Примечание
Для доступа к этой странице требуется авторизация. Вы можете попробовать войти или изменить каталоги.
Для доступа к этой странице требуется авторизация. Вы можете попробовать изменить каталоги.
В этой статье содержатся основные понятия и терминология, помогающие понять управление удостоверениями и доступом (IAM).
Что такое управление удостоверениями и доступом (IAM)?
Управление удостоверениями и доступом гарантирует, что правильные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, кто или что они утверждают. Затем пользователю, компьютеру или компоненту программного обеспечения разрешен или запрещен доступ к определенным ресурсам или их использование.
Ниже приведены некоторые основные понятия, которые помогут вам понять управление удостоверениями и доступом:
Идентификация
Цифровое удостоверение — это коллекция уникальных идентификаторов или атрибутов, представляющих человека, компонент программного обеспечения, машину, актив или ресурс в компьютерной системе. Идентификатор может быть следующим:
- Адрес электронной почты
- Учетные данные входа (имя пользователя и пароль)
- Номер банковского счета
- Выданный правительством идентификатор
- MAC-адрес или IP-адрес
Удостоверения используются для проверки подлинности и авторизации доступа к ресурсам, взаимодействия с другими людьми, проведения транзакций и других целей.
На высоком уровне существует три типа идентичностей.
- Идентичности человека представляют таких людей, как сотрудники (внутренние работники и работники на переднем крае) и внешние пользователи (клиенты, консультанты, поставщики и партнеры).
- Идентификаторы рабочих нагрузок представляют программные рабочие нагрузки, такие как приложение, служба, скрипт или контейнер.
- Идентификации устройств представляют такие устройства, как настольные компьютеры, мобильные телефоны, датчики Интернета вещей и управляемые устройства Интернета вещей. Идентичности устройств отличаются от человеческих идентичностей.
Проверка подлинности
Проверка подлинности — это процесс запроса у пользователя, компонента программного обеспечения или аппаратного устройства данных для удостоверения их личности или подтверждения, кем или чем они заявляют себя. Обычно для проверки подлинности требуются учетные данные (например, имя пользователя и пароль, отпечатки пальцев, сертификаты или одноразовые секретные коды). Иногда проверка подлинности сокращается до authN.
Многофакторная проверка подлинности (MFA) — это мера безопасности, которая требует от пользователей предоставить несколько доказательств для проверки их удостоверений, таких как:
- То, что они знают, например пароль.
- То, что у них есть, например значок или маркер безопасности.
- То, чем они являются, например биометрические данные (отпечатки пальцев или лица).
Единый вход (SSO) позволяет пользователям аутентифицировать свою личность один раз, а затем автоматически аутентифицироваться при доступе к различным ресурсам, которые используют одну и ту же личность. После проверки подлинности система IAM выступает в качестве источника истинной идентификации для других ресурсов, доступных пользователю. Он удаляет необходимость входа в несколько отдельных целевых систем.
Авторизация
Авторизация проверяет, предоставлен ли пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам. Авторизация иногда сокращенно обозначается AuthZ (Authorization).
Проверка подлинности и авторизация
Термины проверки подлинности и авторизации иногда используются взаимозаменяемо, так как они часто кажутся одним интерфейсом для пользователей. На самом деле это два отдельных процесса:
- Проверка подлинности подтверждает удостоверение пользователя, компьютера или программного компонента.
- Авторизация предоставляет или запрещает пользователю, компьютеру или компоненту программного обеспечения доступ к определенным ресурсам.
Ниже приведен краткий обзор проверки подлинности и авторизации.
| Проверка подлинности | Авторизация |
|---|---|
| Можно рассматривать как хранителя ворот, разрешая доступ только к тем сущностям, которые предоставляют действительные учетные данные. | Можно рассматривать как механизм защиты, обеспечивающий, что только те сущности с соответствующим разрешением могут получить доступ в определенные области. |
| Проверяет, является ли пользователь, компьютер или программное обеспечение тем, кто или что они утверждают. | Определяет, разрешен ли пользователю, компьютеру или программному обеспечению доступ к определенному ресурсу. |
| Вызывает проблемы с пользователем, компьютером или программным обеспечением для проверяемых учетных данных (например, паролей, биометрических идентификаторов или сертификатов). | Определяет уровень доступа пользователя, компьютера или программного обеспечения. |
| Выполнено перед авторизацией. | Выполнено после успешной проверки подлинности. |
| Сведения передаются в токене идентификатора. | Сведения передаются в токен доступа. |
| Часто использует протоколы OpenID Connect (OIDC), основанные на протоколе OAuth 2.0) или SAML. | Часто использует протокол OAuth 2.0. |
Дополнительные сведения см. в статье "Проверка подлинности и авторизация".
Пример
Допустим, вы останавливаетесь в отеле. Вы можете рассматривать проверку подлинности и авторизацию как систему безопасности для здания отеля. Пользователи — это люди, которые хотят остаться в отеле, ресурсы — это номера или районы, которые люди хотят использовать. Персонал отеля является другим типом пользователя.
Если вы находитесь в отеле, сначала подойдите к стойке регистрации, чтобы начать процесс проверки подлинности. Вы показываете удостоверение личности и кредитную карту, а администратор сверяет его с онлайн-бронированием. После того как администратор проверит вашу личность, он предоставит вам разрешение на доступ к комнате, которая вам назначена. Вы получили ключи и можете перейти в свою комнату.
Двери в номера отеля и другие районы имеют датчики ключей. Прокрутка карточки ключей перед датчиком — это "процесс авторизации". Ключ-карта позволяет открывать только те двери, к которым у вас есть доступ, например, в ваш номер и в тренажёрный зал отеля. Если вы проводите пальцем по ключу, чтобы ввести любой другой гостевой номер отеля, ваш доступ запрещен.
Отдельные разрешения, такие как доступ к комнате упражнений и определенной гостевой комнате, собираются в роли , которые могут быть предоставлены отдельным пользователям. Когда вы живете в отеле, вам предоставляется роль Покровителя отеля. Сотрудники службы номеров отеля будут предоставлены роли обслуживания номеров отеля. Эта роль позволяет получить доступ ко всем гостевым комнатам отеля (но только от 11 утра до 4 вечера), прачечной и шкафам поставок на каждом этаже.
Поставщик удостоверений
Поставщик удостоверений создает, поддерживает и управляет сведениями о личности, одновременно предоставляя услуги проверки подлинности, авторизации и аудита.
Благодаря современной проверке подлинности все услуги, включая все услуги проверки подлинности, предоставляются центральным поставщиком удостоверений. Сведения, используемые для проверки подлинности пользователя на сервере, централизованно хранятся и управляются поставщиком удостоверений.
Централизованный поставщик удостоверений позволяет организациям устанавливать политики проверки подлинности и авторизации, отслеживать поведение пользователей, определять подозрительные действия и сокращать вредоносные атаки.
Microsoft Entra является примером облачного поставщика удостоверений. К другим примерам относятся X, Google, Amazon, LinkedIn и GitHub.
Следующие шаги
- Дополнительные сведения об управлении удостоверениями и доступом см. в статье "Общие сведения об управлении удостоверениями и доступом".
- Узнайте о едином входе.
- Узнайте о многофакторной проверке подлинности (MFA).