Yfirlit yfir IAM og Identity Provider (IdP)

Sjálfsmyndar- og aðgangsstjórnun er öryggisgreinin sem gerir réttum einstaklingum kleift að nálgast réttar auðlindir á réttum tíma af réttum ástæðum.

Í þessari færslu munum við fjalla um yfirlit yfir helstu viðfangsefni tengd auðkenni og aðgangsstjórnun.

Hvað er Identity

Þegar einstaklingur reynir að fá aðgang að auðlind, verðum við að ganga úr skugga um að notandinn sé sá sem notandinn segist vera.

Sjálfsmynd er ferlið við að úthluta hverjum einstaklingi einstaka sjálfsmynd svo hægt sé að bera kennsl á þá.

Forrit og kerfi nota auðkenni til að ákvarða hvort notandi geti haft aðgang að auðlind.

Ferlið við sjálfsmyndarstjórnun felur í sér sköpun, stjórnun og eyðingu auðkennis án þess að þurfa að hafa áhyggjur af aðgangsstigi þeirra.



Hvað er staðfesting

Sannvottun er ferlið við að sanna sjálfsmynd. Til að gera það þarf notandinn að senda skilríki sín til auðkenningaraðilans til að fá aðgang.

Sannvottun er oft nefnd AuthN.

Auðkenning á sér stað þegar notandi játar sjálfsmynd (svo sem með notendanafn). Auðkenning á sér stað þegar notendur sanna hverjir þeir eru.

Það eru nokkrar mismunandi auðkenningar:

Fjölþátta auðkenning (MFA)

Almennt eru þrír algengir þættir sem hægt er að nota til auðkenningar:

  • Eitthvað sem þú veist (svo sem lykilorð)
  • Eitthvað sem þú átt (svo sem snjallkort)
  • Eitthvað sem þú ert (svo sem fingrafar eða önnur líffræðileg tölfræðileg aðferð)

Margþætt auðkenning notar 2 eða fleiri af einhverjum af þessum aðferðum.

Tilgangurinn með margþætta auðkenningu er að bæta öðru verndarlagi við auðkenningarferlið.

Einföld innskráning (SSO)

Single Sign-On (SSO) er eign sem gerir notanda kleift að skrá sig inn í eitt kerfi og fá aðgang að öllum öðrum kerfum sem tengjast því.

Dæmi um SSO er þegar þú skráir þig inn á Google og þá geturðu fengið aðgang að Gmail, Google skjölum, Google töflureiknum án þess að þurfa að gefa upp innskráningarupplýsingar þínar aftur.

Alþýðusambandið

Federation er einfaldlega að leyfa SSO yfir mörg lén. Google og Facebook eru tvö stærstu veitendur sambandsríkisins.

Þetta gerir notendum okkar kleift að auðkenna kerfin okkar með því að nota skilríki þeirra sem fyrir eru hjá þeim veitendum.

Auðkenni

Tákn geta verið byggð á vélbúnaði eða hugbúnaði og veitt auðkenningaraðferð í kringum „eitthvað sem þú átt“.

Vélbúnaðartákn geta verið „snjallkort“ sem þú getur notað til að tengjast tölvunni þinni í gegnum kortalesara sem veitir auðkenningu.

Hugbúnaðartákn er venjulega hægt að setja í hvaða tæki sem er (t.d. farsíma) og er notað til að búa til lykilnúmer í eitt skipti.

Heimild

Heimild er ferlið við að ákvarða hvaða notendur hafa aðgang að hvaða auðlindum í kerfinu.

Notendum er úthlutað eða veittur aðgangur að tilteknum auðlindum innan kerfis. Þessi aðgangur er venjulega byggður á hlutverki notandans.

Þegar notandi hefur verið staðfestur hefur hann heimild til að fá aðgang að þeim heimildum sem hefur verið úthlutað.

Tengt:

Af hverju þurfum við IAM

Við þurfum IAM af ýmsum ástæðum:

Í fyrsta lagi þurfum við IAM til að vernda kerfin okkar. Við viljum ekki að einhver fái aðgang að persónulegum eða trúnaðargögnum okkar án þess að þurfa að sanna hverjir þeir eru.

Í öðru lagi þurfum við að tryggja að aðeins viðurkenndir einstaklingar hafi aðgang að þeim úrræðum sem þeim er úthlutað.

Við þurfum einnig IAM vegna ábyrgðar. Ef aðgerð er framkvæmd verðum við að vita hver framkvæmdi þá aðgerð. Við getum horft á kerfisskrána sem er úthlutað sjálfsmynd. Án IAM höfum við enga leið til að vita hver framkvæmdi hvaða aðgerð.

Notkun Identity Provider (IdP)

Í árdaga þegar verktaki smíðaði forrit sem kröfðust sannvottunar notanda, urðu þeir að búa til notendavöru í forritinu til að bera kennsl á það. Í ofanálag þurftu verktaki að búa til einhverja aðferð við sannvottun og hlutverk og réttindavél.

Hvert nýtt forrit krafðist þessarar uppsetningar. Vandamálin við þetta voru þau að þegar auðkenningaraðferðin þurfti að breytast þurftu verktaki að breyta öllum forritunum til að koma til móts við nýju kröfuna.

Að nota staðbundið auðkenningarferli er sárt fyrir notendur, verktaki og stjórnendur:

  • Notendur verða að slá inn notendanafn og lykilorð til að fá aðgang að hverju forriti, þ.e.a.s. engin SSO-möguleiki
  • Getur oft haft í för með sér að nota léleg lykilorð eða endurnotkun lykilorða
  • Hönnuðir verða að stjórna annarri þjónustu
  • Enginn miðlægur staður til að stjórna notendum

Notkun Identity Provider (IdP) leysir þessi vandamál.

Aðstoðarmódel með kröfu

Nútíma kerfi fyrir auðkenni og aðgangsstjórnun notar aðgangslíkan sem byggir á kröfum.

Í kröfunni byggir aðgangur þróunaraðilar í stað auðkenningar rökfræði í forritinu með einfaldari rökfræði sem getur samþykkt a krafa .

TIL Traust er komið á milli forritsins og heimildar og heimildar í þessu tilfelli auðkennisveitanda eða IdP.

Umsóknin mun með ánægju samþykkja kröfuna sem send er frá IdP.

Einnig þarf forritið ekki að meðhöndla nein lykilorð þar sem notendur sannreyna sig aldrei beint í forritinu. Í staðinn auðkenna notendur sig í auðkennisveitunni sem býr til kröfu eða aðgangslykil sem er sent í forritið.

Notkun auðkennisveitanda þýðir:

  • Hönnuðir þurfa ekki að búa til sterkar auðkenningaraðferðir; né þurfa þeir að vernda lykilorð notenda
  • Ef þörf er á breytingu á auðkenningaraðferð breytum við henni aðeins á auðkennisveitunni. Umsóknin er óbreytt
  • Notendur eru ánægðir - þeir geta verið auðkenndir einu sinni inn í auðkennisveituna og nálgast óaðfinnanlega önnur veitt forrit, þ.e.a.s. (SSO)
  • Stjórnendur eru líka ánægðir - ef notandi yfirgefur fyrirtækið getur stjórnandi gert notandann óvirkan í auðkennisveitunni og afturkallað strax allan aðgang.

Yfirlit

Kt

Sjálfsmynd er það ferli að úthluta hverjum einstaklingi einstaka sjálfsmynd svo hægt sé að bera kennsl á þá.

Auðkenning vs heimild

AuthN

  • Sú athöfn að sanna hver þú ert
  • Oft kallað AuthN
  • Algengar aðferðir við AuthN:

    • Staðfesting á formi (notandanafn og lykilorð)

    • Fjölþættingsvottun (MFA)

    • Auðkenni

AuthZ

  • Sú athöfn að veita einhverjum aðgang
  • Oft kallað AuthZ
  • Dæmi um AuthZ

    • Notandahluturinn þinn er meðlimur í hópnum. Hópurinn á rétt á möppu með sérstök forréttindi. Þú hefur heimild til að hafa samskipti við skrárnar í möppunni.

IdP

  • Miðlægur staður til að stjórna notendum, sannvottun og heimild
  • Öruggari, framfylgir iðnaðarstaðlum í stjórnun notenda og lykilorða
  • Veitir SSO
  • Auðveldari aðgangsstjórnun og afturköllun