Sdílet prostřednictvím

Co je správa identit a přístupu (IAM)?

  • Článek

V tomto článku se seznámíte se základními koncepty správy identit a přístupu (IAM), proč je důležitá a jak funguje.

Správa identit a přístupu zajišťuje, aby ti správní lidé, počítače a softwarové komponenty získali přístup ke správným prostředkům ve správný čas. Nejprve osoba, počítač nebo softwarová komponenta prokáže, že jsou tím, za koho se vydávají. Potom je dané osobě, počítači nebo softwarové komponentě povolen nebo odepřen přístup k určitým prostředkům nebo jejich používání.

Další informace o základních pojmech a konceptech najdete v tématu Základy identit.

Co IAM dělá?

Systémy IAM obvykle poskytují následující základní funkce:

  • Správa identit – proces vytváření, ukládání a správy informací o identitách. Zprostředkovatelé identit (IdP) jsou softwarová řešení, která slouží ke sledování a správě identit uživatelů a také oprávnění a úrovní přístupu přidružených k těmto identitám.

  • Federace identit – Můžete povolit přístup k vašemu systému uživatelům, kteří už mají hesla jinde (například v podnikové síti nebo pomocí zprostředkovatele internetové nebo sociální identity).

  • Zřizování a rušení zřízení uživatelů – Proces vytváření a správy uživatelských účtů, který zahrnuje určení uživatelů, kteří mají přístup ke kterým prostředkům, a přiřazení oprávnění a úrovní přístupu.

  • Ověřování uživatelů – Ověřte uživatele, počítač nebo softwarovou komponentu tím, že potvrdíte, že jsou tím, za koho nebo za koho říkají. Můžete přidat vícefaktorové ověřování (MFA) pro jednotlivé uživatele kvůli dodatečnému zabezpečení nebo jednotnému přihlašování (SSO), aby uživatelé mohli ověřovat svou identitu pomocí jednoho portálu místo mnoha různých prostředků.

  • Autorizace uživatelů – Autorizace zajišťuje, že uživatel dostane přesnou úroveň a typ přístupu k nástroji, na který má nárok. Uživatelé mohou být také rozděleni do skupin nebo rolí, aby bylo možné udělit stejná oprávnění velkým kohortám uživatelů.

  • Řízení přístupu – proces určení, kdo nebo co má přístup ke kterým prostředkům. To zahrnuje definování uživatelských rolí a oprávnění a také nastavení mechanismů ověřování a autorizace. Řízení přístupu reguluje přístup k systémům a datům.

  • Sestavy a monitorování – Generování sestav po akcích provedených na platformě (jako je čas přihlášení, přístup k systémům a typ ověřování) za účelem zajištění dodržování předpisů a posouzení bezpečnostních rizik. Získejte přehled o vzorech zabezpečení a používání vašeho prostředí.

Jak IAM funguje

Tato část obsahuje přehled procesu ověřování a autorizace a běžnější standardy.

Ověřování, autorizace a přístup k prostředkům

Řekněme, že máte aplikaci, která přihlásí uživatele a pak přistupuje k chráněnému prostředku.

Diagram znázorňující proces ověřování a autorizace uživatele pro přístup k chráněnému prostředku pomocí zprostředkovatele identity

  1. Uživatel (vlastník prostředku) zahájí žádost o ověření u zprostředkovatele identity nebo autorizačního serveru z klientské aplikace.

  2. Pokud jsou přihlašovací údaje platné, zprostředkovatel identity nebo autorizační server nejprve odešle token ID obsahující informace o uživateli zpět do klientské aplikace.

  3. Zprostředkovatel identity nebo autorizační server také získá souhlas koncového uživatele a udělí klientské aplikaci autorizaci pro přístup k chráněnému prostředku. Autorizace se poskytuje v přístupovém tokenu, který se také odesílá zpět do klientské aplikace.

  4. Přístupový token se připojí k následným požadavkům provedeným na chráněný server prostředků z klientské aplikace.

  5. Zprostředkovatel identity nebo autorizační server ověří přístupový token. V případě úspěchu se žádost o chráněné prostředky udělí a odpověď se odešle zpět do klientské aplikace.

Další informace najdete v tématu Ověřování a autorizace.

Ověřovací a autorizační standardy

Toto jsou nejznámější a nejčastěji používané standardy ověřování a autorizace:

OAuth 2.0

OAuth je protokol správy identit s otevřenými standardy, který poskytuje zabezpečený přístup k webům, mobilním aplikacím, internetu věcí a dalším zařízením. Používá tokeny, které jsou při přenosu šifrované, a eliminuje potřebu sdílet přihlašovací údaje. OAuth 2.0, nejnovější verze OAuth, je oblíbená architektura používaná hlavními platformami sociálních médií a spotřebitelskými službami, od Facebooku a LinkedInu po Google, PayPal a Netflix. Další informace najdete v článku o protokolu OAuth 2.0.

OpenID Connect (OIDC)

S vydáním OpenID Connect (který používá šifrování s veřejným klíčem) se OpenID stal široce přijímanou ověřovací vrstvou pro OAuth. Podobně jako SAML se openID Connect (OIDC) běžně používá pro jednotné přihlašování (SSO), ale OIDC místo XML používá REST/JSON. OIDC je navržený tak, aby fungoval s nativními i mobilními aplikacemi pomocí protokolů REST/JSON. Primárním případem použití SAML jsou ale webové aplikace. Další informace najdete v tématu Protokol OpenID Connect.

Webové tokeny JSON (JWT)

JWT jsou otevřený standard, který definuje kompaktní a samostatný způsob bezpečného přenosu informací mezi stranami jako objekt JSON. JWT je možné ověřit a důvěřovat, protože jsou digitálně podepsané. Dají se použít k předávání identity ověřených uživatelů mezi zprostředkovatelem identity a službou, která žádá o ověření. Mohou být také ověřeny a zašifrovány. Další informace najdete v tématu Webové tokeny JSON.

SAML (Security Assertion Markup Language)

SAML je otevřený standard, který se používá k výměně ověřovacích a autorizačních informací mezi řešením IAM a jinou aplikací. Tato metoda používá k přenosu dat XML a obvykle se jedná o metodu používanou platformami pro správu identit a přístupu, která uživatelům umožňuje přihlašovat se k aplikacím integrovaným s řešeními IAM. Další informace najdete v tématu Protokol SAML.

Systém pro správu identit mezi doménou (SCIM)

Zřizování SCIM, vytvořené za účelem zjednodušení procesu správy identit uživatelů, umožňuje organizacím efektivně pracovat v cloudu a snadno přidávat nebo odebírat uživatele, využívat rozpočty, snižovat rizika a zefektivnit pracovní postupy. SCIM také usnadňuje komunikaci mezi cloudovými aplikacemi. Další informace najdete v tématu Vývoj a plánování zřizování pro koncový bod SCIM.

Federace webových služeb (WS-Fed)

WS-Fed vyvinula společnost Microsoft a ve velké míře se používala ve svých aplikacích, tento standard definuje způsob přenosu tokenů zabezpečení mezi různými entitami za účelem výměny informací o identitě a autorizaci. Další informace najdete v tématu Protokol federačního protokolu webových služeb.

Další kroky

Další informace najdete v následujících tématech: