Основные понятия управления удостоверениями и доступом (IAM)
В этой статье содержатся основные понятия и терминология, помогающие понять управление удостоверениями и доступом (IAM).
Что такое управление удостоверениями и доступом (IAM)?
Управление удостоверениями и доступом гарантирует, что правильные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, кто или что они утверждают. Затем пользователю, компьютеру или компоненту программного обеспечения разрешен или запрещен доступ к определенным ресурсам или их использование.
Ниже приведены некоторые основные понятия, которые помогут вам понять управление удостоверениями и доступом:
Тождество
Цифровое удостоверение — это коллекция уникальных идентификаторов или атрибутов, представляющих компонент программного обеспечения, компьютер, ресурс или ресурс в компьютерной системе. Идентификатор может быть следующим:
- Адрес электронной почты
- Учетные данные входа (имя пользователя и пароль)
- Номер банковского счета
- Выданный правительством идентификатор
- MAC-адрес или IP-адрес
Удостоверения используются для проверки подлинности и авторизации доступа к ресурсам, взаимодействия с другими людьми, проведения транзакций и других целей.
На высоком уровне существует три типа удостоверений:
- Удостоверения человека представляют таких людей, как сотрудники (внутренние работники и сотрудники фронта) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).
- Удостоверения рабочей нагрузки представляют такие программные рабочие нагрузки , как приложение, служба, скрипт или контейнер.
- Удостоверения устройств представляют такие устройства, как настольные компьютеры, мобильные телефоны, датчики Интернета вещей и управляемые устройства Интернета вещей. Удостоверения устройств отличаются от человеческих удостоверений.
Аутентификация
Проверка подлинности — это процесс сложного пользователя, компонента программного обеспечения или аппаратного устройства для проверки личности или подтверждения того, кто или что они утверждают. Обычно для проверки подлинности требуются учетные данные (например, имя пользователя и пароль, отпечатки пальцев, сертификаты или одноразовые секретные коды). Иногда проверка подлинности сокращается до authN.
Многофакторная проверка подлинности (MFA) — это мера безопасности, которая требует от пользователей предоставить несколько доказательств для проверки их удостоверений, таких как:
- То, что они знают, например пароль.
- То, что у них есть, например значок или маркер безопасности.
- То, что они есть, как биометрические (отпечатки пальцев или лицо).
Единый вход (единый вход) позволяет пользователям проходить проверку подлинности своего удостоверения один раз, а затем автоматически проходить проверку подлинности при доступе к различным ресурсам, которые используют одно и то же удостоверение. После проверки подлинности система IAM выступает в качестве источника удостоверений для других ресурсов, доступных пользователю. Он удаляет необходимость входа в несколько отдельных целевых систем.
Авторизация
Авторизация проверяет, предоставлен ли пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам. Авторизация иногда сокращается до AuthZ.
Проверка подлинности и авторизация
Термины проверки подлинности и авторизации иногда используются взаимозаменяемо, так как они часто кажутся одним интерфейсом для пользователей. На самом деле это два отдельных процесса:
- Проверка подлинности подтверждает удостоверение пользователя, компьютера или программного компонента.
- Авторизация предоставляет или запрещает пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам.
Ниже приведен краткий обзор проверки подлинности и авторизации.
Аутентификация | Авторизация |
---|---|
Можно рассматривать как вратарь, разрешая доступ только к тем сущностям, которые предоставляют допустимые учетные данные. | Можно рассматривать как охранник, гарантируя, что только те сущности с соответствующим разрешением могут входить в определенные области. |
Проверяет, является ли пользователь, компьютер или программное обеспечение тем, кто или что они утверждают. | Определяет, разрешен ли пользователю, компьютеру или программному обеспечению доступ к определенному ресурсу. |
Вызывает проблемы с пользователем, компьютером или программным обеспечением для проверяемых учетных данных (например, паролей, биометрических идентификаторов или сертификатов). | Определяет уровень доступа пользователя, компьютера или программного обеспечения. |
Готово перед авторизацией. | Выполнено после успешной проверки подлинности. |
Сведения передаются в маркере идентификатора. | Сведения передаются в маркер доступа. |
Часто использует протоколы OpenID Connect (OIDC), основанные на протоколе OAuth 2.0) или SAML. | Часто использует протокол OAuth 2.0. |
Дополнительные сведения см. в статье "Проверка подлинности и авторизация".
Пример
Предположим, вы хотите провести ночь в отеле. Вы можете рассматривать проверку подлинности и авторизацию как систему безопасности для здания отеля. Пользователи — это люди, которые хотят остаться в отеле, ресурсы — это номера или районы, которые люди хотят использовать. Персонал отеля является другим типом пользователя.
Если вы находитесь в отеле, сначала перейдите на прием, чтобы начать "процесс проверки подлинности". Вы показываете идентификационные карточки и кредитную карту, а администратор соответствует вашему идентификатору в отношении онлайн-резервирования. После проверки того, кто вы являетесь, администратор предоставляет вам разрешение на доступ к комнате, которую вы назначили. Вы получили ключи и можете перейти в свою комнату.
Двери в номера отеля и другие районы имеют датчики ключей. Прокрутка карточки ключей перед датчиком — это "процесс авторизации". Ключ-карта позволяет открывать только двери для комнат, к которые вы можете получить доступ, например номер отеля и номер для упражнений отеля. Если вы проводите пальцем по ключу, чтобы ввести любой другой гостевой номер отеля, ваш доступ запрещен.
Отдельные разрешения, такие как доступ к комнате упражнений и определенной гостевой комнате, собираются в роли , которые могут быть предоставлены отдельным пользователям. Когда вы находитесь в отеле, вы предоставляете роль Покровителя отеля. Сотрудники службы номеров отеля будут предоставлены роли обслуживания номеров отеля. Эта роль позволяет получить доступ ко всем гостевым комнатам отеля (но только от 11 утра до 4 вечера), прачечной и шкафам поставок на каждом этаже.
Поставщик удостоверений
Поставщик удостоверений создает, обслуживает и управляет сведениями об удостоверениях при предложении проверки подлинности, авторизации и аудита.
При современной проверке подлинности все службы, включая все службы проверки подлинности, предоставляются центральным поставщиком удостоверений. Сведения, используемые для проверки подлинности пользователя с сервером, хранятся и управляются централизованно поставщиком удостоверений.
С помощью центрального поставщика удостоверений организации могут устанавливать политики проверки подлинности и авторизации, отслеживать поведение пользователей, выявлять подозрительные действия и уменьшать вредоносные атаки.
Microsoft Entra является примером облачного поставщика удостоверений. К другим примерам относятся X, Google, Amazon, LinkedIn и GitHub.
Дальнейшие действия
- Дополнительные сведения об управлении удостоверениями и доступом см. в статье "Общие сведения об управлении удостоверениями и доступом".
- Узнайте о едином входе.
- Узнайте о многофакторной проверке подлинности (MFA).