Upravljanje identitetom i pristupom sigurnosna je disciplina koja pravim pojedincima omogućava pristup pravim resursima u pravo vrijeme iz pravih razloga.
U ovom ćemo postu pokriti pregled glavnih tema povezanih s upravljanjem identitetom i pristupom.
Kad osoba pokušava pristupiti resursu, moramo biti sigurni da je korisnik onakav za koga korisnik tvrdi da je.
Identitet je postupak dodjeljivanja jedinstvenog identiteta svakom pojedinačnom korisniku kako bi ga se moglo identificirati.
Aplikacije i sustavi koriste se identifikacijom kako bi utvrdili može li korisnik imati pristup resursu.
Proces upravljanja identitetom uključuje stvaranje, upravljanje i brisanje identiteta bez brige o njihovim razinama pristupa.
Autentifikacija je postupak dokazivanja identiteta. Da bi to učinio, korisnik mora predati svoje vjerodajnice entitetu za provjeru autentičnosti kako bi dobio pristup.
Autentifikacija se često naziva AuthN.
Identifikacija događa se kada korisnik iskaže identitet (na primjer s korisničkim imenom). Ovjera događa se kada korisnici dokažu svoj identitet.Postoji nekoliko različitih oblika provjere autentičnosti:
Općenito su tri uobičajena čimbenika koja se mogu koristiti za provjeru autentičnosti:
Višefaktorska provjera autentičnosti koristi dvije ili više bilo koje od tih metoda.
Svrha višefaktorske autentifikacije je dodati još jedan nivo zaštite u postupak autentifikacije.
Jednokratna prijava (SSO) svojstvo je koje omogućuje korisniku da se prijavi u jedan sustav i stekne pristup svim ostalim sustavima povezanim s njim.
Primjer SSO-a je kada se prijavite na Google, a zatim možete pristupiti Gmailu, Google dokumentima, Google tablicama, bez potrebe da ponovo navedete svoje podatke za prijavu.
Federacija jednostavno omogućuje SSO na više domena. Google i Facebook su dva najveća pružatelja usluga u Federaciji.
To našim korisnicima omogućuje autentifikaciju u naše sustave koristeći njihove već postojeće vjerodajnice kod tih davatelja usluga.
Tokeni se mogu temeljiti na hardveru ili softveru i pružati mehanizam za provjeru autentičnosti oko 'nečega što imate'.
Hardverski tokeni mogu biti 'pametne kartice' pomoću kojih se možete povezati s računalom putem čitača kartica koji omogućuje provjeru autentičnosti.
Softverski tokeni se općenito mogu instalirati na bilo koji uređaj (npr. Mobilni telefon) i koriste se za generiranje jednokratnog koda za pristup.
Ovlaštenje je postupak utvrđivanja koji korisnici imaju pristup kojim resursima u sustavu.
Korisnicima je dodijeljen ili odobren pristup određenim resursima unutar sustava. Taj se pristup obično temelji na ulozi korisnika.
Jednom kada je korisnik autentificiran, tada je ovlašten pristupiti dodijeljenim resursima.
Povezano:
IAM nam je potreban iz više razloga:
Prvo, treba nam IAM za zaštitu naših sustava. Ne želimo da bilo tko pristupi našim privatnim ili povjerljivim podacima bez potrebe da dokazuje svoj identitet.
Drugo, moramo osigurati da samo ovlaštene osobe mogu pristupiti resursima kojima su dodijeljene.
Također nam je potreban IAM za odgovornost. Ako se neka radnja izvrši, moramo znati tko ju je izvršio. Možemo pogledati sistemske zapisnike koji su dodijeljeni identitetu. Bez IAM-a ne možemo znati tko je koju akciju izveo.
U prvim danima kada su programeri gradili aplikacije koje su trebale autentifikaciju korisnika, morali su stvoriti korisničku trgovinu unutar aplikacije kako bi se identificirali. Povrh svega, programeri su morali stvoriti neki način provjere autentičnosti i mehanizam za uloge i prava.
Svaka nova aplikacija zahtijevala je ovo postavljanje. Problemi s tim bili su u tome što kada su se metode provjere autentičnosti morale mijenjati, programeri su morali modificirati sve aplikacije kako bi udovoljili novom zahtjevu.
Korištenje lokalnog mehanizma provjere autentičnosti bolno je za korisnike, programere i administratore:
Korištenje davatelja identiteta (IdP) rješava ove probleme.
Suvremeni mehanizam za upravljanje identitetom i pristupom koristi model pristupa temeljem zahtjeva.
U pristupu temeljem polaganja prava programeri zamjenjuju logiku provjere autentičnosti jednostavnijom logikom koja može prihvatiti zahtjev .
DO Povjerenje uspostavlja se između aplikacije i izvora provjere autentičnosti i autorizacije, u ovom slučaju davatelja identiteta ili IdP-a.
Aplikacija će sa zadovoljstvom prihvatiti zahtjev koji se šalje iz IdP-a.
Također aplikacija ne mora rukovati nikakvim zaporkama, jer korisnici nikada ne provjeravaju autentičnost izravno u aplikaciju. Umjesto toga korisnici se autentificiraju u davatelja identiteta koji generira zahtjev ili token pristupa koji se šalje aplikaciji.
Korištenje davatelja identiteta znači:
Identitet je postupak dodjeljivanja jedinstvenog identiteta svakom pojedinačnom korisniku kako bi ga se moglo identificirati.