Megosztás a következőn keresztül:

Az identitás- és hozzáférés-kezelés (IAM) alapvető fogalmai

  • Cikk

Ez a cikk alapvető fogalmakat és terminológiát tartalmaz az identitás- és hozzáférés-kezelés (IAM) megértéséhez.

Mi az identitás- és hozzáférés-kezelés (IAM)?

Az identitás- és hozzáférés-kezelés biztosítja, hogy a megfelelő személyek, gépek és szoftverösszetevők a megfelelő időben férhessenek hozzá a megfelelő erőforrásokhoz. Először is a személy, a gép vagy a szoftverösszetevő bizonyítja, hogy ki vagy mi az, akinek vallja magát. Ezután a személy, gép vagy szoftver összetevő bizonyos erőforrásokhoz való hozzáférését vagy használatát engedélyezi vagy megtagadja.

Az alábbiakban néhány alapvető fogalmat talál az identitás- és hozzáférés-kezelés megértéséhez:

Azonosság

A digitális identitás olyan egyedi azonosítók vagy attribútumok gyűjteménye, amelyek egy számítógéprendszer emberi, szoftverösszetevőjét, gépét, eszközét vagy erőforrását jelölik. Az azonosítók a következőek lehetnek:

  • E-mail-cím
  • Bejelentkezési hitelesítő adatok (felhasználónév/jelszó)
  • Bankszámlaszám
  • A kormány által kiadott azonosító
  • MAC-cím vagy IP-cím

Az identitások az erőforrások hitelesítésére és engedélyezésére, más emberekkel való kommunikációra, tranzakciók és egyéb célokra használhatók.

Magas szinten háromféle identitás létezik:

  • Az emberi identitások olyan személyeket képviselnek, mint az alkalmazottak (belső dolgozók és frontvonalbeli dolgozók) és a külső felhasználók (ügyfelek, tanácsadók, szállítók és partnerek).
  • A számítási feladatok identitásai olyan szoftveres számítási feladatokat jelölnek, mint például egy alkalmazás, szolgáltatás, szkript vagy tároló.
  • Az eszközidentitások olyan eszközöket jelölnek, mint az asztali számítógépek, a mobiltelefonok, az IoT-érzékelők és az IoT által felügyelt eszközök. Az eszközidentitások különböznek az emberi identitásoktól.

Hitelesítés

A hitelesítés az a folyamat, amely során egy személy, szoftverösszetevő vagy hardvereszköz hitelesítő adatokkal való megpróbálása céljából ellenőrzi személyazonosságát, vagy igazolja, hogy ki vagy mi az, akinek vallja magát. A hitelesítéshez általában hitelesítő adatok (például felhasználónév és jelszó, ujjlenyomatok, tanúsítványok vagy egyszeri pin-kódok) használata szükséges. A hitelesítés néha AuthN-ra rövidül.

A többtényezős hitelesítés (MFA) olyan biztonsági intézkedés, amely megköveteli, hogy a felhasználók egynél több bizonyítékot adjanak meg az identitásaik ellenőrzéséhez, például:

  • Valami, amit tudnak, például egy jelszót.
  • Valami, ami van, például jelvény vagy biztonsági jogkivonat.
  • Valami, ami olyan, mint egy biometrikus (ujjlenyomat vagy arc).

Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a felhasználók egyszer hitelesítsék identitásukat, majd később csendben hitelesítsék magukat az azonos identitásra támaszkodó különböző erőforrások elérésekor. A hitelesítést követően az IAM-rendszer az identitásigazság forrásaként szolgál a felhasználó számára elérhető többi erőforráshoz. Ez eltávolítja a több különálló célrendszerre való bejelentkezés szükségességét.

Felhatalmazás

Az engedélyezés ellenőrzi, hogy a felhasználó, a gép vagy a szoftverösszetevő hozzáférést kapott-e bizonyos erőforrásokhoz. Az engedélyezés néha rövidítve van az AuthZ-hez.

Hitelesítés és engedélyezés

A hitelesítés és az engedélyezés kifejezéseket néha felcserélhetően használják, mivel gyakran egyetlen felhasználói felületnek tűnnek. Valójában két különálló folyamat:

  • A hitelesítés egy felhasználó, gép vagy szoftverösszetevő identitását igazolja.
  • Az engedélyezés hozzáférést ad vagy tagad a felhasználó, a gép vagy a szoftverösszetevő számára bizonyos erőforrásokhoz.

A hitelesítést és az engedélyezést egymás mellett ábrázoló diagram.

Íme egy gyors áttekintés a hitelesítésről és az engedélyezésről:

Hitelesítés Felhatalmazás
Lehet gondolni, mint egy kapuőr, amely lehetővé teszi a hozzáférést csak azokat az entitásokat, akik érvényes hitelesítő adatokat. Úgy is felfogható, mint egy őr, biztosítva, hogy csak azok az entitások, amelyek megfelelő engedéllyel léphetnek be bizonyos területekre.
Ellenőrzi, hogy a felhasználó, a gép vagy a szoftver ki vagy mit állít. Meghatározza, hogy a felhasználó, a gép vagy a szoftver hozzáfér-e egy adott erőforráshoz.
Megkérdőjelezi a felhasználót, a gépet vagy a szoftvert az ellenőrizhető hitelesítő adatok (például jelszavak, biometrikus azonosítók vagy tanúsítványok) miatt. Meghatározza, hogy egy felhasználó, gép vagy szoftver milyen hozzáférési szinttel rendelkezik.
Engedélyezés előtt kész. A sikeres hitelesítés után kész.
Az adatok egy azonosító jogkivonatban lesznek átadva. A rendszer egy hozzáférési jogkivonatban továbbítja az adatokat.
Gyakran használja az OpenID Connect (OIDC) protokollt (amely az OAuth 2.0 protokollra épül) vagy SAML protokollt. Gyakran használja az OAuth 2.0 protokollt.

Részletesebb információkért olvassa el a Hitelesítés és az engedélyezés című témakört.

Példa

Tegyük fel, hogy egy szállodában szeretné tölteni az éjszakát. A hitelesítést és az engedélyezést a szálloda épületének biztonsági rendszereként tekintheti. A felhasználók olyan emberek, akik a szállodában szeretnének maradni, az erőforrások azok a szobák vagy területek, amelyeket az emberek használni szeretnének. A szálloda személyzete egy másik típusú felhasználó.

Ha a szállodában tartózkodik, először a recepcióra kell mennie, hogy elindítsa a "hitelesítési folyamatot". Ön egy azonosító kártyát és hitelkártyát jelenít meg, és a recepciós megfelel az ön azonosítójának az online foglaláshoz. Miután a recepciós ellenőrizte, hogy ki vagy, a recepciós engedélyt ad a hozzárendelt szoba elérésére. Kap egy kulcskártyát, és most mehet a szobájába.

A szállodai kulcskártya beszerzéséhez azonosítót mutató személyt ábrázoló ábra.

A szállodai szobák és egyéb területek ajtói kulcskártya érzékelőkkel rendelkeznek. Az "engedélyezési folyamat" az, ha az érzékelő elé pöccinti a kulcskártyát. A kulcskártyával csak azoknak a szobáknak nyithatja meg az ajtókat, amelyekhez hozzáférése van, például a szállodai szobához és a szállodai gyakorlószobához. Ha a kulcskártyát pöccintve be szeretne lépni bármely más szállodai vendégszobába, a hozzáférése megtagadva.

Az egyéni engedélyek, például a gyakorlóterem és egy adott vendégszoba elérése, az egyes felhasználók számára adható szerepkörökbe kerülnek. Amikor a szállodában tartózkodik, megkapja a Hotel Patron szerepkört. A szállodai szobaszerviz személyzete a Hotel Room Service szerepkört kapja. Ez a szerepkör lehetővé teszi a hozzáférést az összes szállodai vendégszobához (de csak 11 és 16 óra között), a mosókonyhához és az egyes emeleteken található ellátási szekrényekhez.

Diagram, amely azt mutatja, hogy egy felhasználó kulcskártyával fér hozzá egy helyiséghez.

Identitásszolgáltató

Az identitásszolgáltató hitelesítési, engedélyezési és naplózási szolgáltatások nyújtása során létrehozza, karbantartja és kezeli az identitásadatokat.

A felhő, a munkaállomás, a mobil és az adatbázis ikonjai által körülvett identitásikont ábrázoló diagram.

A modern hitelesítéssel minden szolgáltatást, beleértve az összes hitelesítési szolgáltatást is, egy központi identitásszolgáltató biztosítja. A felhasználó kiszolgálóval való hitelesítéséhez használt információkat az identitásszolgáltató tárolja és kezeli központilag.

A központi identitásszolgáltatóval a szervezetek hitelesítési és engedélyezési szabályzatokat hozhatnak létre, figyelhetik a felhasználói viselkedést, azonosíthatják a gyanús tevékenységeket, és csökkenthetik a rosszindulatú támadásokat.

A Microsoft Entra egy felhőalapú identitásszolgáltató példája. Ilyen például az X, a Google, az Amazon, a LinkedIn és a GitHub.

Következő lépések