Az identitás- és hozzáférés-kezelés (IAM) alapvető fogalmai

Cikk
10/18/2023

Ez a cikk alapvető fogalmakat és terminológiát tartalmaz az identitás- és hozzáférés-kezelés (IAM) megértéséhez.

Mi az identitás- és hozzáférés-kezelés (IAM)?

Az identitás- és hozzáférés-kezelés biztosítja, hogy a megfelelő személyek, gépek és szoftverösszetevők a megfelelő időben férhessenek hozzá a megfelelő erőforrásokhoz. Először is a személy, a gép vagy a szoftverösszetevő bizonyítja, hogy ki vagy mi az, akinek vallja magát. Ezután a személy, gép vagy szoftver összetevő bizonyos erőforrásokhoz való hozzáférését vagy használatát engedélyezi vagy megtagadja.

Az alábbiakban néhány alapvető fogalmat talál az identitás- és hozzáférés-kezelés megértéséhez:

Identity

A digitális identitás olyan egyedi azonosítók vagy attribútumok gyűjteménye, amelyek egy számítógéprendszer emberi, szoftverösszetevőjét, gépét, eszközét vagy erőforrását jelölik. Az azonosítók a következőek lehetnek:

E-mail-cím
Bejelentkezési hitelesítő adatok (felhasználónév/jelszó)
Bankszámlaszám
A kormány által kiadott azonosító
MAC-cím vagy IP-cím

Az identitások az erőforrások hitelesítésére és engedélyezésére, más emberekkel való kommunikációra, tranzakciók és egyéb célokra használhatók.

Magas szinten háromféle identitás létezik:

Az emberi identitások olyan személyeket képviselnek, mint az alkalmazottak (belső dolgozók és frontvonalbeli dolgozók) és külső felhasználók (ügyfelek, tanácsadók, szállítók és partnerek).
A számítási feladatok identitásai olyan szoftveres számítási feladatokat jelölnek, mint például egy alkalmazás, szolgáltatás, szkript vagy tároló.
Az eszközidentitások olyan eszközöket jelölnek, mint az asztali számítógépek, a mobiltelefonok, az IoT-érzékelők és az IoT által felügyelt eszközök. Az eszközidentitások különböznek az emberi identitásoktól.

Authentication

A hitelesítés az a folyamat, amely során egy személy, szoftverösszetevő vagy hardvereszköz hitelesítő adatokkal való megpróbálása céljából ellenőrzi személyazonosságát, vagy igazolja, hogy ki vagy mi az, akinek vallja magát. A hitelesítéshez általában hitelesítő adatok (például felhasználónév és jelszó, ujjlenyomatok, tanúsítványok vagy egyszeri pin-kódok) használata szükséges. A hitelesítés néha AuthN-ra rövidül.

A többtényezős hitelesítés (MFA) egy olyan biztonsági intézkedés, amely megköveteli, hogy a felhasználók több bizonyítékot is nyújtsanak az identitásaik ellenőrzéséhez, például:

Valami, amit tudnak, például egy jelszót.
Valami, ami van, például jelvény vagy biztonsági jogkivonat.
Valami, ami olyan, mint egy biometrikus (ujjlenyomat vagy arc).

Az egyszeri bejelentkezés (SSO) lehetővé teszi, hogy a felhasználók egyszer hitelesítsék identitásukat, majd később csendben hitelesítsék magukat az azonos identitásra támaszkodó különböző erőforrások elérésekor. A hitelesítést követően az IAM-rendszer az identitásigazság forrásaként szolgál a felhasználó számára elérhető többi erőforráshoz. Ez eltávolítja a több különálló célrendszerre való bejelentkezés szükségességét.

Authorization

Az engedélyezés ellenőrzi, hogy a felhasználó, a gép vagy a szoftverösszetevő hozzáférést kapott-e bizonyos erőforrásokhoz. Az engedélyezés néha rövidítve van az AuthZ-hez.

Hitelesítés és engedélyezés

A hitelesítés és az engedélyezés kifejezéseket néha felcserélhetően használják, mivel gyakran egyetlen felhasználói felületnek tűnnek. Valójában két különálló folyamat:

A hitelesítés egy felhasználó, gép vagy szoftverösszetevő identitását igazolja.
Az engedélyezés hozzáférést ad vagy tagad a felhasználó, a gép vagy a szoftverösszetevő számára bizonyos erőforrásokhoz.

Diagram that shows authentication and authorization side by side.

Íme egy gyors áttekintés a hitelesítésről és az engedélyezésről:

Authentication	Authorization
Lehet gondolni, mint egy kapuőr, amely lehetővé teszi a hozzáférést csak azok számára, akik érvényes hitelesítő adatokat.	Úgy is gondolhatjuk, mint egy őr, biztosítva, hogy csak azok, akik a megfelelő engedély be tud lépni bizonyos területeken.
Ellenőrzi, hogy a felhasználó, a gép vagy a szoftver ki vagy mit állít.	Meghatározza, hogy a felhasználó, a gép vagy a szoftver hozzáfér-e egy adott erőforráshoz.
Megkérdőjelezi a felhasználót, a gépet vagy a szoftvert az ellenőrizhető hitelesítő adatok (például jelszavak, biometrikus azonosítók vagy tanúsítványok) miatt.	Meghatározza, hogy egy felhasználó, gép vagy szoftver milyen hozzáférési szinttel rendelkezik.
Engedélyezés előtt kész.	A sikeres hitelesítés után kész.
Az adatok egy azonosító jogkivonatban lesznek átadva.	A rendszer egy hozzáférési jogkivonatban továbbítja az adatokat.
Gyakran használja az OpenID Csatlakozás (OIDC) (amely az OAuth 2.0 protokollra épül) vagy SAML protokollokat.	Gyakran használja az OAuth 2.0 protokollt.

Részletesebb információkért olvassa el a Hitelesítés és az engedélyezés című témakört.

Example

Tegyük fel, hogy egy szállodában szeretné tölteni az éjszakát. A hitelesítést és az engedélyezést a szálloda épületének biztonsági rendszereként tekintheti. A felhasználók olyan emberek, akik a szállodában szeretnének maradni, az erőforrások azok a szobák vagy területek, amelyeket az emberek használni szeretnének. A szálloda személyzete egy másik típusú felhasználó.

Ha a szállodában tartózkodik, először a recepcióra kell mennie, hogy elindítsa a "hitelesítési folyamatot". Ön egy azonosító kártyát és hitelkártyát jelenít meg, és a recepciós megfelel az ön azonosítójának az online foglaláshoz. Miután a recepciós ellenőrizte, hogy ki vagy, a recepciós engedélyt ad a hozzárendelt szoba elérésére. Kap egy kulcskártyát, és most mehet a szobájába.

Diagram that shows a person showing identification to get a hotel keycard.

A szállodai szobák és egyéb területek ajtói kulcskártya érzékelőkkel rendelkeznek. Az "engedélyezési folyamat" az, ha az érzékelő elé pöccinti a kulcskártyát. A kulcskártyával csak azoknak a szobáknak nyithatja meg az ajtókat, amelyekhez hozzáférése van, például a szállodai szobához és a szállodai gyakorlószobához. Ha a kulcskártyát pöccintve be szeretne lépni bármely más szállodai vendégszobába, a hozzáférése megtagadva.

Az egyéni engedélyek, például a gyakorlóterem és egy adott vendégszoba elérése, az egyes felhasználók számára adható szerepkörökbe kerülnek. Amikor a szállodában tartózkodik, megkapja a Hotel Patron szerepkört. A szállodai szobaszerviz személyzete a Hotel Room Service szerepkört kapja. Ez a szerepkör lehetővé teszi a hozzáférést az összes szállodai vendégszobához (de csak 11 és 16 óra között), a mosókonyhához és az egyes emeleteken található ellátási szekrényekhez.

Diagram that shows a user getting access to a room with a keycard.

Identitásszolgáltató

Az identitásszolgáltató hitelesítési, engedélyezési és naplózási szolgáltatások nyújtása során létrehozza, karbantartja és kezeli az identitásadatokat.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

A modern hitelesítéssel minden szolgáltatást, beleértve az összes hitelesítési szolgáltatást is, egy központi identitásszolgáltató biztosítja. A felhasználó kiszolgálóval való hitelesítéséhez használt információkat az identitásszolgáltató tárolja és kezeli központilag.

A központi identitásszolgáltatóval a szervezetek hitelesítési és engedélyezési szabályzatokat hozhatnak létre, figyelhetik a felhasználói viselkedést, azonosíthatják a gyanús tevékenységeket, és csökkenthetik a rosszindulatú támadásokat.

A Microsoft Entra ID egy felhőalapú identitásszolgáltató példája. Ilyen például a Twitter, a Google, az Amazon, a LinkedIn és a GitHub.

Következő lépések

További információ: Bevezetés az identitás- és hozzáférés-kezelésbe .
Az egyszeri bejelentkezés (SSO) ismertetése.
További információ a többtényezős hitelesítésről (MFA).