Shaxsiyat va kirishni boshqarish - bu tegishli shaxslarga kerakli sabablarga ko'ra kerakli vaqtda kerakli resurslardan foydalanish imkoniyatini beradigan xavfsizlik intizomi.
Ushbu xabarda biz identifikatsiya va kirishni boshqarish bilan bog'liq asosiy mavzular haqida umumiy ma'lumot beramiz.
Biror kishi resursga kirishga harakat qilganda, biz foydalanuvchi foydalanuvchi deb da'vo qilgan shaxs ekanligiga ishonch hosil qilishimiz kerak.
Identifikatsiya - har bir alohida foydalanuvchiga ularni identifikatsiyalashi uchun o'ziga xos identifikatsiyani berish jarayoni.
Ilovalar va tizimlar identifikatsiyadan foydalanib, foydalanuvchi resursga kirish huquqini olish imkoniyatini aniqlaydi.
Shaxsiyatni boshqarish jarayoni identifikatsiyani yaratish, boshqarish va yo'q qilishdan iborat bo'lib, ularning kirish darajalari haqida qayg'urmasdan.
Autentifikatsiya - bu shaxsni tasdiqlovchi jarayon. Buning uchun foydalanuvchi kirish huquqini olish uchun hisobga olish ma'lumotlarini autentifikatsiya ob'ektiga topshirishi kerak.
Autentifikatsiya ko'pincha AuthN deb nomlanadi.
Identifikatsiya foydalanuvchi o'zligini tasdiqlaganida (masalan, foydalanuvchi nomi bilan) sodir bo'ladi. Autentifikatsiya foydalanuvchilar o'zlarining shaxsini isbotlaganda paydo bo'ladi.Autentifikatsiyaning bir necha xil shakllari mavjud:
Odatda, autentifikatsiya qilish uchun uchta umumiy omil ishlatilishi mumkin:
Ko'p faktorli autentifikatsiya qilishda ushbu usullarning ikkitasi yoki ikkitasi qo'llaniladi.
Ko'p faktorli autentifikatsiyaning maqsadi autentifikatsiya jarayoniga yana bir himoya qatlamini qo'shishdir.
Yagona kirish (SSO) - bu foydalanuvchiga bitta tizimga kirish va u bilan bog'liq bo'lgan barcha boshqa tizimlarga kirish huquqini beruvchi xususiyatdir.
SSO-ga misol sifatida siz Google-ga kirganingizda, keyin kirish ma'lumotlarini qayta taqdim etmasdan gmail, Google Docs, Google Sheets-ga kirishingiz mumkin.
Federatsiya oddiygina bir nechta domenlarda SSO-ga ruxsat beradi. Google va Facebook - bu eng yirik Federatsiya provayderlaridan biri.
Bu bizning foydalanuvchilarimizga ushbu provayderlar bilan allaqachon mavjud bo'lgan hisobga olish ma'lumotlaridan foydalangan holda tizimimizga autentifikatsiya qilish imkoniyatini beradi.
Tokenlar apparat yoki dasturiy ta'minotga asoslangan bo'lishi mumkin va 'sizda bor narsa' atrofida autentifikatsiya mexanizmini taqdim etadi.
Uskuna ma'lumoti 'aqlli kartalar' bo'lishi mumkin, bu sizning kompyuteringizga autentifikatsiyani ta'minlaydigan kartani o'quvchi orqali ulanishingiz mumkin.
Dasturiy ta'minot nishonlari odatda har qanday qurilmada (masalan, mobil telefonda) o'rnatilishi mumkin va bir martalik o'tish kodini yaratish uchun ishlatiladi.
Avtorizatsiya - bu tizimda qaysi foydalanuvchilarning qaysi manbalarga kirishini aniqlash jarayoni.
Foydalanuvchilarga tizim ichidagi ma'lum manbalarga kirish huquqi beriladi yoki beriladi. Ushbu kirish odatda foydalanuvchining roliga asoslanadi.
Agar foydalanuvchi autentifikatsiya qilingandan so'ng, ularga tayinlangan manbalarga kirish huquqi beriladi.
Bog'liq:
Bizga bir qancha sabablarga ko'ra IAM kerak:
Birinchidan, tizimlarimizni himoya qilish uchun bizga IAM kerak. Shaxsiy yoki maxfiy ma'lumotlarimizga faqat kimdir o'zligini tasdiqlamasdan kirishini xohlamaymiz.
Ikkinchidan, biz faqat vakolatli shaxslar o'zlariga tayinlangan manbalarga kira olishlarini ta'minlashimiz kerak.
Hisobot berish uchun bizga IAM kerak. Agar harakat bajarilsa, biz bu harakatni kim tomonidan bajarilganligini bilishimiz kerak. Shaxsiyatga tayinlangan tizim jurnallarini ko'rishimiz mumkin. IAMsiz biz kimning qaysi harakatni amalga oshirganligini bilishning iloji yo'q.
Dastlabki kunlarda dasturchilar foydalanuvchi autentifikatsiyasini talab qiladigan dasturlarni yaratganlarida, identifikatsiya qilish uchun dastur ichida foydalanuvchilar do'koni yaratishi kerak edi. Buning ustiga, dasturchilar autentifikatsiya qilishning ba'zi bir usullarini va rollari va huquqlari mexanizmini yaratishi kerak edi.
Har bir yangi dastur ushbu sozlashni talab qildi. Muammo shundaki, autentifikatsiya qilish usuli o'zgarishi kerak bo'lganida, ishlab chiquvchilar yangi talabni qondirish uchun barcha dasturlarni o'zgartirishi kerak edi.
Mahalliy autentifikatsiya mexanizmidan foydalanish foydalanuvchilar, ishlab chiquvchilar va ma'murlar uchun alamli:
Identity Provider (IDP) dan foydalanish ushbu muammolarni hal qiladi.
Identity va Access Management zamonaviy mexanizmi da'voga asoslangan kirish modelidan foydalanadi.
Da'voga asoslangan kirishda ishlab chiquvchilar dasturdagi autentifikatsiya mantig'ini a-ni qabul qila oladigan oddiyroq mantiq bilan almashtiradilar Talab .
TO Ishonch ilova va autentifikatsiya manbasi o'rtasida o'rnatiladi va bu holda shaxsni tasdiqlovchi provayder yoki IDP.
Ariza IdP-dan yuborilgan da'voni mamnuniyat bilan qabul qiladi.
Shuningdek, dastur hech qanday parol bilan ishlashga majbur emas, chunki foydalanuvchilar hech qachon to'g'ridan-to'g'ri dasturda haqiqiyligini tasdiqlamaydilar. Buning o'rniga foydalanuvchilar identifikator provayderida autentifikatsiya qilishadi, bu da'vo yoki dasturga yuborilgan kirish belgisini keltirib chiqaradi.
Shaxsiy ma'lumot ta'minotchisidan foydalanish quyidagilarni anglatadi:
Identifikatsiya - har bir alohida foydalanuvchiga ularni identifikatsiyalashi uchun o'ziga xos identifikatsiyani berish jarayoni.