Поделиться через

Основные понятия управления удостоверениями и доступом (IAM)

  • Статья

В этой статье содержатся основные понятия и терминология, помогающие понять управление удостоверениями и доступом (IAM).

Что такое управление удостоверениями и доступом (IAM)?

Управление удостоверениями и доступом гарантирует, что правильные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, кто или что они утверждают. Затем пользователю, компьютеру или компоненту программного обеспечения разрешен или запрещен доступ к определенным ресурсам или их использование.

Ниже приведены некоторые основные понятия, которые помогут вам понять управление удостоверениями и доступом:

Идентификация

Цифровое удостоверение — это коллекция уникальных идентификаторов или атрибутов, представляющих компонент программного обеспечения, компьютер, ресурс или ресурс в компьютерной системе. Идентификатор может быть следующим:

  • Адрес электронной почты
  • Учетные данные входа (имя пользователя и пароль)
  • Номер банковского счета
  • Выданный правительством идентификатор
  • MAC-адрес или IP-адрес

Удостоверения используются для проверки подлинности и авторизации доступа к ресурсам, взаимодействия с другими людьми, проведения транзакций и других целей.

На высоком уровне существует три типа удостоверений:

  • Удостоверения человека представляют таких людей, как сотрудники (внутренние работники и сотрудники передней линии) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).
  • Удостоверения рабочей нагрузки представляют такие программные рабочие нагрузки , как приложение, служба, скрипт или контейнер.
  • Удостоверения устройств представляют такие устройства, как настольные компьютеры, мобильные телефоны, датчики Интернета вещей и управляемые устройства Интернета вещей. Удостоверения устройств отличаются от человеческих удостоверений.

Проверка подлинности

Проверка подлинности — это процесс сложного пользователя, компонента программного обеспечения или аппаратного устройства для проверки личности или подтверждения того, кто или что они утверждают. Обычно для проверки подлинности требуются учетные данные (например, имя пользователя и пароль, отпечатки пальцев, сертификаты или одноразовые секретные коды). Иногда проверка подлинности сокращается до authN.

Многофакторная проверка подлинности (MFA) — это мера безопасности, которая требует от пользователей предоставить несколько доказательств для проверки их удостоверений, таких как:

  • То, что они знают, например пароль.
  • То, что у них есть, например значок или маркер безопасности.
  • То, что они есть, как метрика биография (отпечаток или лицо).

Единый вход (единый вход) позволяет пользователям проходить проверку подлинности своего удостоверения один раз, а затем автоматически проходить проверку подлинности при доступе к различным ресурсам, которые используют одно и то же удостоверение. После проверки подлинности система IAM выступает в качестве источника удостоверений для других ресурсов, доступных пользователю. Он удаляет необходимость входа в несколько отдельных целевых систем.

Авторизация

Авторизация проверяет, предоставлен ли пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам. Авторизация иногда сокращенно обозначается AuthZ (Authorization).

Проверка подлинности и авторизация

Термины проверки подлинности и авторизации иногда используются взаимозаменяемо, так как они часто кажутся одним интерфейсом для пользователей. На самом деле это два отдельных процесса:

  • Проверка подлинности подтверждает удостоверение пользователя, компьютера или программного компонента.
  • Авторизация предоставляет или запрещает пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам.

Diagram that shows authentication and authorization side by side.

Ниже приведен краткий обзор проверки подлинности и авторизации.

Аутентификация Авторизация
Можно рассматривать как привратник, разрешая доступ только к тем, кто предоставляет допустимые учетные данные. Можно рассматривать как охранник, гарантируя, что только те, с соответствующим разрешением могут входить в определенные районы.
Проверяет, является ли пользователь, компьютер или программное обеспечение тем, кто или что они утверждают. Определяет, разрешен ли пользователю, компьютеру или программному обеспечению доступ к определенному ресурсу.
Вызывает вызов пользователю, компьютеру или программному обеспечению для проверяемых учетных данных (например, паролей, идентификаторов биография метрик или сертификатов). Определяет уровень доступа пользователя, компьютера или программного обеспечения.
Готово перед авторизацией. Выполнено после успешной проверки подлинности.
Сведения передаются в маркере идентификатора. Сведения передаются в маркер доступа.
Часто используется Подключение OpenID (OIDC), который основан на протоколе OAuth 2.0) или ПРОТОКОЛАХ SAML. Часто использует протокол OAuth 2.0.

Дополнительные сведения см. в статье "Проверка подлинности и авторизация".

Пример

Допустим, вы останавливаетесь в отеле. Вы можете рассматривать проверку подлинности и авторизацию как систему безопасности для здания отеля. Пользователи — это люди, которые хотят остаться в отеле, ресурсы — это номера или районы, которые люди хотят использовать. Персонал отеля является другим типом пользователя.

Если вы находитесь в отеле, сначала перейдите на прием, чтобы начать "процесс проверки подлинности". Вы показываете идентификационные карта и кредитные карта, а администратор соответствует идентификатору в отношении онлайн-резервирования. После проверки того, кто вы являетесь, администратор предоставляет вам разрешение на доступ к комнате, которую вы назначили. Вы получили ключ карта и можете перейти в вашу комнату.

Diagram that shows a person showing identification to get a hotel keycard.

Двери в номерах отеля и других областях имеют ключ карта датчики. Прокрутка ключа карта перед датчиком — это процесс авторизации. Ключ карта только позволяет открывать двери к комнатам, к которые вы можете получить доступ, например номер отеля и зал упражнений отеля. Если вы проводите пальцем по ключу карта чтобы войти в любой другой гостевой номер отеля, ваш доступ запрещен.

Отдельные разрешения, такие как доступ к комнате упражнений и определенной гостевой комнате, собираются в роли , которые могут быть предоставлены отдельным пользователям. Когда вы находитесь в отеле, вы предоставляете роль Покровителя отеля. Сотрудники службы номеров отеля будут предоставлены роли обслуживания номеров отеля. Эта роль позволяет получить доступ ко всем гостевым комнатам отеля (но только от 11 утра до 4 вечера), прачечной и шкафам поставок на каждом этаже.

Diagram that shows a user getting access to a room with a keycard.

Поставщик удостоверений

Поставщик удостоверений создает, поддерживает и управляет сведениями об удостоверении, одновременно предоставляя приложениям услуги проверки подлинности.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

Благодаря современной проверке подлинности все услуги, включая все услуги проверки подлинности, предоставляются центральным поставщиком удостоверений. Сведения, используемые для проверки подлинности пользователя на сервере, централизованно хранятся и управляются поставщиком удостоверений.

Централизованный поставщик удостоверений позволяет организациям устанавливать политики проверки подлинности и авторизации, отслеживать поведение пользователей, определять подозрительные действия и сокращать вредоносные атаки.

Идентификатор Microsoft Entra — это пример облачного поставщика удостоверений. К другим примерам относятся Twitter, Google, Amazon, LinkedIn и GitHub.

Следующие шаги