Grundläggande begrepp för identitets- och åtkomsthantering (IAM)
Den här artikeln innehåller grundläggande begrepp och terminologi som hjälper dig att förstå identitets- och åtkomsthantering (IAM).
Vad är identitets- och åtkomsthantering (IAM)?
Identitets- och åtkomsthantering säkerställer att rätt personer, datorer och programvarukomponenter får åtkomst till rätt resurser vid rätt tidpunkt. För det första bevisar personen, datorn eller programvarukomponenten att de är vem eller vad de påstår sig vara. Sedan tillåts eller nekas personen, datorn eller programvarukomponenten åtkomst till eller användning av vissa resurser.
Här följer några grundläggande begrepp som hjälper dig att förstå identitets- och åtkomsthantering:
Identitet
En digital identitet är en samling unika identifierare eller attribut som representerar en mänsklig komponent, programvarukomponent, dator, tillgång eller resurs i ett datorsystem. En identifierare kan vara:
- En e-postadress
- Inloggningsuppgifter (användarnamn/lösenord)
- Bankkontonummer
- Myndighets utfärdat ID
- MAC-adress eller IP-adress
Identiteter används för att autentisera och auktorisera åtkomst till resurser, kommunicera med andra människor, genomföra transaktioner och andra syften.
På hög nivå finns det tre typer av identiteter:
- Mänskliga identiteter representerar personer som anställda (interna arbetare och medarbetare i frontlinjen) och externa användare (kunder, konsulter, leverantörer och partners).
- Arbetsbelastningsidentiteter representerar programvaruarbetsbelastningar som ett program, en tjänst, ett skript eller en container.
- Enhetsidentiteter representerar enheter som stationära datorer, mobiltelefoner, IoT-sensorer och IoT-hanterade enheter. Enhetsidentiteter skiljer sig från mänskliga identiteter.
Autentisering
Autentisering är processen att utmana en person, programvarukomponent eller maskinvaruenhet för autentiseringsuppgifter för att verifiera deras identitet, eller bevisa att de är vem eller vad de påstår sig vara. Autentisering kräver vanligtvis användning av autentiseringsuppgifter (till exempel användarnamn och lösenord, fingeravtryck, certifikat eller engångslösenord). Autentiseringen förkortas ibland till AuthN.
Multifaktorautentisering (MFA) är en säkerhetsåtgärd som kräver att användarna tillhandahåller mer än ett bevis för att verifiera sina identiteter, till exempel:
- Något de vet, till exempel ett lösenord.
- Något de har, som ett märke eller en säkerhetstoken.
- Något de är, som ett biometriskt (fingeravtryck eller ansikte).
Enkel inloggning (SSO) gör det möjligt för användare att autentisera sin identitet en gång och senare tyst autentisera vid åtkomst till olika resurser som förlitar sig på samma identitet. När IAM-systemet har autentiserats fungerar det som källa till identitetssanning för de andra resurser som är tillgängliga för användaren. Det tar bort behovet av att logga in på flera separata målsystem.
Auktorisering
Auktorisering verifierar att användaren, datorn eller programvarukomponenten har beviljats åtkomst till vissa resurser. Auktorisering förkortas ibland till AuthZ.
Autentisering kontra auktorisering
Termerna autentisering och auktorisering används ibland utbytbart, eftersom de ofta verkar vara en enda upplevelse för användarna. De är faktiskt två separata processer:
- Autentisering bevisar identiteten för en användare, dator eller programvarukomponent.
- Auktorisering beviljar eller nekar användaren, datorn eller programvarukomponenten åtkomst till vissa resurser.
Här är en snabb översikt över autentisering och auktorisering:
| Autentisering | Auktorisering |
|---|---|
| Kan ses som en gatekeeper som endast tillåter åtkomst till de entiteter som tillhandahåller giltiga autentiseringsuppgifter. | Kan ses som en vakt, vilket säkerställer att endast de entiteter med rätt frigång kan komma in i vissa områden. |
| Verifierar om en användare, dator eller programvara är vem eller vad de påstår sig vara. | Avgör om användaren, datorn eller programvaran får åtkomst till en viss resurs. |
| Utmanar användaren, datorn eller programvaran för verifierbara autentiseringsuppgifter (till exempel lösenord, biometriska identifierare eller certifikat). | Avgör vilken åtkomstnivå en användare, dator eller programvara har. |
| Klar före auktorisering. | Klar efter lyckad autentisering. |
| Information överförs i en ID-token. | Information överförs i en åtkomsttoken. |
| Använder ofta OpenID Connect (OIDC) (som bygger på OAuth 2.0-protokollet) eller SAML-protokoll. | Använder ofta OAuth 2.0-protokollet. |
Mer detaljerad information finns i Autentisering kontra auktorisering.
Exempel
Anta att du vill tillbringa natten på ett hotell. Du kan se autentisering och auktorisering som säkerhetssystem för hotellbyggnaden. Användare är personer som vill bo på hotellet, resurser är de rum eller områden som människor vill använda. Hotellpersonalen är en annan typ av användare.
Om du bor på hotellet går du först till receptionen för att starta "autentiseringsprocessen". Du visar ett ID-kort och kreditkort och receptionisten matchar ditt ID mot onlinereservationen. När receptionisten har kontrollerat vem du är ger receptionisten dig behörighet att komma åt rummet du har tilldelats. Du får ett nyckelkort och kan gå nu till ditt rum.
Dörrarna till hotellrummen och andra områden har nyckelkortssensorer. Att svepa nyckelkortet framför en sensor är "auktoriseringsprocessen". Med nyckelkortet kan du bara öppna dörrarna till rum som du har åtkomst till, till exempel ditt hotellrum och hotellets träningsrum. Om du sveper ditt nyckelkort för att komma in i något annat hotellrum nekas din åtkomst.
Enskilda behörigheter, till exempel åtkomst till träningsrummet och ett specifikt gästrum, samlas in i roller som kan beviljas enskilda användare. När du bor på hotellet får du rollen Som hotellbeskyddare. Personalen på hotellrummets service skulle tilldelas rollen Hotel Room Service. Denna roll ger tillgång till alla hotellrum (men bara mellan 11:00 och 16:00), tvättstugan och förrådsskåpen på varje våning.
Identitetsprovider
En identitetsprovider skapar, underhåller och hanterar identitetsinformation samtidigt som den erbjuder autentiserings-, auktoriserings- och granskningstjänster.
Med modern autentisering tillhandahålls alla tjänster, inklusive alla autentiseringstjänster, av en central identitetsprovider. Information som används för att autentisera användaren med servern lagras och hanteras centralt av identitetsprovidern.
Med en central identitetsprovider kan organisationer upprätta autentiserings- och auktoriseringsprinciper, övervaka användarbeteende, identifiera misstänkta aktiviteter och minska skadliga attacker.
Microsoft Entra är ett exempel på en molnbaserad identitetsprovider. Andra exempel är Twitter, Google, Amazon, LinkedIn och GitHub.
Nästa steg
- Läs Introduktion till identitets- och åtkomsthantering om du vill veta mer.
- Läs mer om enkel inloggning (SSO).
- Lär dig mer om multifaktorautentisering (MFA).
Feedback
Kommer snart: Under hela 2024 kommer vi att fasa ut GitHub-problem som feedbackmekanism för innehåll och ersätta det med ett nytt feedbacksystem. Mer information finns i: https://aka.ms/ContentUserFeedback.
Skicka och visa feedback för