Shaxsiyat va kirishni boshqarish (IAM) va identifikatorni etkazib beruvchiga (IdP) umumiy nuqtai

Shaxsiyat va kirishni boshqarish - bu tegishli shaxslarga kerakli sabablarga ko'ra kerakli vaqtda kerakli resurslardan foydalanish imkoniyatini beradigan xavfsizlik intizomi.

Ushbu xabarda biz identifikatsiya va kirishni boshqarish bilan bog'liq asosiy mavzular haqida umumiy ma'lumot beramiz.



Identifikatsiya nima

Biror kishi resursga kirishga harakat qilganda, biz foydalanuvchi foydalanuvchi deb da'vo qilgan shaxs ekanligiga ishonch hosil qilishimiz kerak.


Identifikatsiya - har bir alohida foydalanuvchiga ularni identifikatsiyalashi uchun o'ziga xos identifikatsiyani berish jarayoni.

Ilovalar va tizimlar identifikatsiyadan foydalanib, foydalanuvchi resursga kirish huquqini olish imkoniyatini aniqlaydi.


Shaxsiyatni boshqarish jarayoni identifikatsiyani yaratish, boshqarish va yo'q qilishdan iborat bo'lib, ularning kirish darajalari haqida qayg'urmasdan.



Autentifikatsiya nima

Autentifikatsiya - bu shaxsni tasdiqlovchi jarayon. Buning uchun foydalanuvchi kirish huquqini olish uchun hisobga olish ma'lumotlarini autentifikatsiya ob'ektiga topshirishi kerak.

Autentifikatsiya ko'pincha AuthN deb nomlanadi.

Identifikatsiya foydalanuvchi o'zligini tasdiqlaganida (masalan, foydalanuvchi nomi bilan) sodir bo'ladi. Autentifikatsiya foydalanuvchilar o'zlarining shaxsini isbotlaganda paydo bo'ladi.

Autentifikatsiyaning bir necha xil shakllari mavjud:


Ko'p faktorli autentifikatsiya (MFA)

Odatda, autentifikatsiya qilish uchun uchta umumiy omil ishlatilishi mumkin:

  • Siz biladigan narsa (masalan, parol)
  • Sizda mavjud bo'lgan narsa (masalan, smart-karta)
  • Siz bo'lgan narsa (masalan, barmoq izi yoki boshqa biometrik usul)

Ko'p faktorli autentifikatsiya qilishda ushbu usullarning ikkitasi yoki ikkitasi qo'llaniladi.

Ko'p faktorli autentifikatsiyaning maqsadi autentifikatsiya jarayoniga yana bir himoya qatlamini qo'shishdir.

Yagona kirish (SSO)

Yagona kirish (SSO) - bu foydalanuvchiga bitta tizimga kirish va u bilan bog'liq bo'lgan barcha boshqa tizimlarga kirish huquqini beruvchi xususiyatdir.


SSO-ga misol sifatida siz Google-ga kirganingizda, keyin kirish ma'lumotlarini qayta taqdim etmasdan gmail, Google Docs, Google Sheets-ga kirishingiz mumkin.

Federatsiya

Federatsiya oddiygina bir nechta domenlarda SSO-ga ruxsat beradi. Google va Facebook - bu eng yirik Federatsiya provayderlaridan biri.

Bu bizning foydalanuvchilarimizga ushbu provayderlar bilan allaqachon mavjud bo'lgan hisobga olish ma'lumotlaridan foydalangan holda tizimimizga autentifikatsiya qilish imkoniyatini beradi.

Tokenlar

Tokenlar apparat yoki dasturiy ta'minotga asoslangan bo'lishi mumkin va 'sizda bor narsa' atrofida autentifikatsiya mexanizmini taqdim etadi.


Uskuna ma'lumoti 'aqlli kartalar' bo'lishi mumkin, bu sizning kompyuteringizga autentifikatsiyani ta'minlaydigan kartani o'quvchi orqali ulanishingiz mumkin.

Dasturiy ta'minot nishonlari odatda har qanday qurilmada (masalan, mobil telefonda) o'rnatilishi mumkin va bir martalik o'tish kodini yaratish uchun ishlatiladi.



Ruxsat

Avtorizatsiya - bu tizimda qaysi foydalanuvchilarning qaysi manbalarga kirishini aniqlash jarayoni.

Foydalanuvchilarga tizim ichidagi ma'lum manbalarga kirish huquqi beriladi yoki beriladi. Ushbu kirish odatda foydalanuvchining roliga asoslanadi.


Agar foydalanuvchi autentifikatsiya qilingandan so'ng, ularga tayinlangan manbalarga kirish huquqi beriladi.

Bog'liq:



Nima uchun bizga IAM kerak?

Bizga bir qancha sabablarga ko'ra IAM kerak:

Birinchidan, tizimlarimizni himoya qilish uchun bizga IAM kerak. Shaxsiy yoki maxfiy ma'lumotlarimizga faqat kimdir o'zligini tasdiqlamasdan kirishini xohlamaymiz.

Ikkinchidan, biz faqat vakolatli shaxslar o'zlariga tayinlangan manbalarga kira olishlarini ta'minlashimiz kerak.

Hisobot berish uchun bizga IAM kerak. Agar harakat bajarilsa, biz bu harakatni kim tomonidan bajarilganligini bilishimiz kerak. Shaxsiyatga tayinlangan tizim jurnallarini ko'rishimiz mumkin. IAMsiz biz kimning qaysi harakatni amalga oshirganligini bilishning iloji yo'q.



Shaxsiy identifikatorni (IDP) ishlatish

Dastlabki kunlarda dasturchilar foydalanuvchi autentifikatsiyasini talab qiladigan dasturlarni yaratganlarida, identifikatsiya qilish uchun dastur ichida foydalanuvchilar do'koni yaratishi kerak edi. Buning ustiga, dasturchilar autentifikatsiya qilishning ba'zi bir usullarini va rollari va huquqlari mexanizmini yaratishi kerak edi.

Har bir yangi dastur ushbu sozlashni talab qildi. Muammo shundaki, autentifikatsiya qilish usuli o'zgarishi kerak bo'lganida, ishlab chiquvchilar yangi talabni qondirish uchun barcha dasturlarni o'zgartirishi kerak edi.

Mahalliy autentifikatsiya mexanizmidan foydalanish foydalanuvchilar, ishlab chiquvchilar va ma'murlar uchun alamli:

  • Foydalanuvchilar har bir dasturga kirish uchun foydalanuvchi nomi va parolni kiritishlari kerak, ya'ni SSO imkoniyati yo'q
  • Ko'pincha zaif parollardan foydalanishga yoki parollarni qayta ishlatishga olib kelishi mumkin
  • Ishlab chiquvchilar boshqa xizmatni boshqarishi kerak
  • Foydalanuvchilarni boshqarish uchun markazlashtirilgan joy yo'q

Identity Provider (IDP) dan foydalanish ushbu muammolarni hal qiladi.

Da'voga asoslangan kirish modeli

Identity va Access Management zamonaviy mexanizmi da'voga asoslangan kirish modelidan foydalanadi.

Da'voga asoslangan kirishda ishlab chiquvchilar dasturdagi autentifikatsiya mantig'ini a-ni qabul qila oladigan oddiyroq mantiq bilan almashtiradilar Talab .

TO Ishonch ilova va autentifikatsiya manbasi o'rtasida o'rnatiladi va bu holda shaxsni tasdiqlovchi provayder yoki IDP.

Ariza IdP-dan yuborilgan da'voni mamnuniyat bilan qabul qiladi.

Shuningdek, dastur hech qanday parol bilan ishlashga majbur emas, chunki foydalanuvchilar hech qachon to'g'ridan-to'g'ri dasturda haqiqiyligini tasdiqlamaydilar. Buning o'rniga foydalanuvchilar identifikator provayderida autentifikatsiya qilishadi, bu da'vo yoki dasturga yuborilgan kirish belgisini keltirib chiqaradi.

Shaxsiy ma'lumot ta'minotchisidan foydalanish quyidagilarni anglatadi:

  • Ishlab chiquvchilar kuchli autentifikatsiya usullarini yaratishi shart emas; foydalanuvchilar parollarini himoya qilishlari shart emas
  • Agar autentifikatsiya usulini o'zgartirish zarur bo'lsa, biz uni faqat identifikator etkazib beruvchida o'zgartiramiz. Ilova o'zgartirilmagan bo'lib qolmoqda
  • Foydalanuvchilar xursand bo'lishadi - ular identifikator provayderida bir marta tasdiqlanishi va boshqa berilgan dasturlarga, ya'ni (SSO) muammosiz kirishlari mumkin.
  • Ma'murlar ham xursand bo'lishadi - agar foydalanuvchi kompaniyani tark etsa, ma'mur identifikator provayderidagi foydalanuvchini o'chirib qo'yishi va darhol barcha kirishni bekor qilishi mumkin.


Xulosa

Id

Identifikatsiya - har bir alohida foydalanuvchiga ularni identifikatsiyalashi uchun o'ziga xos identifikatsiyani berish jarayoni.

Autentifikatsiya va avtorizatsiya

AuthN

  • O'zingizning kimligingizni isbotlash harakati
  • Ko'pincha AuthN deb nomlanadi
  • AuthN ning keng tarqalgan usullari:

    • Shaklga asoslangan autentifikatsiya (foydalanuvchi nomi va parol)

    • Ko'p faktorli autentifikatsiya (MFA)

    • Tokenlar

AuthZ

  • Biror kishiga ruxsat berish harakati
  • Ko'pincha AuthZ deb nomlanadi
  • AuthZ misollari

    • Sizning foydalanuvchi ob'ektingiz guruh a'zosi. Guruh ma'lum imtiyozlarga ega papkaga ega. Jilddagi fayllar bilan ishlash huquqiga egasiz.

IdP

  • Foydalanuvchilarni boshqarish, autentifikatsiya va avtorizatsiya qilish uchun markazlashtirilgan joy
  • Xavfsizroq, foydalanuvchi va parollarni boshqarishda sanoat standartlarini amalga oshiradi
  • SSO beradi
  • Kirish huquqini boshqarish va bekor qilish osonroq