Konsep dasar manajemen identitas dan akses (IAM)
Artikel ini menyediakan konsep dan terminologi mendasar untuk membantu Anda memahami manajemen identitas dan akses (IAM).
Apa itu manajemen identitas dan akses (IAM)?
Manajemen identitas dan akses memastikan bahwa orang, mesin, dan komponen perangkat lunak yang tepat mendapatkan akses ke sumber daya yang tepat pada waktu yang tepat. Pertama, komponen orang, mesin, atau perangkat lunak membuktikan bahwa mereka adalah siapa atau apa yang mereka klaim. Kemudian, komponen orang, mesin, atau perangkat lunak diizinkan atau ditolak akses ke atau penggunaan sumber daya tertentu.
Berikut adalah beberapa konsep mendasar untuk membantu Anda memahami manajemen identitas dan akses:
Identitas
Identitas digital adalah kumpulan pengidentifikasi atau atribut unik yang mewakili manusia, komponen perangkat lunak, mesin, aset, atau sumber daya dalam sistem komputer. Pengidentifikasi dapat berupa:
- Alamat email
- Info masuk masuk (nama pengguna/kata sandi)
- Nomor Rekening Bank
- ID yang dikeluarkan pemerintah
- Alamat MAC atau alamat IP
Identitas digunakan untuk mengautentikasi dan mengotorisasi akses ke sumber daya, berkomunikasi dengan manusia lain, melakukan transaksi, dan tujuan lainnya.
Pada tingkat tinggi, ada tiga jenis identitas:
- Identitas manusia mewakili orang-orang seperti karyawan (pekerja internal dan pekerja garis depan) dan pengguna eksternal (pelanggan, konsultan, vendor, dan mitra).
- Identitas beban kerja mewakili beban kerja perangkat lunak seperti aplikasi, layanan, skrip, atau kontainer.
- Identitas perangkat mewakili perangkat seperti komputer desktop, ponsel, sensor IoT, dan perangkat terkelola IoT. Identitas perangkat berbeda dari identitas manusia.
Autentikasi
Autentikasi adalah proses menantang seseorang, komponen perangkat lunak, atau perangkat keras untuk kredensial untuk memverifikasi identitas mereka, atau membuktikan bahwa mereka adalah siapa atau apa yang mereka klaim. Autentikasi biasanya memerlukan penggunaan kredensial (seperti nama pengguna dan kata sandi, sidik jari, sertifikat, atau kode sandi satu kali). Autentikasi terkadang disingkat menjadi AuthN.
Autentikasi multifaktor (MFA) adalah langkah keamanan yang mengharuskan pengguna untuk memberikan lebih dari satu bukti untuk memverifikasi identitas mereka, seperti:
- Sesuatu yang mereka ketahui, misalnya kata sandi.
- Sesuatu yang mereka miliki, seperti lencana atau token keamanan.
- Sesuatu yang mereka, seperti biometrik (sidik jari atau wajah).
Akses menyeluruh (SSO) memungkinkan pengguna untuk mengautentikasi identitas mereka sekali dan kemudian secara diam-diam mengautentikasi saat mengakses berbagai sumber daya yang mengandalkan identitas yang sama. Setelah diautentikasi, sistem IAM bertindak sebagai sumber kebenaran identitas untuk sumber daya lain yang tersedia untuk pengguna. Ini menghilangkan kebutuhan untuk masuk ke beberapa sistem target terpisah.
Authorization
Otorisasi memvalidasi bahwa komponen pengguna, mesin, atau perangkat lunak telah diberikan akses ke sumber daya tertentu. Otorisasi kadang-kadang disingkat menjadi AuthZ.
Autentikasi vs. otorisasi
Istilah autentikasi dan otorisasi terkadang digunakan secara bergantian, karena sering kali terlihat seperti satu pengalaman bagi pengguna. Mereka sebenarnya adalah dua proses terpisah:
- Autentikasi membuktikan identitas pengguna, mesin, atau komponen perangkat lunak.
- Otorisasi memberikan atau menolak akses komponen pengguna, mesin, atau perangkat lunak ke sumber daya tertentu.
Berikut adalah gambaran umum singkat tentang autentikasi dan otorisasi:
Autentikasi | Authorization |
---|---|
Dapat dianggap sebagai penjaga gerbang, memungkinkan akses hanya ke entitas yang memberikan kredensial yang valid. | Dapat dianggap sebagai penjaga, memastikan bahwa hanya entitas dengan izin yang tepat yang dapat memasuki area tertentu. |
Memverifikasi apakah pengguna, mesin, atau perangkat lunak adalah siapa atau apa yang mereka klaim. | Menentukan apakah pengguna, mesin, atau perangkat lunak diizinkan untuk mengakses sumber daya tertentu. |
Menantang pengguna, mesin, atau perangkat lunak untuk kredensial yang dapat diverifikasi (misalnya, kata sandi, pengidentifikasi biometrik, atau sertifikat). | Menentukan tingkat akses pengguna, mesin, atau perangkat lunak apa yang dimiliki. |
Selesai sebelum otorisasi. | Selesai setelah autentikasi berhasil. |
Informasi ditransfer dalam token ID. | Informasi ditransfer dalam token akses. |
Sering menggunakan OpenID Connect (OIDC) (yang dibangun pada protokol OAuth 2.0) atau protokol SAML. | Sering menggunakan protokol OAuth 2.0. |
Untuk informasi lebih rinci, baca Autentikasi vs. otorisasi.
Contoh
Misalkan Anda ingin bermalam di hotel. Anda dapat menganggap autentikasi dan otorisasi sebagai sistem keamanan untuk gedung hotel. Pengguna adalah orang-orang yang ingin menginap di hotel, sumber daya adalah kamar atau area yang ingin digunakan orang. Staf hotel adalah jenis pengguna lain.
Jika Anda menginap di hotel, pertama-tama Anda pergi ke resepsi untuk memulai "proses autentikasi". Anda menunjukkan kartu identifikasi dan kartu kredit dan resepsionis cocok dengan ID Anda dengan reservasi online. Setelah resepsionis memverifikasi siapa Anda, resepsionis memberi Anda izin untuk mengakses kamar yang telah Anda tetapkan. Anda diberi kartu kunci dan bisa pergi sekarang ke kamar Anda.
Pintu ke kamar hotel dan area lainnya memiliki sensor keycard. Menggesek kartu kunci di depan sensor adalah "proses otorisasi". Kartu kunci hanya memungkinkan Anda membuka pintu ke kamar yang diizinkan untuk diakses, seperti kamar hotel dan ruang latihan hotel. Jika Anda menggesek kartu kunci untuk memasuki kamar tamu hotel lainnya, akses Anda ditolak.
Izin individual, seperti mengakses ruang latihan dan ruang tamu tertentu, dikumpulkan ke dalam peran yang dapat diberikan kepada pengguna individu. Saat Anda menginap di hotel, Anda diberi peran Patron Hotel. Staf layanan kamar hotel akan diberikan peran Layanan Kamar Hotel. Peran ini memungkinkan akses ke semua kamar tamu hotel (tetapi hanya antara pukul 23.00 dan 16.00), ruang binatu, dan lemari pasokan di setiap lantai.
IdP
IdP membuat, mempertahankan, dan mengelola informasi identitas sambil menawarkan layanan autentikasi, otorisasi, dan pengauditan.
Dengan autentikasi modern, semua layanan, termasuk semua layanan autentikasi, disediakan oleh IdP pusat. Informasi yang digunakan untuk mengautentikasi pengguna dengan server disimpan dan dikelola secara terpusat oleh IdP.
Dengan IdP pusat, organisasi dapat menetapkan kebijakan autentikasi dan otorisasi, memantau perilaku pengguna, mengidentifikasi aktivitas yang mencurigakan, dan mengurangi serangan berbahaya.
Microsoft Entra adalah contoh idP berbasis cloud. Contoh lain termasuk Twitter, Google, Amazon, LinkedIn, dan GitHub.
Langkah berikutnya
- Baca Pengantar manajemen identitas dan akses untuk mempelajari lebih lanjut.
- Pelajari tentang Akses menyeluruh (SSO).
- Pelajari tentang autentikasi multifaktor (MFA).