Discutir o que é autorização
A autorização aborda o que uma identidade pode acessar e o que ela tem permissão para fazer depois de obter o acesso. A autorização de identidade fornece:
- Métodos de atribuição de direitos que permitem maior segurança e menos administração
- Capacidade de gerenciar o controle de política
- Simplificar a imposição padronizando uma abordagem comum
A autorização resume-se a fornecer acesso a uma identidade verificada ao que ela deve ter acesso. O acompanhamento e a imposição desse acesso e uso. Com a autorização, você se concentra em:
| Conceito de autorização | Descrição e uso |
|---|---|
| Tipo de direito | Os direitos têm como foco saber se uma identidade recebeu ou não o acesso (“tem direito”) a um recurso específico. Assim, os direitos são tratados com muitos tipos diferentes. A atribuição de direitos acontece no nível do aplicativo, de forma centralizada por meio de grupos, definidos por meio do controle de acesso baseado em função ou atributos (ABAC) ou aplicados de forma centralizada utilizando uma abordagem baseada em política (PBAC). |
| Políticas de acesso | As políticas de acesso têm como foco um conjunto de aplicativos, dados e quais usuários e grupos podem executar atividades. Pense nisso como o conjunto de regras para realizar seu trabalho. Concentre-se no acesso mínimo necessário. |
| Imposição | A funcionalidade de imposição tem como foco a forma como uma organização lida com a imposição de atividades de autorização. Na maioria dos casos, as organizações lidam com a imposição na camada de aplicativo. Isso significa que a imposição é concluída por uma API no próprio aplicativo. Algumas formas de imposição consistem no uso de um proxy reverso (como o UAG) para externalizar a imposição da autorização. Uma tendência atual é usar uma fonte de política externa (como XACML) para determinar como a identidade interage com o recurso. |
O que é autorização?
A autorização (às vezes, abreviada como AuthZ) é usada para definir permissões usadas na avaliação do acesso a recursos ou funcionalidades. Por sua vez, a autenticação (às vezes, abreviada como AuthN) se concentra em provar que uma entidade, como um usuário ou serviço, é realmente quem afirma ser. A autorização pode incluir a especificação de qual funcionalidade (ou recursos) uma entidade pode acessar. Ou foca nos dados que essa entidade pode acessar. E, finalmente, o que ela pode fazer com esses dados. Fornecendo uma definição sólida de controle de acesso.
Tipos comuns de abordagens de autorização:
- ACLs (listas de controle de acesso) – Uma lista explícita de entidades específicas que têm ou não acesso a um recurso ou a uma funcionalidade. Oferecem controle refinado sobre recursos, mas muitas vezes difícil de ser mantido com grandes grupos de usuários e recursos.
- RBAC (controle de acesso baseado em função) – A abordagem mais comum para impor a autorização. As funções são definidas para descrever os tipos de atividades que uma entidade pode executar. Permita o acesso a funções, em vez de entidades individuais. Em seguida, um administrador pode atribuir funções a diferentes entidades para controlar quais delas têm acesso a quais recursos e funcionalidades.
- ABAC (controle de acesso baseado em atributo) – As regras são aplicadas aos atributos da entidade, aos recursos que estão sendo acessados e ao ambiente atual para determinar se o acesso a alguns recursos ou funcionalidades é permitido. Um exemplo pode ser permitir que somente usuários de gerentes acessem arquivos identificados com uma marca de metadados “somente para gerentes durante o horário de trabalho”, com o horário das 9h às 17h nos dias úteis. Nesse caso, o acesso é determinado examinando o atributo do usuário (status de gerente), o atributo do recurso (marca de metadados em um arquivo) e um atributo de ambiente (a hora atual).
- PBAC (controle de acesso baseado em política) – Uma estratégia usada para gerenciar o acesso do usuário a um ou mais sistemas, em que a função de negócios do usuário é combinada com políticas para determinar qual acesso o usuário tem.
Contexto de autenticação
Um novo recurso no Microsoft Entra ID que ainda está em versão prévia. O contexto de autenticação pode ser usado para proteger ainda mais dados e ações em aplicativos. Esses aplicativos podem ser seus próprios aplicativos personalizados, aplicativos de linha de negócios personalizados (LOB), aplicativos como o SharePoint ou aplicativos protegidos pelo Microsoft Defender para Aplicativos de Nuvem. Por exemplo, uma organização pode manter arquivos nos sites do SharePoint, como o cardápio do almoço ou sua receita secreta de molho para churrasco. Todos têm acesso ao site do menu de almoço. No entanto, os usuários que têm acesso ao site da receita do molho de churrasco secreto são obrigados a se conectarem em um dispositivo gerenciado. Você pode até mesmo impor a eles a aceitação de termos de uso específicos.