Kimlik ve erişim yönetimi (IAM) temel kavramları

  • Makale

Bu makalede, kimlik ve erişim yönetimini (IAM) anlamanıza yardımcı olacak temel kavramlar ve terimler sağlanmaktadır.

Kimlik ve erişim yönetimi (IAM) nedir?

Kimlik ve erişim yönetimi, doğru kişilerin, makinelerin ve yazılım bileşenlerinin doğru zamanda doğru kaynaklara erişmesini sağlar. İlk olarak, kişi, makine veya yazılım bileşeni, kim olduğunu veya iddia ettikleri kişi olduğunu kanıtlar. Ardından, kişi, makine veya yazılım bileşenine belirli kaynaklara erişim izni verilir veya erişim reddedilir.

Kimlik ve erişim yönetimini anlamanıza yardımcı olacak bazı temel kavramlar şunlardır:

Kimlik

Dijital kimlik, bir bilgisayar sistemindeki bir insan, yazılım bileşeni, makine, varlık veya kaynağı temsil eden benzersiz tanımlayıcılardan veya özniteliklerden oluşan bir koleksiyondur. Tanımlayıcı şu olabilir:

  • E-posta adresi
  • Oturum açma kimlik bilgileri (kullanıcı adı/parola)
  • Banka hesap numarası
  • Kamu tarafından verilen kimlik
  • MAC adresi veya IP adresi

Kimlikler, kaynaklara erişimi doğrulamak ve yetkilendirmek, diğer insanlarla iletişim kurmak, işlemler yapmak ve diğer amaçlar için kullanılır.

Üst düzeyde üç kimlik türü vardır:

  • İnsan kimlikleri çalışanlar (iç çalışanlar ve ön saf çalışanları) ve dış kullanıcılar (müşteriler, danışmanlar, satıcılar ve iş ortakları) gibi kişileri temsil eder.
  • İş yükü kimlikleri uygulama, hizmet, betik veya kapsayıcı gibi yazılım iş yüklerini temsil eder.
  • Cihaz kimlikleri masaüstü bilgisayarlar, cep telefonları, IoT algılayıcıları ve IoT ile yönetilen cihazlar gibi cihazları temsil ediyor. Cihaz kimlikleri, insan kimliklerinden farklıdır.

Kimlik Doğrulaması

Kimlik doğrulaması, kimliklerini doğrulamak veya kim veya ne olduğunu iddia ettiklerini kanıtlamak için kimlik bilgileri için bir kişiye, yazılım bileşenine veya donanım cihazına meydan okuma işlemidir. Kimlik doğrulaması genellikle kimlik bilgilerinin (kullanıcı adı ve parola, parmak izi, sertifikalar veya tek seferlik geçiş kodları gibi) kullanılmasını gerektirir. Kimlik doğrulaması bazen AuthN olarak kısaltılır.

Çok faktörlü kimlik doğrulaması (MFA), kullanıcıların kimliklerini doğrulamak için birden fazla kanıt sağlamasını gerektiren bir güvenlik önlemidir, örneğin:

  • Bildikleri bir şey, örneğin parola.
  • Rozet veya güvenlik belirteci gibi sahip oldukları bir şey.
  • Biyometrik (parmak izi veya yüz) gibi bir şey.

Çoklu oturum açma (SSO), kullanıcıların kimliklerini bir kez ve daha sonra aynı kimliğe dayanan çeşitli kaynaklara erişirken sessizce kimlik doğrulaması yapmasına olanak tanır. Kimlik doğrulamasından sonra IAM sistemi, kullanıcının kullanımına sunulan diğer kaynaklar için kimlik gerçeğinin kaynağı olarak hareket eder. Birden çok, ayrı hedef sistemde oturum açma gereksinimini ortadan kaldırır.

Yetkilendirme

Yetkilendirme, kullanıcıya, makineye veya yazılım bileşenine belirli kaynaklara erişim verildiğini doğrular. Yetkilendirme bazen AuthZ olarak kısaltılır.

Kimlik Doğrulaması ve yetkilendirme

Kimlik doğrulaması ve yetkilendirme terimleri bazen birbirinin yerine kullanılır, çünkü genellikle kullanıcılara tek bir deneyim gibi görünürler. Bunlar aslında iki ayrı işlemdir:

  • Kimlik doğrulaması bir kullanıcı, makine veya yazılım bileşeninin kimliğini kanıtlar.
  • Yetkilendirme, kullanıcıya, makineye veya yazılım bileşenine belirli kaynaklara erişim verir veya reddeder.

Diagram that shows authentication and authorization side by side.

Kimlik doğrulaması ve yetkilendirmeye hızlı bir genel bakış aşağıda verilmişti:

Kimlik Doğrulaması Yetkilendirme
Yalnızca geçerli kimlik bilgileri sağlayanlara erişime izin veren bir ağ geçidi denetleyicisi olarak düşünülebilir. Sadece uygun yetkiye sahip olanların belirli bölgelere giremini sağlamak için bir koruma olarak düşünülebilir.
Bir kullanıcının, makinenin veya yazılımın kim olduğunu veya ne olduğunu iddia edip etmediğini doğrular. Kullanıcının, makinenin veya yazılımın belirli bir kaynağa erişmesine izin verilip verilmediğini belirler.
Doğrulanabilir kimlik bilgileri (örneğin, parolalar, biyometrik tanımlayıcılar veya sertifikalar) için kullanıcı, makine veya yazılımla ilgili zorluklar. Bir kullanıcının, makinenin veya yazılımın hangi erişim düzeyine sahip olduğunu belirler.
Yetkilendirmeden önce bitti. Kimlik doğrulaması başarılı olduktan sonra yapılır.
Bilgiler bir kimlik belirtecinde aktarılır. Bilgiler bir erişim belirtecinde aktarılır.
Genellikle OpenID Bağlan (OIDC) (OAuth 2.0 protokolü üzerine kuruludur) veya SAML protokollerini kullanır. Genellikle OAuth 2.0 protokolunu kullanır.

Daha ayrıntılı bilgi için kimlik doğrulaması ve yetkilendirme makalesini okuyun.

Örnek

Geceyi otelde geçirmek istediğinizi varsayalım. Otel binası için güvenlik sistemi olarak kimlik doğrulaması ve yetkilendirme düşünebilirsiniz. Kullanıcılar otelde kalmak isteyen kişilerdir, kaynaklar ise insanların kullanmak istediği odalar veya alanlardır. Otel personeli başka bir kullanıcı türüdür.

Otelde kalıyorsanız, "kimlik doğrulama işlemini" başlatmak için önce resepsiyona gidersiniz. Bir kimlik kartı ve kredi kartı gösterirsiniz ve resepsiyonist kimliğinizi çevrimiçi rezervasyonla eşleştirir. Resepsiyonist kim olduğunuzu doğruladıktan sonra, resepsiyonist size atanan odaya erişim izni verir. Size bir anahtar kartı verilir ve şimdi odanıza gidebilirsiniz.

Diagram that shows a person showing identification to get a hotel keycard.

Otel odalarının ve diğer alanların kapılarında anahtar kartı algılayıcıları vardır. Anahtar kartı bir algılayıcının önüne çekme işlemi "yetkilendirme işlemidir". Anahtar kartı yalnızca otel odanız ve otel egzersiz odası gibi erişiminiz olan odaların kapılarını açmanıza olanak tanır. Anahtar kartınızı çekerek başka bir otel konuk odasına girerseniz erişiminiz reddedilir.

Alıştırma odasına ve belirli bir konuk odasına erişim gibi bireysel izinler, tek tek kullanıcılara verilebilen roller halinde toplanır. Otelde kalırken Size Hotel Patron rolü verilir. Otel odası servis personeline Otel Oda Servisi rolü verilecektir. Bu rol tüm otel konuk odalarına (ancak yalnızca 11:00 ile 16:00 arasında), çamaşırhaneye ve her kattaki malzeme dolaplarına erişime izin verir.

Diagram that shows a user getting access to a room with a keycard.

Kimlik sağlayıcısı

Kimlik sağlayıcısı kimlik doğrulaması, yetkilendirme ve denetim hizmetleri sunarken kimlik bilgilerini oluşturur, korur ve yönetir.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

Modern kimlik doğrulaması ile, tüm kimlik doğrulama hizmetleri dahil olmak üzere tüm hizmetler merkezi bir kimlik sağlayıcısı tarafından sağlanır. Kullanıcının kimliğini sunucuyla doğrulamak için kullanılan bilgiler, kimlik sağlayıcısı tarafından merkezi olarak depolanır ve yönetilir.

Merkezi bir kimlik sağlayıcısıyla kuruluşlar kimlik doğrulama ve yetkilendirme ilkeleri oluşturabilir, kullanıcı davranışını izleyebilir, şüpheli etkinlikleri tanımlayabilir ve kötü amaçlı saldırıları azaltabilir.

Microsoft Entra Id , bulut tabanlı bir kimlik sağlayıcısı örneğidir. Diğer örnekler arasında Twitter, Google, Amazon, LinkedIn ve GitHub sayılabilir.

Sonraki adımlar

  • Daha fazla bilgi edinmek için Kimlik ve erişim yönetimine giriş'i okuyun.
  • Çoklu oturum açma (SSO) hakkında bilgi edinin.
  • Çok faktörlü kimlik doğrulaması (MFA) hakkında bilgi edinin.