مستخدمو السحابة والمجموعات
- 5 دقائق
تلعب الهوية دورًا مهمًا في إدارة السحابة نظرًا إلى أن الأذونات المطبقة على موارد السحابة لا طائل من ورائها إذا لم نعرف من الذي يقوم بالوصول إلى هذه الموارد. إذا كان بوب يفتقر إلى إذن لحذف الجهاز الظاهري ولكن يحاول حذفه على أي حال، يمكننا أن نوقفه فقط إذا كنا نعرف أنه بوب. ومع ذلك، إذا كان Bob واحدا من آلاف الموظفين في المؤسسة ويجب تحديد الأذونات لكل مستخدم فردي وكل مورد سحابي فردي، فستغمر تكنولوجيا المعلومات محاولة تأمين كل شيء بحيث يمكن فقط للمستخدمين الذين يجب أن يكونوا قادرين على الوصول إلى هذه الموارد الوصول إلى هذه الموارد.
كما سنعرف لاحقًا، يمكن تطبيق الأذونات ليس فقط على موارد سحابية أحادية، ولكن على مجموعات من موارد السحابة. وبالمثل، يمكن وضع المستخدمين مثل بوب في مجموعات ويمكن للأذونات المطبقة على موارد السحابة الرجوع إلى مجموعات المستخدمين وكذلك المستخدمون الفرديون. تدعم أنظمة إدارة الهوية الحديثة مفهوم مجموعات المستخدمين من أجل تبسيط إدارة السحابة وتقليل احتمال الخطأ. من غير المحتمل أن يرتكب المسؤول خطأً إذا كان بإمكانه تطبيق الأذونات على مستوى المجموعة بدلاً من تطبيقها على كل فرد.
ويجب أن تكون نظم إدارة الهوية قادرة على تعيين هويات للمجموعات وكذلك إلى المستخدمين الأفراد. لكن هذا ليس كل شيء. قد يقوم الشخص بالمصادقة عن طريق إدخال اسم المستخدم وكلمة المرور أو وضع إصبع على قارئ بيولوجي. تضطر تطبيقات البرامج في بعض الأحيان إلى المصادقة، أيضًا، لأنها قد تتصل مع خدمات أخرى أو التطبيقات التي سوف لا تستجيب إلا إذا كانت تعرف هوية المتصل. على هذا النحو، فإنه من المهم تمامًا أن تكون قادرة على تعيين الهويات للتطبيقات كما هي لتعيينها للمستخدمين ومجموعات من المستخدمين.
نتيجة كل هذا أن خدمات دليل المؤسسة تدعم ثلاثة أنواع من الكيانات: المستخدمين ومجموعات المستخدمين والتطبيقات. يمثل المستخدمون الأشخاص في المؤسسة. المجموعات هي مجموعات من المستخدمين أو الكيانات الأخرى، وكيانات التطبيق تمكن الهويات ليتم تعيينها إلى التطبيقات قيد التشغيل. بشكل جماعي، تعرف هذه باسم أساسيات الأمان. دعونا نفحص ثلاثة أنواع من أساسيات الأمان ومناقشة أهميتها لإدارة السحابة.
المستخدمون
المستخدم هو هوية مسجلة لديها إذن لتنفيذ بعض الوظائف (أو مجموعة من الوظائف) داخل نظام كمبيوتر. قد يتم منح مستخدم واحد إذنًا لتحميل البيانات إلى خدمة تخزين يتم توفيرها في السحابة ولكن ليست لديه القدرة على توفير أو إلغاء توفير هذه الخدمات. وآخر قد يتمتع بأكثر الأذونات العمومية التي تسمح لهم بتوفير وإلغاء الخدمات عند الرغبة.
المستخدمون عبارة عن تجريدات للأشخاص الفرديين داخل مؤسسة. وعلى هذا النحو، لديهم سمات قد تتضمن أسماء وأرقام هواتف وعناوين وميزات أخرى تميز كل شخص عن الآخر (الشكل 3-2). تساعد هذه السمات أيضًا على جعل معلومات المستخدم قابلة للقراءة. فمن الأسهل لمسؤول للإشارة إلى "لوريل كينج" من "48d31887-5fad-4d73-a9f5-3c356e68a038". تمكن خدمات الدليل الحديثة المسؤولين لتعريف السمات المخزنة نيابة عن المستخدمين الفرديين باستخدام أي مخطط منطقي للمؤسسة.
الشكل 3.2: مثال على السمات التي تصف المستخدم.
المجموعات
لأنه يجب توسيع نظام تعريف لمعالجة أعداد كبيرة من المستخدمين، فمن المفيد إنشاء تجريدات على مجموعات من المستخدمين مشابهة. التجريد الرئيسي هو المجموعة. المجموعات هي كيانات مسمّاة في نظام إدارة الهوية. ويمكن أن تعكس الهيكل التنظيمي (على سبيل المثال، المحاسبة أو الهندسة أو تقنية المعلومات)، مهام الوظيفة (المطور، أو المختبر، أو المسؤول)، والمواقع الجغرافية، أو أي شيء آخر يفسح المجال لتنظيم المستخدمين منطقيًا. في معظم أنظمة إدارة الهوية، يمكن للمستخدمين أن يكونوا أعضاء في مجموعات متعددة، ما يسمح للمطور أن يتم تعيينه إلى قسم المحاسبة في مكتب بيتسبرغ. ويبين الشكل 3-3 هيكل المجموعة التي تنظم المستخدمين حسب القسم.
الشكل 3-3: المستخدمون المنظمون في مجموعات إدارية.
تدعم المجموعات تطبيق إعدادات الإدارة بشكل مجمع، ما قد يبسط تشغيل وإدارة المستخدمين في مؤسسة ما. عند انضمام المستخدمين إلى مؤسسة ما، لا يتعين على المسؤولين تعيين أذونات معينة للمستخدمين الجدد بشكل فردي-- وبدلاً من ذلك، يقومون بإضافة مستخدمين إلى مجموعات موجودة والتركيز على إدارة أذونات المجموعة. يؤدي تعيين الأذونات على مستوى المجموعة إلى تقليل فرص الخطأ وتسهيل المسؤولين لتحديد الأذونات التي يملكها المستخدم ببساطة عن طريق فحص عضوية المجموعة الخاصة بالمستخدم.
التطبيقات
يجب وضع اعتبارات إضافية عند إجراء تطبيق مستضاف على السحابة مكالمات إلى خدمة تتطلب مصادقة. يمكن تخزين بيانات الاعتماد في بيانات التكوين المصاحبة للتطبيق، أو قد تكون مضمّنة في التعليمات البرمجية للتطبيق. بيد أن كليهما يشكل خطرًا أمنيًا. يمكن قراءة بيانات الاعتماد المخزنة بهذه الطريقة من قبل المستخدمين الذين لديهم حق الوصول إلى خدمة السحابة التي تستضيف التطبيق، أو إلى التعليمات البرمجية المصدر للتطبيق نفسه.
كبديل، يقوم موفرو خدمة السحابة بتمكين التطبيقات التي يستضيفونها من أن يتم تزويدها بهوية معينة من قبل النظام في وقت التشغيل. تُعرف هذه الميزة بـ الهويات المدارة في حسابات Azure وحسابات الخدمة في GCP. توفر AWS وظائف مشابهة من خلال السماح لك بإرفاق الأدوار بالمثيلات والاستفادة منها للحصول على بيانات اعتماد مؤقتة للتطبيق لاستخدامها. إن حقيقة أن حل السحابة "يعرف" عن التطبيق ويمكن أن يوفر له هوية للوصول إلى الموارد المضمونة يزيل الحاجة إلى تخزين بيانات الاعتماد مثل أسماء المستخدمين وكلمات المرور أو مفاتيح الوصول مع التطبيقات.
اختبر معلوماتك
الملاحظات
هل كانت هذه الصفحة مفيدة؟
لا
هل تحتاج إلى مساعدة مع هذا الموضوع؟
هل تريد محاولة استخدام Ask Learn لتوضيح هذا الموضوع أو إرشادك خلاله؟