Kontrola autorizace adresáře
Bezpečnost a zabezpečení nikdy nebyly důležitější. Součástí zabezpečení počítače je znalost toho, kdo by měl mít oprávnění pro přístup k jakým prostředkům a kdy. Nejprve musí počítač vědět, kdo je osoba. Dále musí vědět, jestli má osoba přístup k datům, a pokud ano, která data. Budeme mluvit o každém z těchto typů přístupu.
Autentizace
Když chcete získat přístup k počítači nebo soukromému webu, první věc, o kterou můžete být požádáni, je přihlášení. Přihlášení je způsob, jakým počítače ověřují uživatele. Mnoho z nás zná pár uživatelských jmen a hesel, které potřebujeme pro přístup k e-mailu nebo našim telefonům. Tomu se říká ověřování nebo AuthN.
Existuje mnoho diskuzí o tom, jak jsou ve skutečnosti zabezpečená uživatelská jména a hesla. Obvykle splňují požadavky na základní zabezpečení. Počítačoví inženýři ale pracují na budování něčeho silnějšího. K ověřování může dojít pomocí otisků prstů a schopnost rozpoznávat tváře. Teď se můžete přihlásit k počítači nebo webu jenom úsměvem.
Existují různé úrovně ověřování. Programátoři můžou používat jednu nebo více v závislosti na tom, co chtějí zabezpečit. Tady jsou některé úrovně používané v obecném computingu.
| Typ | Popis |
|---|---|
| Basic | Uživatelské jméno a heslo. Používá se hlavně k zabezpečení prostředků, jako jsou weby, které neobsahují osobní údaje nebo informace, které by mohly způsobit škodu, pokud došlo k úniku. |
| Vícefaktorové | Uživatelské jméno a heslo a další způsob ověřování. Další metodou může být textová zpráva s kódem poslaným na telefon. Nebo se může jednat o kód e-mailem uživateli, který musí zadat do formuláře. |
| Bez hesla | Pomocí otisku prstu nebo obličeje identifikujte osobu (označovanou také jako biometrické údaje). Otisky prstů a tváře je obtížné padělat, proto tento typ ověřování obvykle nevyžaduje uživatelské jméno a heslo. |
| Přístupový klíč | Různá ověřování bez hesla. Jedná se o relativně novou normu, kterou přijímají velké technologické společnosti. K ověření osoby používá zařízení (například telefon) a kryptografii. |
V budoucnu může být možné se přihlásit pomocí jedinečného vzoru v oční kulce nebo jinými způsoby. Tyto věci fungují, protože je těžké je falšovat, ale snadno se používají.
Přihlášení často dává někomu přístup k celému počítači nebo webu. To je v mnoha případech v pořádku. Někdy je ale potřeba jemněji odstupňované zabezpečení.
Oprávnění
Jakmile má osoba přístup k počítači nebo webu, může být omezená na to, k jakým datům má přístup. Můžete například udělit podřízený přístup ke streamovací službě, ale nechcete, aby viděl určité prezentace.
Někdy se vytvoří role, aby se tato osoba nemohla dostat k určitým datům. Osoba může být například vlastníkem a získat přístup ke všemu. Jiná osoba může být „uživatel“ a bude jí zabráněno v provádění určitých věcí. Správci můžou v cloudu umožnit uživatelům dostat se k některým datům v databázi a ne k jiným datům.
Tento typ ovládacího prvku se nazývá "autorizace" nebo "AuthZ".
Autorizace se pak týká přístupu ke konkrétním prostředkům v počítači. Porovnejte to s ověřováním. Ověřování zajišťuje, aby osoba byla tím, kdo je. Ve mnoha počítačových systémech je osoba nejprve ověřena a poté autorizována k provádění určitých úkolů. Když přistupujete k mobilnímu telefonu, musíte mu nejdřív říct, že je to vy. Potom se můžete dostat k souborům a získat přístup k e-mailům a podobně. Toto "vrstvení" je způsob spolupráce AuthN a AuthZ.
Spolupráce
V počítačích a v cloudu můžou AuthN a AuthZ spolupracovat. Tento typ zabezpečení může uživatelům usnadnit přístup k potřebným položkám. Práce se složkami a soubory je oblast, ve které je tento typ zabezpečení užitečný. Lidé používají složky a soubory na jednom počítači a teď i v cloudu.
Podívejme se na příklad. Přihlásíte se ke své pracovní síti. Správce vám dal přístup k některým složkám a souborům v této síti. Předpokládejme, že vaše pracoviště spolupracuje s jinou společností. Tato společnost důvěřuje vaší společnosti. Souhlasí s tím, že každý, kdo má přístup k souborům vaší společnosti, má také přístup ke svým souborům.
V takovém případě by vaše společnost k udělení přístupu použila AuthN. Pak pomocí AuthZ umožní dostat se ke složkám a souborům. Partnerová společnost by tato oprávnění použila k použití u svých souborů a složek. To znamená, že se nemusíte přihlašovat dvakrát. Také to znamená, že partnerová společnost nemusí spravovat oprávnění pro všechny soubory a složky. Důvěra je "přenesena" z vaší společnosti na jejich. Možná uslyšíte, že se jedná o jednotné přihlašování (Single Sign On, SSO), protože stačí zadat pouze jedno uživatelské jméno a heslo, ale získáte tím přístup k více systémům.