Sdílet prostřednictvím


Základní koncepty správy identit a přístupu (IAM)

Tento článek obsahuje základní koncepty a terminologii, které vám pomůžou porozumět správě identit a přístupu (IAM).

Co je správa identit a přístupu (IAM)?

Správa identit a přístupu zajišťuje, aby správné osoby, počítače a softwarové komponenty získaly přístup ke správným prostředkům ve správný čas. Nejprve osoba, počítač nebo softwarová komponenta prokáže, že je to kdo nebo co tvrdí, že je. Potom je osoba, počítač nebo softwarová komponenta povolena nebo odepřena přístup k určitým prostředkům nebo k používání určitých prostředků.

Tady je několik základních konceptů, které vám pomůžou porozumět správě identit a přístupu:

Identita

Digitální identita je kolekce jedinečných identifikátorů nebo atributů, které představují lidskou, softwarovou komponentu, počítač, prostředek nebo prostředek v počítačovém systému. Identifikátor může být:

  • E-mailová adresa
  • Přihlašovací údaje (uživatelské jméno/heslo)
  • Číslo bankovního účtu
  • ID vydané vládou
  • Adresa MAC nebo IP adresa

Identity se používají k ověřování a autorizaci přístupu k prostředkům, komunikaci s jinými lidmi, provádění transakcí a dalších účelů.

Na vysoké úrovni existují tři typy identit:

  • Lidské identity představují lidi, jako jsou zaměstnanci (interní pracovníci a pracovníci frontline) a externí uživatelé (zákazníci, konzultanti, dodavatelé a partneři).
  • Identita pracovního zatížení představují softwarové zatížení, jako jsou aplikace, služby, skripty nebo kontejnery.
  • Identity zařízení představují zařízení, jako jsou stolní počítače, mobilní telefony, IoT senzory a spravovaná zařízení IoT. Identity zařízení se liší od lidských identit.

Ověřování

Ověřování je proces, při kterém je člověk, softwarová komponenta nebo hardwarové zařízení vyzváno k předložení pověření, aby byla ověřena jejich identita nebo prokázáno, kdo nebo co tvrdí, že jsou. Ověřování obvykle vyžaduje použití přihlašovacích údajů (například uživatelské jméno a heslo, otisky prstů, certifikáty nebo jednorázové heslo). Ověřování se někdy zkracuje na AuthN.

Vícefaktorové ověřování (MFA) je bezpečnostní opatření, které vyžaduje, aby uživatelé poskytli více než jeden důkaz k ověření identit, například:

  • Něco, co znají, například heslo.
  • Něco, co mají, třeba odznáček nebo token zabezpečení.
  • Něco, co mají, jako jsou biometrické údaje (otisk prstu nebo obličej).

Jednotné přihlašování umožňuje uživatelům ověřit svou identitu jednou a později bezobslužně ověřit při přístupu k různým prostředkům, které spoléhají na stejnou identitu. Po ověření funguje systém IAM jako zdroj pravdy identity pro ostatní prostředky dostupné uživateli. Eliminuje potřebu přihlašovat se k více samostatným cílovým systémům.

Autorizace

Autorizace ověřuje, jestli má uživatel, počítač nebo softwarová komponenta udělený přístup k určitým prostředkům. Autorizace se někdy zkracuje na AuthZ.

Ověřování vs. autorizace

Termíny ověřování a autorizace se někdy používají zaměnitelně, protože se často uživatelům podobají jedinému prostředí. Ve skutečnosti jsou to dva samostatné procesy:

  • Ověřování prokáže identitu uživatele, počítače nebo softwarové komponenty.
  • Autorizace uděluje nebo zakazuje přístup k určitým prostředkům uživateli, počítači nebo softwarovým komponentám.

Diagram znázorňující ověřování a autorizaci vedle sebe

Tady je rychlý přehled ověřování a autorizace:

Ověřování Autorizace
Lze si představit jako vrátný, což umožňuje přístup pouze k těm entitám, které poskytují platné přihlašovací údaje. Lze si představit jako stráž, která zajišťuje, že pouze ty subjekty se správným povolením mohou vstoupit do určitých oblastí.
Ověřuje, jestli je uživatel, počítač nebo software, kdo nebo co tvrdí, že je. Určuje, jestli má uživatel, počítač nebo software povolený přístup k určitému prostředku.
Problémy s ověřením přihlašovacích údajů uživatele, počítače nebo softwaru (například hesla, biometrické identifikátory nebo certifikáty). Určuje, jakou úroveň přístupu má uživatel, počítač nebo software.
Hotovo před autorizací. Dokončeno po úspěšném ověření.
Informace se přenesou v tokenu ID. Informace se přenesou v přístupovém tokenu.
Často používá OpenID Connect (OIDC) (který je založený na protokolu OAuth 2.0) nebo protokolech SAML. Často používá protokol OAuth 2.0.

Podrobnější informace najdete v tématu Ověřování a autorizace.

Příklad

Předpokládejme, že chcete strávit noc v hotelu. Ověřování a autorizaci si můžete představit jako bezpečnostní systém pro hotelovou budovu. Uživatelé jsou lidé, kteří chtějí zůstat v hotelu, prostředky jsou pokoje nebo oblasti, které lidé chtějí používat. Hotelový personál je dalším typem uživatele.

Pokud bydlíte v hotelu, nejprve přejdete na recepci a zahájíte "proces ověřování". Ukážete identifikační kartu a kreditní kartu a recepční ověřuje vaši totožnost s online rezervací. Jakmile recepční ověří, kdo jste, recepční vám udělí oprávnění pro přístup k místnosti, kterou jste přiřadili. Dostanete klávesovou kartu a můžete teď jít do svého pokoje.

Diagram znázorňující osobu předkládající identifikaci pro získání hotelové klíčové karty

Dveře do hotelových pokojů a dalších prostor mají senzory klávesnic. Potažením klávesové karty před senzorem je proces autorizace. Vizitka vám umožní otevřít jen dveře do místností, ke kterým máte přístup, jako je například hotelová místnost a hotelová cvičná místnost. Pokud použijete svou klíčovou kartu k pokusu o vstup do jiného hotelového pokoje, nebude vám umožněn přístup.

Jednotlivá oprávnění, jako je přístup ke cvičné místnosti a konkrétní místnosti pro hosty, se shromažďují do rolí , které je možné udělit jednotlivým uživatelům. Když pobýváte v hotelu, získáváte roli Hotelového Patrona. Hotelový pokojový personál by měl přiřazenu roli Hotelová pokojová služba. Tato role umožňuje přístup do všech hotelových pokojů (ale pouze 11:00 až 4:00), prádelny a šatny dodávek v každém patře.

Diagram znázorňující uživatele, který získá přístup k místnosti pomocí klávesové zkratky

Zprostředkovatel identity

Zprostředkovatel identity vytváří, udržuje a spravuje informace o identitě a současně nabízí služby ověřování, autorizace a auditování.

Diagram znázorňující ikonu identity obklopenou cloudem, pracovní stanicí, mobilními ikonami a ikonami databáze

S moderním ověřováním jsou všechny služby, včetně všech ověřovacích služeb, poskytovány centrálním zprostředkovatelem identity. Informace, které slouží k ověření uživatele se serverem, se ukládají a spravují centrálně zprostředkovatelem identity.

Díky centrálnímu zprostředkovateli identit můžou organizace vytvářet zásady ověřování a autorizace, monitorovat chování uživatelů, identifikovat podezřelé aktivity a snižovat škodlivé útoky.

Příkladem cloudového zprostředkovatele identity je Microsoft Entra . Mezi další příklady patří X, Google, Amazon, LinkedIn a GitHub.

Další kroky