Примечание.
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье описываются основные понятия управления удостоверениями и доступом (IAM), помогающие эффективно защищать ресурсы.
Что такое управление удостоверениями и доступом
Управление удостоверениями и доступом гарантирует, что правильные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, кто или что они утверждают. Затем пользователю, компьютеру или программному компоненту предоставляется или отказывается в доступе к определенным ресурсам.
Что делает IAM
Системы IAM обычно предоставляют следующие основные функциональные возможности:
- Управление удостоверениями: процесс создания, хранения и управления сведениями об удостоверениях. Поставщики удостоверений (IdP) — это программное обеспечение, которое используется для отслеживания удостоверений пользователей и управления ими, а также разрешений и уровней доступа, связанных с этими удостоверениями.
- Федерация идентификаций: Разрешите пользователям, у которых уже есть пароли (например, в вашей корпоративной сети или у поставщика интернет-идентификации или социальных идентификаций), получить доступ к вашей системе.
- Предоставление и отмена предоставления пользователей: создание и управление учетными записями пользователей, включая указание, какие пользователи могут получить доступ к ресурсам, а также назначение разрешений и уровней доступа.
- Проверка подлинности пользователей: убедитесь, что пользователь, компьютер или компонент программного обеспечения — кто или что они утверждают.
- Авторизация пользователей: гарантирует, что пользователю предоставлен точный уровень и тип доступа к инструменту, которому они имеют право.
- Управление доступом: процесс определения того, кто или что имеет доступ к каким ресурсам. Этот процесс включает определение ролей пользователей и разрешений, а также настройку механизмов проверки подлинности и авторизации. Элементы управления доступом регулируют доступ к системам и данным.
- Отчеты и мониторинг. Создание отчетов о действиях платформы (таких как время входа, доступ к системам и тип проверки подлинности) для обеспечения соответствия требованиям и оценки рисков безопасности.
Идентификация
Цифровое удостоверение — это коллекция уникальных идентификаторов или атрибутов, представляющих человека, компонент программного обеспечения, компьютер, ресурс или ресурс в системе. Идентификатор может быть следующим:
- Адрес электронной почты
- Учетные данные входа (имя пользователя и пароль)
- Номер банковского счета
- Выданный правительством идентификатор
- MAC-адрес или IP-адрес
Удостоверения используются для проверки подлинности и авторизации доступа к ресурсам, включения связи, упрощения транзакций и выполнения других целей.
Идентичности классифицируются на три типа:
- Идентичности человека представляют людей, включая сотрудников (внутренних и работников первой линии) и внешних пользователей (клиентов, консультантов, поставщиков и партнеров).
- Идентификаторы рабочих нагрузок представляют программные рабочие нагрузки, такие как приложение, служба, скрипт или контейнер.
- Идентификаторы устройств представляют устройства, включая настольные компьютеры, мобильные телефоны, датчики Интернета вещей и устройства, управляемые через IoT. Они отличаются от человеческих идентичностей.
Проверка подлинности
Аутентификация предъявляет требования человеку, программному компоненту или аппаратному устройству для удостоверения их личности или подтверждения того, что они такие, как утверждают. Для проверки подлинности обычно требуются учетные данные, такие как имя пользователя и пароль, отпечатки пальцев, сертификаты или одноразовые секретные коды. Иногда проверка подлинности сокращается до authN.
Многофакторная проверка подлинности (MFA) — это мера безопасности, которая требует, чтобы пользователи предоставили несколько доказательств для проверки их личности. Вот некоторые примеры.
- То, что они знают, например пароль.
- Что-то, чем они обладают, как значок.
- То, чем они являются, например биометрические данные (отпечатки пальцев или лица).
Единый вход позволяет пользователям проходить проверку подлинности удостоверения один раз, а затем автоматически проходить проверку подлинности позже при доступе к различным ресурсам, которые используют одно и то же удостоверение. После проверки подлинности система IAM служит источником идентификационной правды для других ресурсов, доступных пользователю. Он удаляет необходимость входа в несколько отдельных целевых систем.
Авторизация
Авторизация проверяет, предоставлен ли пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам. Авторизация иногда сокращенно обозначается AuthZ (Authorization).
Проверка подлинности и авторизация
Термины проверки подлинности и авторизации иногда используются взаимозаменяемо, так как они часто кажутся одним интерфейсом для пользователей. На самом деле это два отдельных процесса:
- Проверка подлинности подтверждает удостоверение пользователя, компьютера или программного компонента.
- Авторизация предоставляет или запрещает пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам.
Ниже приведен краткий обзор проверки подлинности и авторизации.
| Проверка подлинности | Авторизация |
|---|---|
| Можно рассматривать как хранителя ворот, разрешая доступ только к тем сущностям, которые предоставляют действительные учетные данные. | Можно рассматривать как механизм защиты, обеспечивающий, что только те сущности с соответствующим разрешением могут получить доступ в определенные области. |
| Проверяет, является ли пользователь, компьютер или программное обеспечение тем, кто или что они утверждают. | Определяет, разрешен ли пользователю, компьютеру или программному обеспечению доступ к определенному ресурсу. |
| Вызывает проблемы с пользователем, компьютером или программным обеспечением для проверяемых учетных данных (например, паролей, биометрических идентификаторов или сертификатов). | Определяет уровень доступа пользователя, компьютера или программного обеспечения. |
| Выполнено перед авторизацией. | Выполнено после успешной проверки подлинности. |
| Сведения передаются в токене идентификатора. | Сведения передаются в токен доступа. |
| Часто использует протоколы OpenID Connect (OIDC), основанные на протоколе OAuth 2.0) или SAML. | Часто использует протокол OAuth 2.0. |
Дополнительные сведения см. в статье "Проверка подлинности и авторизация".
Пример
Допустим, вы останавливаетесь в отеле. Вы можете рассматривать проверку подлинности и авторизацию как систему безопасности для здания отеля. Пользователи — это люди, которые хотят остаться в отеле, ресурсы — это номера или районы, которые люди хотят использовать. Персонал отеля является другим типом пользователя.
Если вы находитесь в отеле, сначала подойдите к стойке регистрации, чтобы начать процедуру аутентификации. Вы показываете удостоверение личности и кредитную карту, а ресепшионист сопоставляет ваше удостоверение личности с онлайн-резервированием. После того, как администратор проверяет, кто вы являетесь, администратор предоставляет вам разрешение на доступ к комнате, к которому вы назначены. Вы получили ключи и можете перейти в свою комнату.
Двери в номера отеля и другие районы имеют датчики ключей. Проведение карточки ключа перед датчиком — это процесс авторизации. Ключ-карта позволяет открывать только двери в те комнаты, к которым у вас есть доступ, например, в ваш номер и тренировочный зал отеля. Если вы проводите пальцем по ключу, чтобы ввести любой другой гостевой номер отеля, ваш доступ запрещен.
Отдельные разрешения, такие как доступ к комнате упражнений и определенной гостевой комнате, собираются в роли, которые могут быть предоставлены отдельным пользователям. Когда вы живете в отеле, вам предоставляется роль Покровителя отеля. Сотрудники службы номеров отеля будут предоставлены роли обслуживания номеров отеля. Эта роль позволяет получить доступ ко всем гостевым комнатам отеля (но только от 11 утра до 4 вечера), прачечной и шкафам поставок на каждом этаже.
Поставщик удостоверений
Поставщик удостоверений создает, обслуживает и управляет сведениями об удостоверениях. Она предлагает службы проверки подлинности, авторизации и аудита.
При современной проверке подлинности все службы, включая службы проверки подлинности, предоставляются центральным поставщиком удостоверений. Поставщик удостоверений централизованно хранит и управляет информацией, используемой для проверки подлинности пользователя с сервером.
Центральный поставщик удостоверений позволяет организациям устанавливать политики проверки подлинности и авторизации, отслеживать поведение пользователей, выявлять подозрительные действия и уменьшать вредоносные атаки.
Microsoft Entra является примером облачного поставщика удостоверений. К другим примерам относятся X, Google, Amazon, LinkedIn и GitHub.
Следующие шаги
- Узнайте о едином входе(SSO).
- Узнайте о многофакторной проверке подлинности (MFA).