Pagrindinis Saugumas Tapatybės ir prieigos valdymo (IAM) ir tapatybės teikėjo (IdP) apžvalga


Tapatybės ir prieigos valdymo (IAM) ir tapatybės teikėjo (IdP) apžvalga

Tapatybės ir prieigos valdymas yra saugumo disciplina, leidžianti tinkamiems asmenims tinkamu laiku pasiekti reikiamus išteklius dėl tinkamų priežasčių.

Šiame įraše apžvelgsime pagrindines temas, susijusias su tapatybės ir prieigos valdymu.



Kas yra tapatybė

Kai asmuo bando prisijungti prie šaltinio, turime įsitikinti, kad vartotojas yra toks, koks yra vartotojas.


Tapatybė yra unikalaus tapatumo priskyrimo kiekvienam vartotojui procesas, kad būtų galima jį identifikuoti.

Programos ir sistemos naudoja identifikavimą, kad nustatytų, ar vartotojas gali pasiekti išteklių.


Tapatybės valdymo procesas apima tapatybių kūrimą, valdymą ir trynimą, nesijaudinant dėl ​​jų prieigos lygių.





Kas yra autentifikavimas

Autentifikavimas yra tapatybės įrodymo procesas. Norėdami tai padaryti, vartotojas turi pateikti savo prisijungimo duomenis autentifikavimo subjektui, kad gautų prieigą.

Autentifikavimas dažnai vadinamas AuthN.

Identifikavimas įvyksta, kai vartotojas išpažįsta tapatybę (pvz., su vartotojo vardu). Autentifikavimas atsiranda, kai vartotojai įrodo savo tapatybę.

Yra kelios skirtingos autentifikavimo formos:


Daugelio veiksnių autentifikavimas (MFA)

Paprastai autentifikavimui gali būti naudojami trys bendri veiksniai:

  • Kažkas, ką žinote (pvz., Slaptažodis)
  • Kažkas, ką turite (pvz., Lustinė kortelė)
  • Kažkas, kas esate (pvz., Piršto atspaudas ar kitas biometrinis metodas)

Daugelio veiksnių autentifikavimas naudoja bent 2 iš šių būdų.

Daugelio veiksnių autentifikavimo tikslas - pridėti dar vieną apsaugos lygį prie autentifikavimo proceso.

Vienkartinis prisijungimas (SSO)

Vienkartinis prisijungimas (SSO) yra ypatybė, leidžianti vartotojui prisijungti prie vienos sistemos ir gauti prieigą prie visų kitų su ja susijusių sistemų.


SSO pavyzdys yra tai, kai prisijungiate prie „Google“ ir tada galite pasiekti „Gmail“, „Google“ dokumentus, „Google“ skaičiuokles, nebereikėdami vėl pateikti savo prisijungimo duomenų.

Federacija

Federacija tiesiog leidžia SSO keliuose domenuose. „Google“ ir „Facebook“ yra du didžiausi federacijos tiekėjai.

Tai leidžia mūsų vartotojams autentifikuotis mūsų sistemose, naudojant jau esamus tų paslaugų teikėjų prisijungimo duomenis.

Žetonai

Žetonai gali būti pagrįsti aparatine arba programine įranga ir suteikti autentifikavimo mechanizmą aplink „ką turite“.


Aparatinės įrangos žetonai gali būti „intelektualiosios kortelės“, kurias galite naudoti prisijungdami prie savo kompiuterio per kortelių skaitytuvą, kuris teikia autentifikavimą.

Programinės įrangos žetonai paprastai gali būti įdiegti bet kuriame įrenginyje (pvz., Mobiliajame telefone) ir naudojami generuoti vienkartinį leidimo kodą.



Leidimas

Įgaliojimas yra procesas, kurio metu nustatoma, kurie vartotojai turi prieigą prie kokių sistemos išteklių.

Vartotojams suteikiama prieiga prie konkrečių sistemos išteklių. Ši prieiga paprastai grindžiama vartotojo vaidmeniu.


Kai vartotojas bus patvirtintas, jis turės prieigą prie priskirtų išteklių.

Susijęs:



Kodėl mums reikia IAM

IAM mums reikia dėl daugelio priežasčių:

Pirma, mums reikia IAM, kad apsaugotume savo sistemas. Nenorime, kad bet kas galėtų naudotis mūsų privačiais ar konfidencialiais duomenimis, nepatvirtindamas savo tapatybės.

Antra, turime užtikrinti, kad tik įgalioti asmenys galėtų naudotis ištekliais, kuriems jie yra priskirti.

Mums taip pat reikia IAM atskaitomybei. Jei atliekamas veiksmas, turime žinoti, kas tą veiksmą atliko. Galime pažvelgti į sistemos žurnalus, kurie priskiriami tapatybei. Be IAM mes negalime žinoti, kas ką atliko.



Tapatybės teikėjo (IDP) naudojimas

Pirmosiomis dienomis, kai kūrėjai kūrė programas, reikalaujančias vartotojo autentifikavimo, jie turėjo sukurti programoje naudotojų parduotuvę, kad galėtų identifikuoti. Be to, kūrėjai turėjo sukurti autentifikavimo metodą ir vaidmenis bei teises.

Ši sąranka reikalinga kiekvienai naujai programai. Problemos buvo ta, kad kai teko pakeisti autentifikavimo metodą, kūrėjai turėjo modifikuoti visas programas, kad atitiktų naująjį reikalavimą.

Vietinio autentifikavimo mechanizmo naudojimas yra skausmingas vartotojams, kūrėjams ir administratoriams:

  • Vartotojai, norėdami pasiekti kiekvieną programą, turi įvesti vartotojo vardą ir slaptažodį, t. Y. Neturi SSO galimybės
  • Dažnai tai gali sukelti silpnų slaptažodžių naudojimą arba pakartotinį jų naudojimą
  • Kūrėjai turi valdyti kitą paslaugą
  • Nėra centralizuotos vietos vartotojams valdyti

Naudodamiesi tapatybės teikėju (IDP), šios problemos išsprendžiamos.

Pretenzijomis pagrįstas prieigos modelis

Šiuolaikiniame tapatybės ir prieigos valdymo mechanizme naudojamas prieigomis pagrįstas prieigos modelis.

Pareiškime pagrįstoje prieigoje kūrėjai autentifikavimo logiką programoje pakeičia paprastesne logika, kuri gali priimti reikalavimas .

Į Pasitikėjimas yra nustatytas tarp programos ir autentifikavimo bei įgaliojimo šaltinio, šiuo atveju - tapatybės teikėjas arba IDP.

Programa mielai priims pretenziją, siunčiamą iš IDP.

Be to, programai nereikia tvarkyti jokių slaptažodžių, nes vartotojai niekada netvirtina tiesiai į programą. Vietoj to vartotojai tapatina tapatybės teikėją, kuris sukuria paraišką arba prieigos raktą, kuris siunčiamas į programą.

Tapatybės teikėjo naudojimas reiškia:

  • Kūrėjams nereikia kurti tvirtų autentifikavimo metodų; taip pat jie neturi apsaugoti vartotojų slaptažodžių
  • Jei reikia pakeisti autentifikavimo metodą, mes jį pakeisime tik tapatybės teikėjui. Programa lieka nemodifikuota
  • Vartotojai yra patenkinti - jie gali būti vieną kartą patvirtinti tapatybės teikėju ir sklandžiai pasiekti kitas suteiktas programas, t. Y. (SSO)
  • Administratoriai taip pat džiaugiasi - jei vartotojas palieka įmonę, administratorius gali išjungti vartotoją tapatybės teikėjui ir nedelsdamas atšaukti visą prieigą.


Santrauka

Id

Tapatybė yra unikalaus tapatumo priskyrimo kiekvienam vartotojui procesas, kad būtų galima jį identifikuoti.

Autentifikavimas ir įgaliojimas

AuthN

  • Aktas, įrodantis, kas tu esi
  • Dažnai vadinamas AuthN
  • Bendrieji AuthN metodai:

    • Forma pagrįstas autentifikavimas (vartotojo vardas ir slaptažodis)

    • Daugelio veiksnių autentifikavimas (MFA)

    • Žetonai

AuthZ

  • Aktas, suteikiantis kažkam prieigą
  • Dažnai vadinamas AuthZ
  • AuthZ pavyzdžiai

    • Jūsų vartotojo objektas yra grupės narys. Grupė turi teisę į aplanką su tam tikromis privilegijomis. Jūs esate įgaliotas sąveikauti su aplanke esančiais failais.

IdP

  • Centralizuota vieta valdyti vartotojus, autentifikavimą ir prieigos teises
  • Saugiau, įgyvendina pramonės standartus valdant vartotojus ir slaptažodžius
  • Teikia SSO
  • Lengvesnis prieigos valdymas ir atšaukimas

Redaktoriaus Pasirinkimas

Įdomios Straipsniai

Šios programos labiausiai išeikvoja jūsų akumuliatorių ir užima visą saugyklą
Šios programos labiausiai išeikvoja jūsų akumuliatorių ir užima visą saugyklą
„MetroPCS“ klientai anksčiau laiko pereina į „T-Mobile“ GSM tinklą
„MetroPCS“ klientai anksčiau laiko pereina į „T-Mobile“ GSM tinklą
Geriausios „C“ tipo USB atmintinės, skirtos „Android“ išmaniesiems telefonams ir planšetiniams kompiuteriams
Geriausios „C“ tipo USB atmintinės, skirtos „Android“ išmaniesiems telefonams ir planšetiniams kompiuteriams
Geriausi „iPad“ pasiūlymai „Best Buy“, „Amazon“, „Verizon“ ir kt
Geriausi „iPad“ pasiūlymai „Best Buy“, „Amazon“, „Verizon“ ir kt
„Smartwatch“ prototipas paverčia ranką jutikliniu ekranu
„Smartwatch“ prototipas paverčia ranką jutikliniu ekranu
Kaip lengvai žymėti, traukti dainų tekstus ar albumo viršelius ir tvarkyti muziką „Android“ telefone
Kaip lengvai žymėti, traukti dainų tekstus ar albumo viršelius ir tvarkyti muziką „Android“ telefone
Pertraukimai veikia visus keturis pagrindinius JAV vežėjus
Pertraukimai veikia visus keturis pagrindinius JAV vežėjus
Kaip išmatuoti asmens ūgį naudojant „iPhone 12 Pro“
Kaip išmatuoti asmens ūgį naudojant „iPhone 12 Pro“
Galite naudoti „QuickTime“, kad beveik idealiai įgalintumėte „Periscope“ naudojimą „Mac“
Galite naudoti „QuickTime“, kad beveik idealiai įgalintumėte „Periscope“ naudojimą „Mac“
„Samsung Galaxy S21“ ir „Apple iPhone 12 Pro“
„Samsung Galaxy S21“ ir „Apple iPhone 12 Pro“