Co to jest zarządzanie tożsamościami i dostępem (IAM)?

  • Artykuł

W tym artykule przedstawiono niektóre podstawowe pojęcia związane z zarządzaniem tożsamościami i dostępem (IAM), dlaczego jest to ważne i jak działa.

Zarządzanie tożsamościami i dostępem zapewnia, że odpowiednie osoby, maszyny i składniki oprogramowania uzyskują dostęp do odpowiednich zasobów w odpowiednim czasie. Po pierwsze, osoba, maszyna lub składnik oprogramowania udowadnia, że są kim lub co twierdzą. Następnie osoba, maszyna lub składnik oprogramowania jest dozwolony lub odmawia dostępu do niektórych zasobów lub korzystania z nich.

Aby dowiedzieć się więcej na temat podstawowych pojęć i pojęć, zobacz Podstawy dotyczące tożsamości.

Co robi usługa IAM?

Systemy IAM zwykle zapewniają następujące podstawowe funkcje:

  • Zarządzanie tożsamościami — proces tworzenia, przechowywania i zarządzania informacjami o tożsamości. Dostawcy tożsamości to rozwiązania programowe używane do śledzenia tożsamości użytkowników i zarządzania nimi, a także uprawnień i poziomów dostępu skojarzonych z tymi tożsamościami.

  • Federacja tożsamości — możesz zezwolić użytkownikom, którzy mają już hasła w innym miejscu (na przykład w sieci przedsiębiorstwa lub przy użyciu internetowego lub dostawcy tożsamości społecznościowych), aby uzyskać dostęp do systemu.

  • Aprowizowanie i anulowanie aprowizacji użytkowników — proces tworzenia kont użytkowników i zarządzania nimi, w tym określanie, którzy użytkownicy mają dostęp do jakich zasobów oraz przypisywanie uprawnień i poziomów dostępu.

  • Uwierzytelnianie użytkowników — uwierzytelnianie użytkownika, komputera lub składnika oprogramowania przez potwierdzenie, że są kim lub co mówią. Możesz dodać uwierzytelnianie wieloskładnikowe (MFA) dla poszczególnych użytkowników w celu zapewnienia dodatkowych zabezpieczeń lub logowania jednokrotnego, aby umożliwić użytkownikom uwierzytelnianie tożsamości za pomocą jednego portalu zamiast wielu różnych zasobów.

  • Autoryzacja użytkowników — autoryzacja gwarantuje, że użytkownik otrzymuje dokładny poziom i typ dostępu do narzędzia, do którego ma prawo. Użytkownicy mogą być również podzielone na grupy lub role, dzięki czemu można przyznać te same uprawnienia dużym kohortom użytkowników.

  • Kontrola dostępu — proces określania, kto lub co ma dostęp do jakich zasobów. Obejmuje to definiowanie ról i uprawnień użytkownika, a także konfigurowanie mechanizmów uwierzytelniania i autoryzacji. Mechanizmy kontroli dostępu regulują dostęp do systemów i danych.

  • Raporty i monitorowanie — generowanie raportów po wykonaniu akcji na platformie (takich jak czas logowania, dostęp do systemów i typ uwierzytelniania), aby zapewnić zgodność i ocenić zagrożenia bezpieczeństwa. Uzyskaj wgląd w wzorce zabezpieczeń i użycia środowiska.

Jak działa zarządzanie dostępem i tożsamościami

Ta sekcja zawiera omówienie procesu uwierzytelniania i autoryzacji oraz bardziej typowych standardów.

Uwierzytelnianie, autoryzowanie i uzyskiwanie dostępu do zasobów

Załóżmy, że masz aplikację, która loguje się do użytkownika, a następnie uzyskuje dostęp do chronionego zasobu.

Diagram przedstawiający proces uwierzytelniania i autoryzacji użytkownika na potrzeby uzyskiwania dostępu do chronionego zasobu przy użyciu dostawcy tożsamości.

  1. Użytkownik (właściciel zasobu) inicjuje żądanie uwierzytelniania za pomocą dostawcy tożsamości/serwera autoryzacji z aplikacji klienckiej.

  2. Jeśli poświadczenia są prawidłowe, dostawca tożsamości/serwer autoryzacji najpierw wysyła token identyfikatora zawierający informacje o użytkowniku z powrotem do aplikacji klienckiej.

  3. Dostawca tożsamości/serwer autoryzacji uzyskuje również zgodę użytkownika końcowego i udziela autoryzacji aplikacji klienckiej w celu uzyskania dostępu do chronionego zasobu. Autoryzacja jest udostępniana w tokenie dostępu, który jest również wysyłany z powrotem do aplikacji klienckiej.

  4. Token dostępu jest dołączany do kolejnych żądań wysyłanych do chronionego serwera zasobów z aplikacji klienckiej.

  5. Dostawca tożsamości/serwer autoryzacji weryfikuje token dostępu. Jeśli żądanie dotyczące chronionych zasobów zostanie przyznane, a odpowiedź zostanie wysłana z powrotem do aplikacji klienckiej.

Aby uzyskać więcej informacji, zobacz Uwierzytelnianie i autoryzacja.

Standardy uwierzytelniania i autoryzacji

Są to najbardziej znane i powszechnie używane standardy uwierzytelniania i autoryzacji:

OAuth 2.0

OAuth to otwarty protokół zarządzania tożsamościami, który zapewnia bezpieczny dostęp do witryn internetowych, aplikacji mobilnych i Internetu rzeczy i innych urządzeń. Używa tokenów, które są szyfrowane podczas przesyłania i eliminuje konieczność udostępniania poświadczeń. OAuth 2.0, najnowsza wersja OAuth, to popularna platforma używana przez główne platformy mediów społecznościowych i usługi konsumenckie, od Facebooka i LinkedIn do Google, PayPal i Netflix. Aby dowiedzieć się więcej, przeczytaj o protokole OAuth 2.0.

OpenID Connect (OIDC)

Wraz z wydaniem programu OpenID Connect (który używa szyfrowania kluczy publicznych), openID stał się powszechnie przyjętą warstwą uwierzytelniania dla protokołu OAuth. Podobnie jak SAML, OpenID Connect (OIDC) jest powszechnie używany do logowania jednokrotnego, ale OIDC używa rest/JSON zamiast XML. Funkcja OIDC została zaprojektowana do pracy z aplikacjami natywnymi i mobilnymi przy użyciu protokołów REST/JSON. Podstawowy przypadek użycia języka SAML to jednak aplikacje internetowe. Aby dowiedzieć się więcej, przeczytaj o protokole OpenID Connect.

Tokeny internetowe JSON (JWTs)

JWTs to otwarty standard, który definiuje kompaktowy i samodzielny sposób bezpiecznego przesyłania informacji między stronami jako obiektu JSON. JWTs można zweryfikować i zaufać, ponieważ są podpisane cyfrowo. Mogą służyć do przekazywania tożsamości uwierzytelnionych użytkowników między dostawcą tożsamości a usługą żądającą uwierzytelnienia. Można je również uwierzytelniać i szyfrować. Aby dowiedzieć się więcej, przeczytaj artykuł JSON Web Tokens (Tokeny sieci Web JSON).

Security Assertion Markup Language (SAML)

SAML to otwarty standard używany do wymiany informacji dotyczących uwierzytelniania i autoryzacji między rozwiązaniem IAM i inną aplikacją. Ta metoda używa kodu XML do przesyłania danych i jest zazwyczaj metodą używaną przez platformy zarządzania tożsamościami i dostępem, aby przyznać użytkownikom możliwość logowania się do aplikacji zintegrowanych z rozwiązaniami zarządzania tożsamościami. Aby dowiedzieć się więcej, przeczytaj protokół SAML.

System zarządzania tożsamościami między domenami (SCIM)

Utworzono w celu uproszczenia procesu zarządzania tożsamościami użytkowników, aprowizacja SCIM umożliwia organizacjom efektywne działanie w chmurze i łatwe dodawanie lub usuwanie użytkowników, korzystanie z budżetów, zmniejszenie ryzyka i usprawnianie przepływów pracy. SCIM ułatwia również komunikację między aplikacjami opartymi na chmurze. Aby dowiedzieć się więcej, przeczytaj Tworzenie i planowanie aprowizacji punktu końcowego SCIM.

Federacja usług internetowych (WS-Fed)

WS-Fed został opracowany przez firmę Microsoft i szeroko używany w swoich aplikacjach, ten standard definiuje sposób, w jaki tokeny zabezpieczające mogą być transportowane między różnymi jednostkami w celu wymiany informacji o tożsamości i autoryzacji. Aby dowiedzieć się więcej, przeczytaj Protokół federacyjny usług sieci Web.

Następne kroki

Aby dowiedzieć się więcej, zobacz: