Pregled upravljanja identitetom i pristupom (IAM) i davatelja identiteta (IdP)

Upravljanje identitetom i pristupom sigurnosna je disciplina koja pravim pojedincima omogućava pristup pravim resursima u pravo vrijeme iz pravih razloga.

U ovom ćemo postu pokriti pregled glavnih tema povezanih s upravljanjem identitetom i pristupom.



Što je identitet

Kad osoba pokušava pristupiti resursu, moramo biti sigurni da je korisnik onakav za koga korisnik tvrdi da je.


Identitet je postupak dodjeljivanja jedinstvenog identiteta svakom pojedinačnom korisniku kako bi ga se moglo identificirati.

Aplikacije i sustavi koriste se identifikacijom kako bi utvrdili može li korisnik imati pristup resursu.


Proces upravljanja identitetom uključuje stvaranje, upravljanje i brisanje identiteta bez brige o njihovim razinama pristupa.



Što je provjera autentičnosti

Autentifikacija je postupak dokazivanja identiteta. Da bi to učinio, korisnik mora predati svoje vjerodajnice entitetu za provjeru autentičnosti kako bi dobio pristup.

Autentifikacija se često naziva AuthN.

Identifikacija događa se kada korisnik iskaže identitet (na primjer s korisničkim imenom). Ovjera događa se kada korisnici dokažu svoj identitet.

Postoji nekoliko različitih oblika provjere autentičnosti:


Višefaktorska autentifikacija (MFA)

Općenito su tri uobičajena čimbenika koja se mogu koristiti za provjeru autentičnosti:

  • Nešto što znate (poput lozinke)
  • Nešto što imate (poput pametne kartice)
  • Nešto što jeste (poput otiska prsta ili druge biometrijske metode)

Višefaktorska provjera autentičnosti koristi dvije ili više bilo koje od tih metoda.

Svrha višefaktorske autentifikacije je dodati još jedan nivo zaštite u postupak autentifikacije.

Jednokratna prijava (SSO)

Jednokratna prijava (SSO) svojstvo je koje omogućuje korisniku da se prijavi u jedan sustav i stekne pristup svim ostalim sustavima povezanim s njim.


Primjer SSO-a je kada se prijavite na Google, a zatim možete pristupiti Gmailu, Google dokumentima, Google tablicama, bez potrebe da ponovo navedete svoje podatke za prijavu.

Federacija

Federacija jednostavno omogućuje SSO na više domena. Google i Facebook su dva najveća pružatelja usluga u Federaciji.

To našim korisnicima omogućuje autentifikaciju u naše sustave koristeći njihove već postojeće vjerodajnice kod tih davatelja usluga.

Žetoni

Tokeni se mogu temeljiti na hardveru ili softveru i pružati mehanizam za provjeru autentičnosti oko 'nečega što imate'.


Hardverski tokeni mogu biti 'pametne kartice' pomoću kojih se možete povezati s računalom putem čitača kartica koji omogućuje provjeru autentičnosti.

Softverski tokeni se općenito mogu instalirati na bilo koji uređaj (npr. Mobilni telefon) i koriste se za generiranje jednokratnog koda za pristup.



Ovlaštenje

Ovlaštenje je postupak utvrđivanja koji korisnici imaju pristup kojim resursima u sustavu.

Korisnicima je dodijeljen ili odobren pristup određenim resursima unutar sustava. Taj se pristup obično temelji na ulozi korisnika.


Jednom kada je korisnik autentificiran, tada je ovlašten pristupiti dodijeljenim resursima.

Povezano:



Zašto nam treba IAM

IAM nam je potreban iz više razloga:

Prvo, treba nam IAM za zaštitu naših sustava. Ne želimo da bilo tko pristupi našim privatnim ili povjerljivim podacima bez potrebe da dokazuje svoj identitet.

Drugo, moramo osigurati da samo ovlaštene osobe mogu pristupiti resursima kojima su dodijeljene.

Također nam je potreban IAM za odgovornost. Ako se neka radnja izvrši, moramo znati tko ju je izvršio. Možemo pogledati sistemske zapisnike koji su dodijeljeni identitetu. Bez IAM-a ne možemo znati tko je koju akciju izveo.



Korištenje davatelja identiteta (IdP)

U prvim danima kada su programeri gradili aplikacije koje su trebale autentifikaciju korisnika, morali su stvoriti korisničku trgovinu unutar aplikacije kako bi se identificirali. Povrh svega, programeri su morali stvoriti neki način provjere autentičnosti i mehanizam za uloge i prava.

Svaka nova aplikacija zahtijevala je ovo postavljanje. Problemi s tim bili su u tome što kada su se metode provjere autentičnosti morale mijenjati, programeri su morali modificirati sve aplikacije kako bi udovoljili novom zahtjevu.

Korištenje lokalnog mehanizma provjere autentičnosti bolno je za korisnike, programere i administratore:

  • Korisnici moraju unijeti korisničko ime i lozinku za pristup svakoj aplikaciji, tj. Bez mogućnosti SSO-a
  • Često može rezultirati upotrebom slabih lozinki ili ponovnom upotrebom lozinki
  • Programeri moraju upravljati drugom uslugom
  • Nema centraliziranog mjesta za upravljanje korisnicima

Korištenje davatelja identiteta (IdP) rješava ove probleme.

Model pristupa temeljem potraživanja

Suvremeni mehanizam za upravljanje identitetom i pristupom koristi model pristupa temeljem zahtjeva.

U pristupu temeljem polaganja prava programeri zamjenjuju logiku provjere autentičnosti jednostavnijom logikom koja može prihvatiti zahtjev .

DO Povjerenje uspostavlja se između aplikacije i izvora provjere autentičnosti i autorizacije, u ovom slučaju davatelja identiteta ili IdP-a.

Aplikacija će sa zadovoljstvom prihvatiti zahtjev koji se šalje iz IdP-a.

Također aplikacija ne mora rukovati nikakvim zaporkama, jer korisnici nikada ne provjeravaju autentičnost izravno u aplikaciju. Umjesto toga korisnici se autentificiraju u davatelja identiteta koji generira zahtjev ili token pristupa koji se šalje aplikaciji.

Korištenje davatelja identiteta znači:

  • Programeri ne moraju stvarati jake metode provjere autentičnosti; niti moraju štititi lozinke korisnika
  • Ako je potrebna promjena načina provjere autentičnosti, mijenjamo je samo na davatelju identiteta. Prijava ostaje neizmijenjena
  • Korisnici su sretni - mogu se jednom autentificirati u davatelja identiteta i neprimjetno pristupiti drugim odobrenim aplikacijama, tj. (SSO)
  • Administratori su također sretni - ako korisnik napusti tvrtku, administrator može onemogućiti korisnika u davatelju identiteta i odmah opozvati svaki pristup.


Sažetak

Iskaznica

Identitet je postupak dodjeljivanja jedinstvenog identiteta svakom pojedinačnom korisniku kako bi ga se moglo identificirati.

Autentifikacija vs autorizacija

AuthN

  • Čin dokazivanja tko ste
  • Često se naziva AuthN
  • Uobičajene metode AuthN:

    • Autentifikacija na temelju obrasca (korisničko ime i lozinka)

    • Višefaktorska autentifikacija (MFA)

    • Žetoni

AuthZ

  • Čin davanja nekome pristupa
  • Često se naziva AuthZ
  • Primjeri AuthZ-a

    • Vaš je korisnički objekt član grupe. Grupa ima pravo na mapu s određenim privilegijama. Ovlašteni ste za interakciju s datotekama u mapi.

IdP

  • Centralizirano mjesto za upravljanje korisnicima, provjeru autentičnosti i autorizaciju
  • Sigurnije, provodi industrijske standarde u upravljanju korisnicima i lozinkama
  • Pruža SSO
  • Jednostavnije upravljanje pristupom i opoziv