Что такое управление удостоверениями и доступом (IAM)?

В этой статье вы узнаете о некоторых основных понятиях управления удостоверениями и доступом (IAM), почему это важно и как это работает.

Управление удостоверениями и доступом гарантирует, что правильные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, кто или что они утверждают. Затем пользователю, компьютеру или компоненту программного обеспечения разрешен или запрещен доступ к определенным ресурсам или их использование.

Дополнительные сведения об основных терминах и понятиях см. в разделе "Основы идентификации".

Что делает IAM?

Системы IAM обычно предоставляют следующие основные функциональные возможности:

• Управление удостоверениями — процесс создания, хранения и управления сведениями об удостоверениях. Поставщики удостоверений (IdP) — это программное обеспечение, которое используется для отслеживания удостоверений пользователей и управления ими, а также разрешений и уровней доступа, связанных с этими удостоверениями.

• Федерация удостоверений. Вы можете разрешить пользователям, у которых уже есть пароли (например, в корпоративной сети или с поставщиком удостоверений Интернета или социального удостоверений), чтобы получить доступ к вашей системе.

• Подготовка и отмена подготовки пользователей — процесс создания учетных записей пользователей и управления ими, включая указание доступа пользователей к каким ресурсам, а также назначение разрешений и уровней доступа.

• Проверка подлинности пользователей — проверка подлинности пользователя, компьютера или компонента программного обеспечения путем подтверждения того, кто или что они говорят. Вы можете добавить многофакторную проверку подлинности (MFA) для отдельных пользователей для дополнительной безопасности или единого входа (SSO), чтобы пользователи могли проходить проверку подлинности с помощью одного портала вместо множества различных ресурсов.

• Авторизация пользователей — авторизация гарантирует, что пользователю предоставляется точный уровень и тип доступа к инструменту, которому они имеют право. Пользователи также могут быть разделены на группы или роли, так что большие когорты пользователей могут быть предоставлены те же привилегии.

• Управление доступом — процесс определения того, кто или что имеет доступ к каким ресурсам. Это включает определение ролей и разрешений пользователей, а также настройку механизмов проверки подлинности и авторизации. Элементы управления доступом регулируют доступ к системам и данным.

• Отчеты и мониторинг . Создание отчетов после действий на платформе (например, во время входа, доступ к системам и тип проверки подлинности) для обеспечения соответствия требованиям и оценки рисков безопасности. Получите аналитические сведения о шаблонах безопасности и использования среды.

Как работает IAM

В этом разделе представлен обзор процесса проверки подлинности и авторизации и более распространенных стандартов.

Проверка подлинности, авторизация и доступ к ресурсам

Предположим, у вас есть приложение, которое входит в систему пользователя, а затем обращается к защищенному ресурсу.

1. Пользователь (владелец ресурса) инициирует запрос проверки подлинности с помощью поставщика удостоверений или сервера авторизации из клиентского приложения.

2. Если учетные данные действительны, сервер удостоверений или сервера авторизации сначала отправляет маркер идентификатора, содержащий сведения о пользователе обратно в клиентское приложение.

3. Сервер удостоверений и авторизации также получает согласие конечных пользователей и предоставляет клиентскому приложению авторизацию для доступа к защищенному ресурсу. Авторизация предоставляется в маркере доступа, который также отправляется в клиентское приложение.

4. Маркер доступа присоединен к последующим запросам, сделанным на защищенный сервер ресурсов из клиентского приложения.

5. Сервер удостоверений или авторизации проверяет маркер доступа. При успешном выполнении запроса на защищенные ресурсы предоставляется, а ответ отправляется в клиентское приложение.

Дополнительные сведения см. в статье "Проверка подлинности и авторизация".

Стандарты проверки подлинности и авторизации

Это наиболее известные и часто используемые стандарты проверки подлинности и авторизации:

OAuth 2.0

OAuth — это протокол управления удостоверениями с открытыми стандартами, обеспечивающий безопасный доступ для веб-сайтов, мобильных приложений и Интернета вещей и других устройств. Он использует маркеры, зашифрованные при передаче, и устраняет необходимость совместного использования учетных данных. OAuth 2.0, последний выпуск OAuth, является популярной платформой, используемой крупными платформами социальных медиа и потребительскими службами, от Facebook и LinkedIn до Google, PayPal и Netflix. Дополнительные сведения см. в статье о протоколе OAuth 2.0.

OpenID Connect (OIDC)

С выпуском Подключение OpenID (который использует шифрование с открытым ключом), OpenID стал широко принятым уровнем проверки подлинности для OAuth. Как и SAML, OpenID Подключение (OIDC) широко используется для единого входа, но OIDC использует REST/JSON вместо XML. OIDC был разработан для работы с собственными и мобильными приложениями с помощью протоколов REST/JSON. Однако основным вариантом использования SAML является веб-приложения. Дополнительные сведения см. в статье о протоколе OpenID Подключение.

Веб-токены JSON (JWTs)

JWTs — это открытый стандарт, определяющий компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. JWTs можно проверить и доверять, так как они подписаны цифровой подписью. Их можно использовать для передачи удостоверения прошедших проверку подлинности пользователей между поставщиком удостоверений и службой, запрашивающей проверку подлинности. Они также могут быть проверены и зашифрованы. Дополнительные сведения см . в веб-токенах JSON.

Язык разметки заявлений системы безопасности (SAML)

SAML — это открытый стандарт, используемый для обмена информацией о проверке подлинности и авторизации между решением IAM и другим приложением. Этот метод использует XML для передачи данных и обычно является методом, используемым платформами управления удостоверениями и доступом, чтобы предоставить пользователям возможность входа в приложения, которые были интегрированы с решениями IAM. Дополнительные сведения см . в протоколе SAML.

Система для управления удостоверениями между доменами (SCIM)

Создано для упрощения процесса управления удостоверениями пользователей, подготовка SCIM позволяет организациям эффективно работать в облаке и легко добавлять или удалять пользователей, использовать бюджеты, уменьшать риски и оптимизировать рабочие процессы. SCIM также упрощает взаимодействие между облачными приложениями. Дополнительные сведения см. в статье "Разработка и планирование подготовки для конечной точки SCIM".

Федерация веб-служб (WS-Fed)

WS-Fed был разработан корпорацией Майкрософт и широко использовался в своих приложениях, этот стандарт определяет способ передачи маркеров безопасности между различными сущностями для обмена данными об удостоверениях и авторизации. Дополнительные сведения см. в статье "Протокол федерации веб-служб".

Следующие шаги

Дополнительные сведения см. на следующих ресурсах:

• Единый вход (SSO)
• Многофакторная проверка подлинности (MFA)
• Проверка подлинности (аутентификация) и авторизация
• OAuth 2.0 и OpenID Подключение
• Типы приложений и потоки проверки подлинности
• Маркеры безопасности