Aracılığıyla paylaş

Kimlik ve erişim yönetimi (IAM) nedir?

  • Makale

Bu makalede Kimlik ve Erişim Yönetimi (IAM) ile ilgili temel kavramlardan bazılarını, neden önemli olduğunu ve nasıl çalıştığını öğreneceksiniz.

Kimlik ve erişim yönetimi, doğru kişilerin, makinelerin ve yazılım bileşenlerinin doğru zamanda doğru kaynaklara erişmesini sağlar. İlk olarak, kişi, makine veya yazılım bileşeni, kim olduğunu veya iddia ettikleri kişi olduğunu kanıtlar. Ardından, kişi, makine veya yazılım bileşenine belirli kaynaklara erişim izni verilir veya erişim reddedilir.

Temel terimler ve kavramlar hakkında bilgi edinmek için bkz . Kimlikle ilgili temel bilgiler.

IAM ne yapar?

IAM sistemleri genellikle aşağıdaki temel işlevleri sağlar:

  • Kimlik yönetimi - Kimlik bilgilerini oluşturma, depolama ve yönetme işlemi. Kimlik sağlayıcıları (IdP), kullanıcı kimliklerinin yanı sıra bu kimliklerle ilişkili izinler ve erişim düzeylerini izlemek ve yönetmek için kullanılan yazılım çözümleridir.

  • Kimlik federasyonu - Başka bir yerde (örneğin, kurumsal ağınızda veya İnternet veya sosyal kimlik sağlayıcısında) parolaları olan kullanıcıların sisteminize erişmesine izin vekleyebilirsiniz.

  • Kullanıcıların sağlanması ve sağlamasını kaldırma - Hangi kullanıcıların hangi kaynaklara erişimi olduğunu belirtmeyi ve izinlerle erişim düzeylerini atamayı içeren kullanıcı hesaplarını oluşturma ve yönetme işlemi.

  • Kullanıcıların kimlik doğrulaması - Bir kullanıcı, makine veya yazılım bileşeninin kim veya ne olduğunu doğrulayarak kimliğini doğrulayın. Kullanıcıların kimliklerini birçok farklı kaynak yerine tek bir portalla kimlik doğrulamasına izin vermek için, tek tek kullanıcılar için ek güvenlik veya çoklu oturum açma (SSO) için çok faktörlü kimlik doğrulaması (MFA) ekleyebilirsiniz.

  • Kullanıcıların yetkilendirmesi - Yetkilendirme, kullanıcıya hak sahibi olduğu bir araç için tam erişim düzeyi ve türü verilmesini sağlar. Kullanıcılar gruplara veya rollere de bölünebilir, böylece büyük kullanıcı kohortlarına aynı ayrıcalıklar verilebilir.

  • Erişim denetimi - Kimlerin veya hangi kaynakların hangi kaynaklara erişimi olduğunu belirleme işlemi. Bu, kullanıcı rollerini ve izinlerini tanımlamanın yanı sıra kimlik doğrulama ve yetkilendirme mekanizmaları ayarlamayı içerir. Erişim denetimleri sistemlere ve verilere erişimi düzenler.

  • Raporlar ve izleme - Uyumluluk sağlamak ve güvenlik risklerini değerlendirmek için platformdaiz eylemlerden sonra raporlar oluşturun (oturum açma süresi, erişilen sistemler ve kimlik doğrulama türü gibi). Ortamınızın güvenlik ve kullanım desenleri hakkında içgörüler elde edin.

IAM nasıl çalışır?

Bu bölümde, kimlik doğrulama ve yetkilendirme işlemine ve daha yaygın standartlara genel bir bakış sağlanır.

Kaynakların kimliğini doğrulama, yetkilendirme ve kaynaklara erişme

Bir kullanıcıda oturum açıp korumalı bir kaynağa erişen bir uygulamanız olduğunu varsayalım.

Kimlik sağlayıcısı kullanarak korumalı bir kaynağa erişmek için kullanıcı kimlik doğrulaması ve yetkilendirme işlemini gösteren diyagram.

  1. Kullanıcı (kaynak sahibi), istemci uygulamasından kimlik sağlayıcısı/yetkilendirme sunucusu ile bir kimlik doğrulama isteği başlatır.

  2. Kimlik bilgileri geçerliyse, kimlik sağlayıcısı/yetkilendirme sunucusu önce kullanıcı hakkındaki bilgileri içeren bir kimlik belirtecini istemci uygulamasına geri gönderir.

  3. Kimlik sağlayıcısı/yetkilendirme sunucusu ayrıca son kullanıcı onayı alır ve istemci uygulamasına korumalı kaynağa erişim yetkisi verir. Yetkilendirme, istemci uygulamasına da geri gönderilen bir erişim belirtecinde sağlanır.

  4. Erişim belirteci, istemci uygulamasından korunan kaynak sunucusuna yapılan sonraki isteklere eklenir.

  5. Kimlik sağlayıcısı/yetkilendirme sunucusu erişim belirtecini doğrular. Başarılı olursa korumalı kaynaklara yönelik istek verilir ve istemci uygulamasına bir yanıt geri gönderilir.

Daha fazla bilgi için bkz . Kimlik doğrulaması ve yetkilendirme.

Kimlik doğrulama ve yetkilendirme standartları

Bunlar en iyi bilinen ve yaygın olarak kullanılan kimlik doğrulama ve yetkilendirme standartlarıdır:

OAuth 2.0

OAuth, web siteleri, mobil uygulamalar ve Nesnelerin İnterneti ile diğer cihazlar için güvenli erişim sağlayan bir açık standartlar kimlik yönetimi protokolüdür. Aktarım sırasında şifrelenmiş belirteçleri kullanır ve kimlik bilgilerini paylaşma gereksinimini ortadan kaldırır. OAuth'un en son sürümü olan OAuth 2.0, Facebook ve LinkedIn'den Google, PayPal ve Netflix'e kadar büyük sosyal medya platformları ve tüketici hizmetleri tarafından kullanılan popüler bir çerçevedir. Daha fazla bilgi edinmek için OAuth 2.0 protokolü hakkında bilgi edinin.

OpenID Bağlan (OIDC)

OpenID Bağlan (ortak anahtar şifrelemesi kullanan) sürümüyle OpenID, OAuth için yaygın olarak benimsenen bir kimlik doğrulama katmanı haline geldi. SAML gibi, OpenID Bağlan (OIDC) çoklu oturum açma (SSO) için yaygın olarak kullanılır, ancak OIDC XML yerine REST/JSON kullanır. OIDC, REST/JSON protokolleri kullanılarak hem yerel hem de mobil uygulamalarla çalışacak şekilde tasarlanmıştır. Ancak SAML için birincil kullanım örneği web tabanlı uygulamalardır. Daha fazla bilgi edinmek için OpenID Bağlan protokolü hakkında bilgi edinin.

JSON web belirteçleri (JWTs)

JWT'ler, taraflar arasında bilgileri JSON nesnesi olarak güvenli bir şekilde iletmek için kompakt ve bağımsız bir yol tanımlayan açık bir standarttır. JWT'ler dijital olarak imzalanmış olduğundan doğrulanabilir ve güvenilir olabilir. Kimliği doğrulanmış kullanıcıların kimliğini kimlik sağlayıcısı ile kimlik doğrulamasını isteyen hizmet arasında geçirmek için kullanılabilirler. Ayrıca kimlik doğrulaması ve şifrelenebilir. Daha fazla bilgi edinmek için JSON Web Belirteçleri'ne bakın.

Güvenlik Onaylama İşaretleme Dili (SAML)

SAML, bir IAM çözümü ve başka bir uygulama arasında kimlik doğrulaması ve yetkilendirme bilgileri alışverişi için kullanılan açık bir standarttır. Bu yöntem verileri iletmek için XML kullanır ve genellikle kimlik ve erişim yönetimi platformları tarafından kullanıcılara IAM çözümleriyle tümleştirilmiş uygulamalarda oturum açma olanağı vermek için kullanılan yöntemdir. Daha fazla bilgi edinmek için SAML protokolü'ne bakın.

Etki Alanları Arası Kimlik Yönetimi (SCIM) sistemi

Kullanıcı kimliklerini yönetme sürecini basitleştirmek için oluşturulan SCIM sağlama, kuruluşların bulutta verimli bir şekilde çalışmasına ve kullanıcıları kolayca eklemesine veya kaldırmasına, bütçelerden yararlanmasına, riski azaltmasına ve iş akışlarını kolaylaştırmasına olanak tanır. SCIM, bulut tabanlı uygulamalar arasındaki iletişimi de kolaylaştırır. Daha fazla bilgi edinmek için SCIM uç noktası için sağlamayı geliştirme ve planlama bölümüne bakın.

Web Hizmetleri Federasyonu (WS-Fed)

WS-Fed, Microsoft tarafından geliştirilmiştir ve uygulamalarında yaygın olarak kullanılmıştır. Bu standart, kimlik ve yetkilendirme bilgilerini değiştirmek için güvenlik belirteçlerinin farklı varlıklar arasında nasıl taşınabileceğini tanımlar. Daha fazla bilgi edinmek için Web Hizmetleri Federasyon Protokolü'ne bakın.

Sonraki adımlar

Daha fazla bilgi edinmek için şu makalelere bakın: