En oversikt over Identity and Access Management (IAM) og Identity Provider (IdP)

Identitets- og tilgangshåndtering er sikkerhetsdisiplinen som gjør det mulig for de rette individene å få tilgang til de riktige ressursene til rett tid av de rette grunnene.

I dette innlegget vil vi dekke en oversikt over hovedtemaene knyttet til Identity and Access Management.



Hva er identitet

Når en person prøver å få tilgang til en ressurs, må vi sørge for at brukeren er den som brukeren hevder å være.


Identitet er prosessen med å tilordne en unik identitet til hver enkelt bruker, slik at de kan identifiseres.

Applikasjoner og systemer bruker identifikasjon for å avgjøre om en bruker kan ha tilgang til en ressurs.


Prosessen med identitetsstyring innebærer opprettelse, ledelse og sletting av identiteter uten å måtte bekymre seg for tilgangsnivået.



Hva er autentisering

Autentisering er prosessen med å bevise en identitet. For å gjøre dette må brukeren sende legitimasjonen sin til godkjenningsenheten for å få tilgang.

Autentisering blir ofte referert til som AuthN.

Identifikasjon oppstår når en bruker bekjenner en identitet (for eksempel med et brukernavn). Godkjenning oppstår når brukere beviser sin identitet.

Det er flere forskjellige former for autentisering:


Multifaktorautentisering (MFA)

Generelt er det tre vanlige faktorer som kan brukes til autentisering:

  • Noe du vet (for eksempel et passord)
  • Noe du har (for eksempel et smartkort)
  • Noe du er (for eksempel et fingeravtrykk eller en annen biometrisk metode)

Multifaktorautentisering bruker 2 eller flere av noen av disse metodene.

Formålet med flerfaktorautentisering er å legge til et nytt beskyttelseslag i autentiseringsprosessen.

Enkelt pålogging (SSO)

Single Sign-On (SSO) er en egenskap som lar brukeren logge på ett system, og få tilgang til alle andre systemer som er tilknyttet det.


Et eksempel på SSO er når du logger på Google, og deretter får du tilgang til gmail, Google Docs, Google Sheets, uten å måtte oppgi påloggingsinformasjonen din på nytt.

Føderasjon

Federation tillater ganske enkelt SSO på tvers av flere domener. Google og Facebook er to av de største føderasjonsleverandørene.

Dette lar brukerne våre autentisere seg til systemene våre ved hjelp av deres eksisterende legitimasjon med disse leverandørene.

Tokens

Tokens kan være maskinvare- eller programvarebasert og gi en autentiseringsmekanisme rundt 'noe du har'.


Maskinvaretokener kan være 'smartkort' som du kan bruke til å koble til datamaskinen din via en kortleser som gir autentisering.

Programvaretokener kan vanligvis installeres på hvilken som helst enhet (f.eks. Mobiltelefon) og brukes til å generere en engangskode.



Autorisasjon

Autorisasjon er prosessen med å bestemme hvilke brukere som har tilgang til hvilke ressurser i et system.

Brukerne får tildelt eller gitt tilgang til spesifikke ressurser i et system. Denne tilgangen er vanligvis basert på brukerens rolle.


Når en bruker er godkjent, har de autorisasjon til å få tilgang til ressursene som er tildelt.

I slekt:



Hvorfor trenger vi IAM

Vi trenger IAM av flere grunner:

Først trenger vi IAM for å beskytte systemene våre. Vi vil ikke at hvem som helst skal få tilgang til våre private eller konfidensielle data uten å måtte bevise sin identitet.

For det andre må vi sørge for at bare autoriserte personer har tilgang til ressursene de er tildelt.

Vi trenger også IAM for ansvarlighet. Hvis en handling utføres, må vi vite hvem som utførte denne handlingen. Vi kan se på systemloggene som er tildelt en identitet. Uten IAM har vi ingen måte å vite hvem som utførte hvilken handling.



Bruke en identitetsleverandør (IdP)

I de tidlige dager da utviklere bygde applikasjoner som krevde brukerautentisering, måtte de opprette en brukerbutikk i applikasjonen for å identifisere. I tillegg måtte utviklerne lage en metode for autentisering og roller og rettighetsmotorer.

Hver nye applikasjon krevde dette oppsettet. Problemene med dette var at når autentiseringsmetoden måtte endres, måtte utviklerne endre alle applikasjonene for å imøtekomme det nye kravet.

Å bruke en lokal autentiseringsmekanisme er vondt for brukere, utviklere og administratorer:

  • Brukere må oppgi brukernavn og passord for å få tilgang til hver applikasjon, dvs. ingen SSO-funksjon
  • Kan ofte føre til bruk av svake passord eller gjenbruk av passord
  • Utviklere må administrere en annen tjeneste
  • Ikke noe sentralisert sted å administrere brukere

Å bruke en identitetsleverandør (IdP) løser disse problemene.

Kravbasert tilgangsmodell

Den moderne mekanismen for identitets- og tilgangshåndtering bruker en kravbasert tilgangsmodell.

I kravbasert tilgang erstatter utviklerne autentiseringslogikken i applikasjonen med en enklere logikk som kan akseptere en krav .

TIL Tillit er etablert mellom applikasjonen og en kilde til godkjenning og autorisasjon i dette tilfellet en identitetsleverandør eller IdP.

Søknaden godtar gjerne kravet som sendes fra IdP.

Programmet trenger heller ikke å håndtere passord, siden brukerne aldri autentiserer seg direkte i applikasjonen. I stedet godkjenner brukere seg til identitetsleverandøren som genererer et krav eller et tilgangstoken som sendes til applikasjonen.

Å bruke en identitetsleverandør betyr:

  • Utviklere trenger ikke lage sterke autentiseringsmetoder; De trenger heller ikke å beskytte brukerens passord
  • Hvis det er behov for en endring i godkjenningsmetoden, endrer vi den bare på identitetsleverandøren. Søknaden forblir uendret
  • Brukere er glade - de kan autentiseres en gang i identitetsleverandøren og få sømløs tilgang til andre tildelte applikasjoner, dvs. (SSO)
  • Administratorer er også glade - hvis en bruker forlater selskapet, kan administratoren deaktivere brukeren i identitetsleverandøren og umiddelbart tilbakekalle all tilgang.


Sammendrag

Id

Identitet er prosessen med å tilordne en unik identitet til hver enkelt bruker, slik at de kan identifiseres.

Autentisering vs autorisasjon

AuthN

  • Handlingen med å bevise hvem du er
  • Ofte referert til som AuthN
  • Vanlige metoder for AuthN:

    • Skjemabasert autentisering (brukernavn og passord)

    • Multi Factor Authentication (MFA)

    • Tokens

AuthZ

  • Handlingen med å gi noen tilgang
  • Ofte referert til som AuthZ
  • Eksempler på AuthZ

    • Brukerobjektet ditt er medlem av en gruppe. Gruppen har rett til en mappe med spesifikke privilegier. Du er autorisert til å samhandle med filene i mappen.

IdP

  • Et sentralisert sted for å administrere brukere, autentisering og autorisasjon
  • Mer sikker, håndhever bransjestandarder i bruker- og passordadministrasjon
  • Tilbyr SSO
  • Enklere tilgangshåndtering og tilbakekalling