Sdílet prostřednictvím

Základní koncepty správy identit a přístupu (IAM)

  • Článek

Tento článek obsahuje základní koncepty a terminologii, které vám pomůžou porozumět správě identit a přístupu (IAM).

Co je správa identit a přístupu (IAM)?

Správa identit a přístupu zajišťuje, aby správné osoby, počítače a softwarové komponenty získaly přístup ke správným prostředkům ve správný čas. Nejprve osoba, počítač nebo softwarová komponenta prokáže, že je to kdo nebo co tvrdí, že je. Potom je osoba, počítač nebo softwarová komponenta povolena nebo odepřena přístup k určitým prostředkům nebo k používání určitých prostředků.

Tady je několik základních konceptů, které vám pomůžou porozumět správě identit a přístupu:

Identita

Digitální identita je kolekce jedinečných identifikátorů nebo atributů, které představují lidskou, softwarovou komponentu, počítač, prostředek nebo prostředek v počítačovém systému. Identifikátor může být:

  • E-mailová adresa
  • Přihlašovací údaje (uživatelské jméno/heslo)
  • Číslo bankovního účtu
  • ID vydané vládou
  • Adresa MAC nebo IP adresa

Identity se používají k ověřování a autorizaci přístupu k prostředkům, komunikaci s jinými lidmi, provádění transakcí a dalších účelů.

Na vysoké úrovni existují tři typy identit:

  • Lidské identity představují lidi, jako jsou zaměstnanci (interní pracovníci a pracovníci frontline) a externí uživatelé (zákazníci, konzultanti, dodavatelé a partneři).
  • Identity úloh představují softwarové úlohy, jako jsou aplikace, služba, skript nebo kontejner.
  • Identity zařízení představují zařízení, jako jsou stolní počítače, mobilní telefony, senzory IoT a spravovaná zařízení IoT. Identity zařízení se liší od lidských identit.

Autentizace

Ověřování je proces výzvy člověka, softwarového komponenty nebo hardwarového zařízení, aby mohl ověřit svou identitu nebo prokázat, kdo nebo co tvrdí, že je. Ověřování obvykle vyžaduje použití přihlašovacích údajů (například uživatelské jméno a heslo, otisky prstů, certifikáty nebo jednorázové heslo). Ověřování se někdy zkracuje na AuthN.

Vícefaktorové ověřování (MFA) je bezpečnostní opatření, které vyžaduje, aby uživatelé poskytli více než jeden důkaz k ověření identit, například:

  • Něco, co znají, například heslo.
  • Něco, co mají, třeba odznáček nebo token zabezpečení.
  • Něco, co jsou, jako biometrický (otisk prstu nebo obličej).

Jednotné přihlašování umožňuje uživatelům ověřit svou identitu jednou a později bezobslužně ověřit při přístupu k různým prostředkům, které spoléhají na stejnou identitu. Po ověření funguje systém IAM jako zdroj pravdy identity pro ostatní prostředky dostupné uživateli. Eliminuje potřebu přihlašovat se k více samostatným cílovým systémům.

Oprávnění

Autorizace ověřuje, jestli má uživatel, počítač nebo softwarová komponenta udělený přístup k určitým prostředkům. Autorizace se někdy zkracuje na AuthZ.

Ověřování vs. autorizace

Termíny ověřování a autorizace se někdy používají zaměnitelně, protože se často uživatelům podobají jedinému prostředí. Ve skutečnosti jsou to dva samostatné procesy:

  • Ověřování prokáže identitu uživatele, počítače nebo softwarové komponenty.
  • Autorizace uděluje nebo zakazuje přístup k určitým prostředkům uživateli, počítači nebo softwarovým komponentám.

Diagram znázorňující ověřování a autorizaci vedle sebe

Tady je rychlý přehled ověřování a autorizace:

Autentizace Oprávnění
Lze si představit jako vrátný, což umožňuje přístup pouze k těm entitám, které poskytují platné přihlašovací údaje. Lze si představit jako stráž a zajistit, aby určité oblasti mohly vstoupit pouze ty subjekty se správnou volným místem.
Ověřuje, jestli je uživatel, počítač nebo software, kdo nebo co tvrdí, že je. Určuje, jestli má uživatel, počítač nebo software povolený přístup k určitému prostředku.
Problémy s ověřením přihlašovacích údajů uživatele, počítače nebo softwaru (například hesla, biometrické identifikátory nebo certifikáty). Určuje, jakou úroveň přístupu má uživatel, počítač nebo software.
Hotovo před autorizací. Dokončeno po úspěšném ověření.
Informace se přenesou v tokenu ID. Informace se přenesou v přístupového tokenu.
Často používá OpenID Connect (OIDC) (který je založený na protokolu OAuth 2.0) nebo protokolech SAML. Často používá protokol OAuth 2.0.

Podrobnější informace najdete v tématu Ověřování a autorizace.

Příklad

Předpokládejme, že chcete strávit noc v hotelu. Ověřování a autorizaci si můžete představit jako bezpečnostní systém pro hotelovou budovu. Uživatelé jsou lidé, kteří chtějí zůstat v hotelu, prostředky jsou pokoje nebo oblasti, které lidé chtějí používat. Hotelový personál je dalším typem uživatele.

Pokud bydlíte v hotelu, nejprve přejdete na recepci a zahájíte "proces ověřování". Zobrazíte identifikační kartu a platební kartu a recepční odpovídá vašemu ID proti online rezervaci. Jakmile recepční ověří, kdo jste, recepční vám udělí oprávnění pro přístup k místnosti, kterou jste přiřadili. Dostanete klávesovou kartu a můžete teď jít do svého pokoje.

Diagram znázorňující osobu zobrazující identifikaci pro získání hotelové vizitky

Dveře do hotelových pokojů a dalších prostor mají senzory klávesnic. Potažením klávesové karty před senzorem je proces autorizace. Vizitka vám umožní otevřít jen dveře do místností, ke kterým máte přístup, jako je například hotelová místnost a hotelová cvičná místnost. Pokud potáhnete klávesovou kartou a zadáte jinou hotelovou místnost, přístup se odepře.

Jednotlivá oprávnění, jako je přístup ke cvičné místnosti a konkrétní místnosti pro hosty, se shromažďují do rolí , které je možné udělit jednotlivým uživatelům. Když bydlíte v hotelu, máte udělenou roli Hotel Patron. Hotelový pokojový personál by byl udělen roli HotelOvá pokojová služba. Tato role umožňuje přístup do všech hotelových pokojů (ale pouze 11:00 až 4:00), prádelny a šatny dodávek v každém patře.

Diagram znázorňující uživatele, který získá přístup k místnosti pomocí klávesové zkratky

Zprostředkovatel identity

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě a současně nabízí služby ověřování, autorizace a auditování.

Diagram znázorňující ikonu identity obklopenou cloudem, pracovní stanicí, mobilními ikonami a ikonami databáze

S moderním ověřováním jsou všechny služby, včetně všech ověřovacích služeb, poskytovány centrálním zprostředkovatelem identity. Informace, které slouží k ověření uživatele se serverem, se ukládají a spravují centrálně zprostředkovatelem identity.

Díky centrálnímu zprostředkovateli identit můžou organizace vytvářet zásady ověřování a autorizace, monitorovat chování uživatelů, identifikovat podezřelé aktivity a snižovat škodlivé útoky.

Příkladem cloudového zprostředkovatele identity je Microsoft Entra . Mezi další příklady patří X, Google, Amazon, LinkedIn a GitHub.

Další kroky