتوكولات REST/JSON. ومع ذلك، فإن حالة الاستخدام الأساسية ل SAML هي التطبيقات المستندة إلى الويب. لمعرفة المزيد، اقرأ عن بروتوكول OpenID Connect.

رموز ويب JSON المميزة (JWTs)

JWTs هي معيار مفتوح يحدد طريقة مضغوطة ومكتفية ذاتيا لنقل المعلومات بأمان بين الأطراف ككائن JSON. يمكن التحقق من JWTs والثقة بها لأنها موقعة رقميا. يمكن استخدامها لتمرير هوية المستخدمين المصادق عليهم بين موفر الهوية والخدمة التي تطلب المصادقة. كما يمكن مصادقتها وتشفيرها. لمعرفة المزيد، اقرأ رموز ويب JSON المميزة.

لغة ترميز تأكيد الأمان (SAML)

SAML هو معيار مفتوح يستخدم لتبادل معلومات المصادقة والتخويل بين حل IAM وتطبيق آخر في هذه الحالة. يستخدم هذا الأسلوب XML لنقل البيانات وعادة ما يكون الأسلوب المستخدم من قبل أنظمة إدارة الهوية والوصول لمنح المستخدمين القدرة على تسجيل الدخول إلى التطبيقات التي تم دمجها مع حلول IAM. لمعرفة المزيد، اقرأ بروتوكول SAML.

نظام لإدارة الهوية عبر المجالات (SCIM)

تم إنشاؤه لتبسيط عملية إدارة هويات المستخدمين، يسمح تزويد SCIM للمؤسسات بالعمل بكفاءة في السحابة وإضافة المستخدمين أو إزالتهم بسهولة، والاستفادة من الميزانيات، وتقليل المخاطر، وتبسيط مهام سير العمل. يسهل SCIM أيضا الاتصال بين التطبيقات المستندة إلى السحابة. لمعرفة المزيد، اقرأ تطوير وتخطيط التزويد لنقطة نهاية SCIM.

اتحاد خدمات الويب (WS-Fed)

WS-Fed طورتها Microsoft واستخدمتها على نطاق واسع في تطبيقاتها، يحدد هذا المعيار الطريقة التي يمكن بها نقل رموز الأمان المميزة بين كيانات مختلفة لتبادل معلومات الهوية والتخويل. لمعرفة المزيد، اقرأ بروتوكول اتحاد خدمات الويب.

الخطوات التالية

لمعرفة المزيد، انتقل إلى: