Základní koncepty správy identit a přístupu (IAM)

  • Článek

Tento článek obsahuje základní koncepty a terminologii, které vám pomůžou porozumět správě identit a přístupu (IAM).

Co je správa identit a přístupu (IAM)?

Správa identit a přístupu zajišťuje, aby správné osoby, počítače a softwarové komponenty získaly přístup ke správným prostředkům ve správný čas. Nejprve osoba, počítač nebo softwarová komponenta prokáže, že je to kdo nebo co tvrdí, že je. Potom je osoba, počítač nebo softwarová komponenta povolena nebo odepřena přístup k určitým prostředkům nebo k používání určitých prostředků.

Tady je několik základních konceptů, které vám pomůžou porozumět správě identit a přístupu:

Identita

Digitální identita je kolekce jedinečných identifikátorů nebo atributů, které představují lidskou, softwarovou komponentu, počítač, prostředek nebo prostředek v počítačovém systému. Identifikátor může být:

  • E-mailová adresa
  • Přihlašovací údaje (uživatelské jméno/heslo)
  • Číslo bankovního účtu
  • ID vydané vládou
  • Adresa MAC nebo IP adresa

Identity se používají k ověřování a autorizaci přístupu k prostředkům, komunikaci s jinými lidmi, provádění transakcí a dalších účelů.

Na vysoké úrovni existují tři typy identit:

  • Lidské identity představují lidi, jako jsou zaměstnanci (interní pracovníci a pracovníci front-line) a externí uživatelé (zákazníci, konzultanti, dodavatelé a partneři).
  • Identity úloh představují softwarové úlohy, jako jsou aplikace, služba, skript nebo kontejner.
  • Identity zařízení představují zařízení, jako jsou stolní počítače, mobilní telefony, senzory IoT a spravovaná zařízení IoT. Identity zařízení se liší od lidských identit.

Authentication

Ověřování je proces výzvy člověka, softwarového komponenty nebo hardwarového zařízení, aby mohl ověřit svou identitu nebo prokázat, kdo nebo co tvrdí, že je. Ověřování obvykle vyžaduje použití přihlašovacích údajů (například uživatelské jméno a heslo, otisky prstů, certifikáty nebo jednorázové heslo). Ověřování se někdy zkracuje na AuthN.

Vícefaktorové ověřování (MFA) je bezpečnostní opatření, které vyžaduje, aby uživatelé poskytli více než jeden důkaz k ověření identit, například:

  • Něco, co znají, například heslo.
  • Něco, co mají, třeba odznáček nebo token zabezpečení.
  • Něco, co jsou, jako biometrický (otisk prstu nebo obličej).

Jednotné přihlašování umožňuje uživatelům ověřit svou identitu jednou a později bezobslužně ověřit při přístupu k různým prostředkům, které spoléhají na stejnou identitu. Po ověření funguje systém IAM jako zdroj pravdy identity pro ostatní prostředky dostupné uživateli. Eliminuje potřebu přihlašovat se k více samostatným cílovým systémům.

Autorizace

Autorizace ověřuje, jestli má uživatel, počítač nebo softwarová komponenta udělený přístup k určitým prostředkům. Autorizace se někdy zkracuje na AuthZ.

Ověřování vs. autorizace

Termíny ověřování a autorizace se někdy používají zaměnitelně, protože se často uživatelům podobají jedinému prostředí. Ve skutečnosti jsou to dva samostatné procesy:

  • Ověřování prokáže identitu uživatele, počítače nebo softwarové komponenty.
  • Autorizace uděluje nebo zakazuje přístup k určitým prostředkům uživateli, počítači nebo softwarovým komponentám.

Diagram that shows authentication and authorization side by side.

Tady je rychlý přehled ověřování a autorizace:

Authentication Autorizace
Lze si představit jako vrátný, který umožňuje přístup pouze těm, kteří zadají platné přihlašovací údaje. Lze si představit jako stráž, zajistit, aby jen ti, kteří mají správnou volný prostor, mohli vstoupit do určitých oblastí.
Ověřuje, jestli je uživatel, počítač nebo software, kdo nebo co tvrdí, že je. Určuje, jestli má uživatel, počítač nebo software povolený přístup k určitému prostředku.
Problémy s ověřením přihlašovacích údajů uživatele, počítače nebo softwaru (například hesla, biometrické identifikátory nebo certifikáty). Určuje, jakou úroveň přístupu má uživatel, počítač nebo software.
Hotovo před autorizací. Dokončeno po úspěšném ověření.
Informace se přenesou v tokenu ID. Informace se přenesou v přístupového tokenu.
Často používá openID Připojení (OIDC), který je založený na protokolu OAuth 2.0) nebo SAML. Často používá protokol OAuth 2.0.

Podrobnější informace najdete v tématu Ověřování a autorizace.

Příklad

Předpokládejme, že chcete strávit noc v hotelu. Ověřování a autorizaci si můžete představit jako bezpečnostní systém pro hotelovou budovu. Uživatelé jsou lidé, kteří chtějí zůstat v hotelu, prostředky jsou pokoje nebo oblasti, které lidé chtějí používat. Hotelový personál je dalším typem uživatele.

Pokud bydlíte v hotelu, nejprve přejdete na recepci a zahájíte "proces ověřování". Zobrazíte identifikační kartu a platební kartu a recepční odpovídá vašemu ID proti online rezervaci. Jakmile recepční ověří, kdo jste, recepční vám udělí oprávnění pro přístup k místnosti, kterou jste přiřadili. Dostanete klávesovou kartu a můžete teď jít do svého pokoje.

Diagram that shows a person showing identification to get a hotel keycard.

Dveře do hotelových pokojů a dalších prostor mají senzory klávesnic. Potažením klávesové karty před senzorem je proces autorizace. Vizitka vám umožní otevřít jen dveře do místností, ke kterým máte přístup, jako je například hotelová místnost a hotelová cvičná místnost. Pokud potáhnete klávesovou kartou a zadáte jinou hotelovou místnost, přístup se odepře.

Jednotlivá oprávnění, jako je přístup ke cvičné místnosti a konkrétní místnosti pro hosty, se shromažďují do rolí , které je možné udělit jednotlivým uživatelům. Když bydlíte v hotelu, máte udělenou roli Hotel Patron. Hotelový pokojový personál by byl udělen roli HotelOvá pokojová služba. Tato role umožňuje přístup do všech hotelových pokojů (ale pouze 11:00 až 4:00), prádelny a šatny dodávek v každém patře.

Diagram that shows a user getting access to a room with a keycard.

Zprostředkovatel identity

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě a současně nabízí služby ověřování, autorizace a auditování.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

S moderním ověřováním jsou všechny služby, včetně všech ověřovacích služeb, poskytovány centrálním zprostředkovatelem identity. Informace, které slouží k ověření uživatele se serverem, se ukládají a spravují centrálně zprostředkovatelem identity.

Díky centrálnímu zprostředkovateli identit můžou organizace vytvářet zásady ověřování a autorizace, monitorovat chování uživatelů, identifikovat podezřelé aktivity a snižovat škodlivé útoky.

Microsoft Entra ID je příkladem cloudového zprostředkovatele identity. Mezi další příklady patří Twitter, Google, Amazon, LinkedIn a GitHub.

Další kroky