Identitets- og tilgangshåndtering er sikkerhetsdisiplinen som gjør det mulig for de rette individene å få tilgang til de riktige ressursene til rett tid av de rette grunnene.
I dette innlegget vil vi dekke en oversikt over hovedtemaene knyttet til Identity and Access Management.
Når en person prøver å få tilgang til en ressurs, må vi sørge for at brukeren er den som brukeren hevder å være.
Identitet er prosessen med å tilordne en unik identitet til hver enkelt bruker, slik at de kan identifiseres.
Applikasjoner og systemer bruker identifikasjon for å avgjøre om en bruker kan ha tilgang til en ressurs.
Prosessen med identitetsstyring innebærer opprettelse, ledelse og sletting av identiteter uten å måtte bekymre seg for tilgangsnivået.
Autentisering er prosessen med å bevise en identitet. For å gjøre dette må brukeren sende legitimasjonen sin til godkjenningsenheten for å få tilgang.
Autentisering blir ofte referert til som AuthN.
Identifikasjon oppstår når en bruker bekjenner en identitet (for eksempel med et brukernavn). Godkjenning oppstår når brukere beviser sin identitet.Det er flere forskjellige former for autentisering:
Generelt er det tre vanlige faktorer som kan brukes til autentisering:
Multifaktorautentisering bruker 2 eller flere av noen av disse metodene.
Formålet med flerfaktorautentisering er å legge til et nytt beskyttelseslag i autentiseringsprosessen.
Single Sign-On (SSO) er en egenskap som lar brukeren logge på ett system, og få tilgang til alle andre systemer som er tilknyttet det.
Et eksempel på SSO er når du logger på Google, og deretter får du tilgang til gmail, Google Docs, Google Sheets, uten å måtte oppgi påloggingsinformasjonen din på nytt.
Federation tillater ganske enkelt SSO på tvers av flere domener. Google og Facebook er to av de største føderasjonsleverandørene.
Dette lar brukerne våre autentisere seg til systemene våre ved hjelp av deres eksisterende legitimasjon med disse leverandørene.
Tokens kan være maskinvare- eller programvarebasert og gi en autentiseringsmekanisme rundt 'noe du har'.
Maskinvaretokener kan være 'smartkort' som du kan bruke til å koble til datamaskinen din via en kortleser som gir autentisering.
Programvaretokener kan vanligvis installeres på hvilken som helst enhet (f.eks. Mobiltelefon) og brukes til å generere en engangskode.
Autorisasjon er prosessen med å bestemme hvilke brukere som har tilgang til hvilke ressurser i et system.
Brukerne får tildelt eller gitt tilgang til spesifikke ressurser i et system. Denne tilgangen er vanligvis basert på brukerens rolle.
Når en bruker er godkjent, har de autorisasjon til å få tilgang til ressursene som er tildelt.
I slekt:
Vi trenger IAM av flere grunner:
Først trenger vi IAM for å beskytte systemene våre. Vi vil ikke at hvem som helst skal få tilgang til våre private eller konfidensielle data uten å måtte bevise sin identitet.
For det andre må vi sørge for at bare autoriserte personer har tilgang til ressursene de er tildelt.
Vi trenger også IAM for ansvarlighet. Hvis en handling utføres, må vi vite hvem som utførte denne handlingen. Vi kan se på systemloggene som er tildelt en identitet. Uten IAM har vi ingen måte å vite hvem som utførte hvilken handling.
I de tidlige dager da utviklere bygde applikasjoner som krevde brukerautentisering, måtte de opprette en brukerbutikk i applikasjonen for å identifisere. I tillegg måtte utviklerne lage en metode for autentisering og roller og rettighetsmotorer.
Hver nye applikasjon krevde dette oppsettet. Problemene med dette var at når autentiseringsmetoden måtte endres, måtte utviklerne endre alle applikasjonene for å imøtekomme det nye kravet.
Å bruke en lokal autentiseringsmekanisme er vondt for brukere, utviklere og administratorer:
Å bruke en identitetsleverandør (IdP) løser disse problemene.
Den moderne mekanismen for identitets- og tilgangshåndtering bruker en kravbasert tilgangsmodell.
I kravbasert tilgang erstatter utviklerne autentiseringslogikken i applikasjonen med en enklere logikk som kan akseptere en krav .
TIL Tillit er etablert mellom applikasjonen og en kilde til godkjenning og autorisasjon i dette tilfellet en identitetsleverandør eller IdP.
Søknaden godtar gjerne kravet som sendes fra IdP.
Programmet trenger heller ikke å håndtere passord, siden brukerne aldri autentiserer seg direkte i applikasjonen. I stedet godkjenner brukere seg til identitetsleverandøren som genererer et krav eller et tilgangstoken som sendes til applikasjonen.
Å bruke en identitetsleverandør betyr:
Identitet er prosessen med å tilordne en unik identitet til hver enkelt bruker, slik at de kan identifiseres.