Uwaga
Dostęp do tej strony wymaga autoryzacji. Może spróbować zalogować się lub zmienić katalogi.
Dostęp do tej strony wymaga autoryzacji. Możesz spróbować zmienić katalogi.
W tym artykule poznasz niektóre podstawowe pojęcia związane z zarządzaniem tożsamościami i dostępem (IAM), dlaczego jest to ważne i jak działa.
Zarządzanie tożsamościami i dostępem gwarantuje, że odpowiednie osoby, maszyny i składniki oprogramowania uzyskają dostęp do odpowiednich zasobów w odpowiednim czasie. Po pierwsze, osoba, maszyna lub składnik oprogramowania udowodni, że są kim lub co twierdzą. Następnie osobie, maszynie lub składnikowi oprogramowania przyznaje się lub odmawia dostępu do określonych zasobów lub możliwości ich wykorzystania.
Aby dowiedzieć się więcej na temat podstawowych terminów i pojęć, zobacz Podstawy tożsamości.
Co robi IAM (zarządzanie dostępem i tożsamościami)?
Systemy IAM zwykle zapewniają następujące podstawowe funkcje:
Zarządzanie tożsamościami — proces tworzenia, przechowywania i zarządzania informacjami o tożsamościach. Dostawcy tożsamości to rozwiązania programowe używane do śledzenia tożsamości użytkowników i zarządzania nimi, a także uprawnień i poziomów dostępu skojarzonych z tymi tożsamościami.
Federacja tożsamości — możesz pozwolić użytkownikom, którzy mają już hasła w innych systemach (na przykład w sieci Twojego przedsiębiorstwa lub u dostawcy tożsamości społecznościowych), na dostęp do Twojego systemu.
Aprowizowanie i anulowanie aprowizacji użytkowników — proces tworzenia kont użytkowników i zarządzania nimi, w tym określania, którzy użytkownicy mają dostęp do jakich zasobów oraz przypisywania uprawnień i poziomów dostępu.
Uwierzytelnianie użytkowników — uwierzytelnij użytkownika, maszynę lub składnik oprogramowania, potwierdzając, że są kim lub co mówią. Możesz dodać uwierzytelnianie wieloskładnikowe (MFA) dla poszczególnych użytkowników w celu zapewnienia dodatkowych zabezpieczeń lub logowania jednokrotnego, aby umożliwić użytkownikom uwierzytelnianie tożsamości za pomocą jednego portalu zamiast wielu różnych zasobów.
Autoryzacja użytkowników — autoryzacja gwarantuje, że użytkownik otrzymuje dokładny poziom i typ dostępu do narzędzia, do którego ma prawo. Użytkownicy mogą być również podzielone na grupy lub role, dzięki czemu duże kohorty użytkowników mogą mieć takie same uprawnienia.
Kontrola dostępu — proces określania, kto lub kto ma dostęp do jakich zasobów. Obejmuje to definiowanie ról i uprawnień użytkownika, a także konfigurowanie mechanizmów uwierzytelniania i autoryzacji. Mechanizmy kontroli dostępu regulują dostęp do systemów i danych.
Raporty i monitorowanie — generowanie raportów po akcjach podjętych na platformie (takich jak czas logowania, dostęp do systemów i typ uwierzytelniania), aby zapewnić zgodność i ocenić zagrożenia bezpieczeństwa. Uzyskaj wgląd w wzorce zabezpieczeń i użycia środowiska.
Jak działa IAM (Zarządzanie dostępem i tożsamościami)
Ta sekcja zawiera omówienie procesu uwierzytelniania i autoryzacji oraz bardziej typowych standardów.
Uwierzytelnianie, autoryzowanie i uzyskiwanie dostępu do zasobów
Załóżmy, że masz aplikację, która loguje użytkownika, a następnie uzyskuje dostęp do chronionego zasobu.
Użytkownik (właściciel zasobu) inicjuje żądanie uwierzytelnienia za pomocą dostawcy tożsamości/serwera autoryzacji z aplikacji klienckiej.
Jeśli poświadczenia są prawidłowe, dostawca tożsamości/serwer autoryzacji najpierw wysyła token identyfikatora zawierający informacje o użytkowniku z powrotem do aplikacji klienckiej.
Dostawca tożsamości/serwer autoryzacji uzyskuje również zgodę użytkownika końcowego i udziela autoryzacji aplikacji klienckiej w celu uzyskania dostępu do chronionego zasobu. Autoryzacja jest udostępniana w tokenie dostępu, który jest również wysyłany z powrotem do aplikacji klienckiej.
Token dostępu jest dołączany do kolejnych żądań wysyłanych do chronionego serwera zasobów z aplikacji klienckiej.
Dostawca tożsamości/serwer autoryzacji weryfikuje token dostępu. Jeśli żądanie dotyczące chronionych zasobów zostanie zaakceptowane, wówczas odpowiedź zostanie wysłana z powrotem do aplikacji klienckiej.
Aby uzyskać więcej informacji, przeczytaj Uwierzytelnianie i autoryzacja.
Standardy uwierzytelniania i autoryzacji
Są to najbardziej znane i powszechnie używane standardy uwierzytelniania i autoryzacji:
Protokół OAuth 2.0
OAuth to otwarty protokół zarządzania tożsamościami, który zapewnia bezpieczny dostęp do witryn internetowych, aplikacji mobilnych i Internetu rzeczy oraz innych urządzeń. Używa tokenów szyfrowanych podczas przesyłania i eliminuje konieczność udostępniania poświadczeń. OAuth 2.0, najnowsza wersja OAuth, jest popularną strukturą używaną przez główne platformy mediów społecznościowych i usługi konsumenckie, od Facebooka i LinkedIn do Google, PayPal i Netflix. Aby dowiedzieć się więcej, przeczytaj o protokole OAuth 2.0.
OpenID Connect (OIDC)
Wraz z wydaniem protokołu OpenID Connect (który korzysta z szyfrowania kluczy publicznych), openID stał się powszechnie przyjętą warstwą uwierzytelniania dla protokołu OAuth. Podobnie jak SAML, OpenID Connect (OIDC) jest powszechnie używany do jednokrotnego logowania (SSO), ale OIDC używa REST/JSON zamiast XML. Funkcja OIDC została zaprojektowana do pracy z aplikacjami natywnymi i mobilnymi przy użyciu protokołów REST/JSON. Podstawowy przypadek użycia protokołu SAML jest jednak aplikacjami internetowymi. Aby dowiedzieć się więcej, przeczytaj o protokole OpenID Connect.
Tokeny internetowe JSON (JWTs)
JWTs to otwarty standard, który definiuje kompaktowy i samodzielny sposób bezpiecznego przesyłania informacji między stronami jako obiektu JSON. JWTs można zweryfikować i zaufać, ponieważ są podpisane cyfrowo. Mogą służyć do przekazywania tożsamości uwierzytelnionych użytkowników między dostawcą tożsamości a usługą żądającą uwierzytelnienia. Można je również uwierzytelniać i szyfrować. Aby dowiedzieć się więcej, przeczytaj JSON Web Tokens.
Język znaczników asercji zabezpieczeń (SAML)
SAML to otwarty standard używany do wymiany informacji o uwierzytelnianiu i autoryzacji między, w tym przypadku rozwiązanieM IAM i inną aplikacją. Ta metoda używa kodu XML do przesyłania danych i jest zazwyczaj metodą używaną przez platformy zarządzania tożsamościami i dostępem w celu udzielenia użytkownikom możliwości logowania się do aplikacji zintegrowanych z rozwiązaniami zarządzania dostępem i tożsamościami. Aby dowiedzieć się więcej, przeczytaj Protokół SAML.
System zarządzania tożsamością międzydomenową (SCIM)
Utworzono w celu uproszczenia procesu zarządzania tożsamościami użytkowników, aprowizacja SCIM umożliwia organizacjom efektywne działanie w chmurze i łatwe dodawanie lub usuwanie użytkowników, korzystanie z budżetów, zmniejszenie ryzyka i usprawnianie przepływów pracy. SCIM ułatwia również komunikację między aplikacjami opartymi na chmurze. Aby dowiedzieć się więcej, przeczytaj Opracowywanie i planowanie aprowizacji dla punktu końcowego SCIM.
Federacja usług sieci Web (WS-Fed)
WS-Fed został opracowany przez firmę Microsoft i szeroko używany w swoich aplikacjach, ten standard definiuje sposób, w jaki tokeny zabezpieczające mogą być transportowane między różnymi jednostkami w celu wymiany informacji o tożsamości i autoryzacji. Aby dowiedzieć się więcej, przeczytaj Protokół federacyjny usług sieci Web.
Następne kroki
Aby dowiedzieć się więcej, zobacz: