Aracılığıyla paylaş

Kimlik ve erişim yönetimi (IAM) nedir?

  • Makale

Bu makalede Kimlik ve Erişim Yönetimi 'nin (IAM) temel kavramlarından bazılarını, neden önemli olduğunu ve nasıl çalıştığını öğreneceksiniz.

Kimlik ve erişim yönetimi, doğru kişilerin, makinelerin ve yazılım bileşenlerinin doğru zamanda doğru kaynaklara erişmesini sağlar. İlk olarak, kişi, makine veya yazılım bileşeni, iddia ettikleri kişi veya yazılım bileşeni olduğunu kanıtlar. Ardından, kişi, makine veya yazılım bileşenine belirli kaynaklara erişim izni verilir veya erişim reddedilir.

Temel terimler ve kavramlar hakkında bilgi edinmek için bkz. Kimlikle ilgili temel bilgiler.

IAM ne yapar?

IAM sistemleri genellikle aşağıdaki temel işlevleri sağlar:

  • Kimlik yönetimi - Kimlik bilgilerini oluşturma, depolama ve yönetme işlemi. Kimlik sağlayıcıları (IdP), hem kullanıcı kimliklerini hem de bu kimliklerle ilişkili izinleri ve erişim düzeylerini izlemek ve yönetmek için kullanılan yazılım çözümleridir.

  • Kimlik federasyonu - Başka bir yerde (örneğin, kurumsal ağınızda veya bir İnternet ya da sosyal kimlik sağlayıcısında) parolası olan kullanıcıların sisteminize erişmesine izin vekleyebilirsiniz.

  • Kullanıcıların sağlanması ve sağlamasını kaldırma - Hangi kullanıcıların hangi kaynaklara erişimi olduğunu belirtmeyi ve izinlerle erişim düzeylerini atamayı içeren kullanıcı hesaplarını oluşturma ve yönetme işlemi.

  • Kullanıcıların kimlik doğrulaması - Bir kullanıcı, makine veya yazılım bileşeninin kim veya ne olduğunu doğrulayarak kimliklerini doğrulayın. Kullanıcıların kimliklerini birçok farklı kaynak yerine tek bir portalla doğrulamasına olanak sağlamak amacıyla, fazladan güvenlik veya çoklu oturum açma (SSO) için tek tek kullanıcılar için çok faktörlü kimlik doğrulaması (MFA) ekleyebilirsiniz.

  • Kullanıcıların yetkilendirmesi - Yetkilendirme, bir kullanıcıya hak sahibi olduğu bir araç için tam erişim düzeyi ve türü verilmesini sağlar. Kullanıcılar gruplara veya rollere de bölünebilir, böylece büyük kullanıcı kohortlarına aynı ayrıcalıklar verilebilir.

  • Erişim denetimi - Hangi kaynaklara kimlerin veya neyin erişimi olduğunu belirleme işlemi. Bu, kullanıcı rollerini ve izinlerini tanımlamanın yanı sıra kimlik doğrulama ve yetkilendirme mekanizmaları ayarlamayı içerir. Erişim denetimleri sistemlere ve verilere erişimi düzenler.

  • Raporlar ve izleme - Uyumluluk sağlamak ve güvenlik risklerini değerlendirmek için platformda yapılan eylemlerden (oturum açma zamanı, erişilen sistemler ve kimlik doğrulama türü gibi) sonra raporlar oluşturun. Ortamınızın güvenlik ve kullanım desenleri hakkında içgörüler elde edin.

IAM nasıl çalışır?

Bu bölümde, kimlik doğrulaması ve yetkilendirme işlemine genel bir bakış ve daha yaygın standartlar sunulmaktadır.

Kaynakların kimliğini doğrulama, yetkilendirme ve kaynaklara erişme

Bir kullanıcıda oturum açıp korumalı bir kaynağa erişen bir uygulamanız olduğunu varsayalım.

Kimlik sağlayıcısı kullanarak korumalı bir kaynağa erişmeye yönelik kullanıcı kimlik doğrulaması ve yetkilendirme işlemini gösteren diyagram.

  1. Kullanıcı (kaynak sahibi), istemci uygulamasından kimlik sağlayıcısı/yetkilendirme sunucusu ile bir kimlik doğrulama isteği başlatır.

  2. Kimlik bilgileri geçerliyse, kimlik sağlayıcısı/yetkilendirme sunucusu önce kullanıcı hakkındaki bilgileri içeren bir kimlik belirtecini istemci uygulamasına geri gönderir.

  3. Kimlik sağlayıcısı/yetkilendirme sunucusu da son kullanıcı onayı alır ve korunan kaynağa erişmek için istemci uygulama yetkilendirmesi verir. Yetkilendirme, istemci uygulamasına da geri gönderilen bir erişim belirtecinde sağlanır.

  4. Erişim belirteci, istemci uygulamasından korunan kaynak sunucusuna yapılan sonraki isteklere eklenir.

  5. Kimlik sağlayıcısı/yetkilendirme sunucusu erişim belirtecini doğrular. Başarılı olursa korumalı kaynaklara yönelik istek verilir ve istemci uygulamasına bir yanıt geri gönderilir.

Daha fazla bilgi için kimlik doğrulaması ve yetkilendirme'yi okuyun.

Kimlik doğrulama ve yetkilendirme standartları

Bunlar en iyi bilinen ve yaygın olarak kullanılan kimlik doğrulama ve yetkilendirme standartlarıdır:

OAuth 2.0

OAuth, web siteleri, mobil uygulamalar ve Nesnelerin İnterneti ile diğer cihazlar için güvenli erişim sağlayan açık standartlara sahip bir kimlik yönetimi protokolüdür. Aktarım sırasında şifrelenmiş belirteçleri kullanır ve kimlik bilgilerini paylaşma gereksinimini ortadan kaldırır. OAuth'un en son sürümü olan OAuth 2.0, Facebook ve LinkedIn'den Google, PayPal ve Netflix'e kadar büyük sosyal medya platformları ve tüketici hizmetleri tarafından kullanılan popüler bir çerçevedir. Daha fazla bilgi edinmek için OAuth 2.0 protokolü hakkında bilgi edinin.

OpenID Connect (OIDC)

OpenID Connect 'in (ortak anahtar şifrelemesi kullanan) yayımlanmasıyla birlikte, OpenID OAuth için yaygın olarak benimsenen bir kimlik doğrulama katmanı haline geldi. SAML gibi OpenID Connect (OIDC) de çoklu oturum açma (SSO) için yaygın olarak kullanılır, ancak OIDC XML yerine REST/JSON kullanır. OIDC, REST/JSON protokolleri kullanılarak hem yerel hem de mobil uygulamalarla çalışacak şekilde tasarlanmıştır. Ancak SAML için birincil kullanım örneği web tabanlı uygulamalardır. Daha fazla bilgi edinmek için OpenID Connect protokolü hakkında bilgi edinin.

JSON web belirteçleri (JWT)

JWT'ler, taraflar arasında bilgileri JSON nesnesi olarak güvenli bir şekilde iletmek için kompakt ve bağımsız bir yol tanımlayan açık bir standarttır. JWT'ler dijital olarak imzalanmış olduğundan doğrulanabilir ve güvenilir. Kimliği doğrulanmış kullanıcıların kimliğini kimlik sağlayıcısı ile kimlik doğrulamasını isteyen hizmet arasında geçirmek için kullanılabilirler. Ayrıca kimlik doğrulaması ve şifrelenebilir. Daha fazla bilgi edinmek için JSON Web Belirteçleri'ne bakın.

Güvenlik Onaylama İşaretleme Dili (SAML)

SAML, bir IAM çözümü ve başka bir uygulama arasında kimlik doğrulaması ve yetkilendirme bilgileri alışverişi için kullanılan açık bir standarttır. Bu yöntem verileri iletmek için XML kullanır ve genellikle kimlik ve erişim yönetimi platformları tarafından kullanıcılara IAM çözümleriyle tümleştirilmiş uygulamalarda oturum açma izni vermek için kullanılan yöntemdir. Daha fazla bilgi edinmek için SAML protokolü'ne bakın.

Etki Alanları Arası Kimlik Yönetimi (SCIM) sistemi

Kullanıcı kimliklerini yönetme sürecini basitleştirmek için oluşturulan SCIM sağlama, kuruluşların bulutta verimli bir şekilde çalışmasına ve kullanıcıları kolayca eklemesine veya kaldırmasına, bütçelerden yararlanmasına, riski azaltmasına ve iş akışlarını kolaylaştırmasına olanak tanır. SCIM, bulut tabanlı uygulamalar arasındaki iletişimi de kolaylaştırır. Daha fazla bilgi edinmek için BKZ. SCIM uç noktası için sağlamayı geliştirme ve planlama.

Web Hizmetleri Federasyonu (WS-Fed)

WS-Fed Microsoft tarafından geliştirilmiş ve uygulamalarında yaygın olarak kullanılmıştır. Bu standart, kimlik ve yetkilendirme bilgilerini değiştirmek için güvenlik belirteçlerinin farklı varlıklar arasında nasıl taşınabileceğini tanımlar. Daha fazla bilgi edinmek için Web Hizmetleri Federasyon Protokolü'ne bakın.

Sonraki adımlar

Daha fazla bilgi edinmek için şu makalelere bakın: