Apa itu manajemen identitas dan akses (IAM)?
Dalam artikel ini, Anda mempelajari beberapa konsep dasar Manajemen Identitas dan Akses (IAM), mengapa penting, dan cara kerjanya.
Manajemen identitas dan akses memastikan bahwa orang, mesin, dan komponen perangkat lunak yang tepat mendapatkan akses ke sumber daya yang tepat pada waktu yang tepat. Pertama, komponen orang, mesin, atau perangkat lunak membuktikan bahwa mereka adalah siapa atau apa yang mereka klaim. Kemudian, komponen orang, mesin, atau perangkat lunak diizinkan atau ditolak akses ke atau penggunaan sumber daya tertentu.
Untuk mempelajari tentang istilah dan konsep dasar, lihat Dasar-dasar identitas.
Apa yang dilakukan IAM?
Sistem IAM biasanya menyediakan fungsionalitas inti berikut:
Manajemen identitas - Proses pembuatan, penyimpanan, dan pengelolaan informasi identitas. Penyedia identitas (IdP) adalah solusi perangkat lunak yang digunakan untuk melacak dan mengelola identitas pengguna, serta izin dan tingkat akses yang terkait dengan identitas tersebut.
Federasi identitas - Anda dapat mengizinkan pengguna yang sudah memiliki kata sandi di tempat lain (misalnya, di jaringan perusahaan Anda atau dengan internet atau penyedia identitas sosial) untuk mendapatkan akses ke sistem Anda.
Provisi dan deprovisi pengguna - Proses pembuatan dan pengelolaan akun pengguna, yang mencakup menentukan pengguna mana yang memiliki akses ke sumber daya mana, dan menetapkan izin dan tingkat akses.
Autentikasi pengguna - Autentikasi komponen pengguna, mesin, atau perangkat lunak dengan mengonfirmasi bahwa mereka adalah siapa atau apa yang mereka katakan. Anda dapat menambahkan autentikasi multifaktor (MFA) untuk pengguna individual untuk keamanan tambahan atau akses menyeluruh (SSO) untuk memungkinkan pengguna mengautentikasi identitas mereka dengan satu portal alih-alih banyak sumber daya yang berbeda.
Otorisasi pengguna - Otorisasi memastikan pengguna diberikan tingkat dan jenis akses yang tepat ke alat yang mereka berhak. Pengguna juga dapat dibagikan ke dalam grup atau peran sehingga kohor besar pengguna dapat diberikan hak istimewa yang sama.
Kontrol akses - Proses menentukan siapa atau apa yang memiliki akses ke sumber daya mana. Ini termasuk menentukan peran dan izin pengguna, serta menyiapkan mekanisme autentikasi dan otorisasi. Kontrol akses mengatur akses ke sistem dan data.
Laporan dan pemantauan - Hasilkan laporan setelah tindakan yang diambil pada platform (seperti waktu masuk, sistem yang diakses, dan jenis autentikasi) untuk memastikan kepatuhan dan menilai risiko keamanan. Dapatkan wawasan tentang pola keamanan dan penggunaan lingkungan Anda.
Cara kerja IAM
Bagian ini memberikan gambaran umum tentang proses autentikasi dan otorisasi dan standar yang lebih umum.
Mengautentikasi, mengotorisasi, dan mengakses sumber daya
Katakanlah Anda memiliki aplikasi yang memasukkan pengguna lalu mengakses sumber daya yang dilindungi.
Pengguna (pemilik sumber daya) memulai permintaan autentikasi dengan penyedia identitas/server otorisasi dari aplikasi klien.
Jika kredensial valid, penyedia identitas/server otorisasi terlebih dahulu mengirim token ID yang berisi informasi tentang pengguna kembali ke aplikasi klien.
Penyedia identitas/server otorisasi juga mendapatkan persetujuan pengguna akhir dan memberikan otorisasi aplikasi klien untuk mengakses sumber daya yang dilindungi. Otorisasi disediakan dalam token akses, yang juga dikirim kembali ke aplikasi klien.
Token akses dilampirkan ke permintaan berikutnya yang dibuat ke server sumber daya yang dilindungi dari aplikasi klien.
Server penyedia identitas/otorisasi memvalidasi token akses. Jika berhasil permintaan sumber daya yang dilindungi diberikan, dan respons dikirim kembali ke aplikasi klien.
Untuk informasi selengkapnya, baca Autentikasi dan otorisasi.
Standar autentikasi dan otorisasi
Ini adalah standar autentikasi dan otorisasi yang paling terkenal dan umum digunakan:
OAuth 2.0
OAuth adalah protokol manajemen identitas standar terbuka yang menyediakan akses aman untuk situs web, aplikasi seluler, dan Internet of Things dan perangkat lainnya. Ini menggunakan token yang dienkripsi saat transit dan menghilangkan kebutuhan untuk berbagi kredensial. OAuth 2.0, rilis terbaru OAuth, adalah kerangka kerja populer yang digunakan oleh platform media sosial utama dan layanan konsumen, dari Facebook dan LinkedIn ke Google, PayPal, dan Netflix. Untuk mempelajari lebih lanjut, baca tentang protokol OAuth 2.0.
OpenID Connect (OIDC)
Dengan rilis Koneksi OpenID (yang menggunakan enkripsi kunci publik), OpenID menjadi lapisan autentikasi yang diadopsi secara luas untuk OAuth. Seperti SAML, OpenID Koneksi (OIDC) banyak digunakan untuk akses menyeluruh (SSO), tetapi OIDC menggunakan REST/JSON alih-alih XML. OIDC dirancang untuk bekerja dengan aplikasi asli dan seluler dengan menggunakan protokol REST/JSON. Namun, kasus penggunaan utama untuk SAML adalah aplikasi berbasis web. Untuk mempelajari lebih lanjut, baca tentang protokol Koneksi OpenID.
Token web JSON (JWT)
JWT adalah standar terbuka yang mendefinisikan cara yang ringkas dan mandiri untuk mengirimkan informasi antar pihak dengan aman sebagai objek JSON. JWT dapat diverifikasi dan dipercaya karena ditandatangani secara digital. Mereka dapat digunakan untuk meneruskan identitas pengguna yang diautentikasi antara penyedia identitas dan layanan yang meminta autentikasi. Mereka juga dapat diautentikasi dan dienkripsi. Untuk mempelajari lebih lanjut, baca JSON Web Tokens.
Security Assertion Markup Language (SAML)
SAML adalah standar terbuka yang digunakan untuk bertukar informasi autentikasi dan otorisasi antara, dalam hal ini, solusi IAM dan aplikasi lain. Metode ini menggunakan XML untuk mengirimkan data dan biasanya merupakan metode yang digunakan oleh platform manajemen identitas dan akses untuk memberi pengguna kemampuan untuk masuk ke aplikasi yang telah terintegrasi dengan solusi IAM. Untuk mempelajari lebih lanjut, baca protokol SAML.
System for Cross-Domain Identity Management (SCIM)
Dibuat untuk menyederhanakan proses pengelolaan identitas pengguna, provisi SCIM memungkinkan organisasi untuk beroperasi secara efisien di cloud dan dengan mudah menambahkan atau menghapus pengguna, menguntungkan anggaran, mengurangi risiko, dan menyederhanakan alur kerja. SCIM juga memfasilitasi komunikasi antara aplikasi berbasis cloud. Untuk mempelajari lebih lanjut, baca Mengembangkan dan merencanakan provisi untuk titik akhir SCIM.
Federasi Layanan Web (WS-Fed)
WS-Fed dikembangkan oleh Microsoft dan digunakan secara ekstensif dalam aplikasi mereka, standar ini mendefinisikan cara token keamanan dapat diangkut antara entitas yang berbeda untuk bertukar informasi identitas dan otorisasi. Untuk mempelajari lebih lanjut, baca Protokol Federasi Layanan Web.
Langkah berikutnya
Untuk mempelajari selengkapnya, lihat:
Saran dan Komentar
Segera hadir: Sepanjang tahun 2024 kami akan menghentikan penggunaan GitHub Issues sebagai mekanisme umpan balik untuk konten dan menggantinya dengan sistem umpan balik baru. Untuk mengetahui informasi selengkapnya, lihat: https://aka.ms/ContentUserFeedback.
Kirim dan lihat umpan balik untuk