Pregled upravljanja identitete in dostopa (IAM) ter ponudnika identitete (IdP)

Upravljanje identitete in dostopa je varnostna disciplina, ki pravim posameznikom omogoča pravi dostop do pravih virov ob pravem času iz pravih razlogov.

V tem prispevku bomo zajeli pregled glavnih tem, povezanih z upravljanje identitete in dostopa.



Kaj je identiteta

Ko oseba poskuša dostopati do vira, se moramo prepričati, da je uporabnik tak, za katerega se trdi, da je.


Identiteta je postopek dodelitve edinstvene identitete vsakemu posameznemu uporabniku, tako da ga je mogoče identificirati.

Aplikacije in sistemi z identifikacijo določajo, ali ima uporabnik dostop do vira.


Proces upravljanja identitet vključuje ustvarjanje, upravljanje in brisanje identitet, ne da bi morali skrbeti za njihovo stopnjo dostopa.



Kaj je preverjanje pristnosti

Preverjanje pristnosti je postopek dokazovanja identitete. Za to mora uporabnik predložiti svoje poverilnice subjektu za preverjanje pristnosti, da pridobi dostop.

Preverjanje pristnosti se pogosto imenuje AuthN.

Identifikacija se zgodi, ko uporabnik izpove identiteto (na primer z uporabniškim imenom). Preverjanje pristnosti se zgodi, ko uporabniki dokažejo svojo identiteto.

Obstaja več različnih oblik preverjanja pristnosti:


Večfaktorska overitev (MFA)

Na splošno obstajajo trije pogosti dejavniki, ki jih je mogoče uporabiti za preverjanje pristnosti:

  • Nekaj, kar veste (na primer geslo)
  • Nekaj, kar imate (na primer pametna kartica)
  • Nekaj, kar ste (na primer prstni odtis ali druga biometrična metoda)

Večfaktorska overitev uporablja 2 ali več teh metod.

Namen večfaktorske avtentikacije je dodati postopek zaščite v postopek zaščite.

Enotna prijava (SSO)

Enotna prijava (SSO) je lastnost, ki uporabniku omogoča prijavo v en sistem in dostop do vseh drugih sistemov, povezanih z njim.


Primer SSO je, ko se prijavite v Google in nato dostopate do gmaila, Google Dokumentov in Google Preglednic, ne da bi morali znova posredovati svoje podatke za prijavo.

Zveza

Federation preprosto dovoljuje enotno prijavo na več domenah. Google in Facebook sta dva največja ponudnika zvez.

To našim uporabnikom omogoča avtentikacijo v naših sistemih z uporabo njihovih že obstoječih poverilnic pri teh ponudnikih.

Žetoni

Žetoni lahko temeljijo na strojni ali programski opremi in zagotavljajo mehanizem za preverjanje pristnosti okoli 'nečesa, kar imate'.


Žetoni strojne opreme so lahko 'pametne kartice', s katerimi se lahko povežete z računalnikom prek bralnika kartic, ki omogoča preverjanje pristnosti.

Programske žetone je običajno mogoče namestiti v katero koli napravo (npr. Mobilni telefon) in se uporabljajo za generiranje enkratne gesla.



Pooblastilo

Pooblastitev je postopek ugotavljanja, kateri uporabniki imajo dostop do katerih virov v sistemu.

Uporabnikom se dodeli ali odobri dostop do določenih virov znotraj sistema. Ta dostop običajno temelji na vlogi uporabnika.


Ko je uporabnik overjen, je pooblaščen za dostop do dodeljenih virov.

Sorodno:



Zakaj potrebujemo IAM

IAM potrebujemo iz več razlogov:

Najprej potrebujemo IAM za zaščito naših sistemov. Nočemo, da bi kdo dostopal do naših zasebnih ali zaupnih podatkov, ne da bi mu bilo treba dokazati svojo identiteto.

Drugič, zagotoviti moramo, da lahko samo pooblaščene osebe dostopajo do virov, ki so jim dodeljene.

Za odgovornost potrebujemo tudi IAM. Če je neko dejanje izvedeno, moramo vedeti, kdo je to dejanje izvedel. Ogledamo si lahko sistemske dnevnike, ki so dodeljeni identiteti. Brez IAM nikakor ne moremo vedeti, kdo je kaj izvedel.



Uporaba ponudnika identitete (IdP)

V zgodnjih dneh, ko so razvijalci sestavljali aplikacije, ki so zahtevale preverjanje pristnosti uporabnikov, so morali v aplikaciji ustvariti uporabniško shrambo, da so se lahko identificirali. Poleg tega so morali razvijalci ustvariti še nekaj načinov za preverjanje pristnosti ter vloge in motor za pravice.

Vsaka nova aplikacija je zahtevala to nastavitev. Težave s tem so bile v tem, da so morali razvijalci, ko je bilo treba spremeniti način preverjanja pristnosti, spremeniti vse programe, da so poskrbeli za novo zahtevo.

Uporaba lokalnega mehanizma za preverjanje pristnosti je za uporabnike, razvijalce in skrbnike boleča:

  • Uporabniki morajo za dostop do vsake aplikacije vnesti uporabniško ime in geslo, torej brez funkcije SSO
  • Pogosto lahko povzroči uporabo šibkih gesel ali ponovno uporabo gesel
  • Razvijalci morajo upravljati drugo storitev
  • Ni centraliziranega mesta za upravljanje uporabnikov

Te težave rešuje uporaba ponudnika identitete (IdP).

Model dostopa na podlagi zahtevka

Sodobni mehanizem za upravljanje identitete in dostopa uporablja model dostopa na podlagi zahtevka.

Pri dostopu na podlagi zahtevka razvijalci zamenjajo logiko preverjanja pristnosti v aplikaciji s preprostejšo logiko, ki lahko sprejme terjatev .

TO Zaupanje med aplikacijo in virom za preverjanje pristnosti in pooblastila, v tem primeru ponudnik identitete ali IdP.

Aplikacija bo z veseljem sprejela zahtevek, ki ga pošlje IdP.

Prav tako aplikaciji ni treba ravnati z nobenim geslom, saj se uporabniki nikoli ne overjajo neposredno v aplikacijo. Namesto tega se uporabniki preverijo v ponudnika identitete, ki ustvari zahtevek ali dostopni žeton, ki se pošlje v aplikacijo.

Uporaba ponudnika identitete pomeni:

  • Razvijalcem ni treba ustvarjati močnih metod preverjanja pristnosti; prav tako jim ni treba zaščititi uporabniških gesel
  • Če je potrebna sprememba načina overjanja, jo spremenimo samo pri ponudniku identitete. Prijava ostaja nespremenjena
  • Uporabniki so zadovoljni - lahko se enkrat overjajo v ponudnika identitete in brez težav dostopajo do drugih odobrenih aplikacij, tj. (SSO)
  • Tudi skrbniki so zadovoljni - če uporabnik zapusti podjetje, lahko skrbnik onemogoči uporabnika v ponudniku identitete in takoj prekliče ves dostop.


Povzetek

Id

Identiteta je postopek dodelitve edinstvene identitete vsakemu posameznemu uporabniku, tako da ga je mogoče identificirati.

Preverjanje pristnosti vs pooblastilo

Avt

  • Dejanje dokazovanja, kdo si
  • Pogosto imenovan AuthN
  • Skupne metode AuthN:

    • Preverjanje pristnosti na obrazcu (uporabniško ime in geslo)

    • Večfaktorska overitev (MFA)

    • Žetoni

AuthZ

  • Dejanje odobritve dostopa nekomu
  • Pogosto imenovan AuthZ
  • Primeri AuthZ

    • Vaš uporabniški objekt je član skupine. Skupina je upravičena do mape s posebnimi privilegiji. Pooblaščeni ste za interakcijo z datotekami v mapi.

IdP

  • Centralizirano mesto za upravljanje uporabnikov, preverjanje pristnosti in avtorizacijo
  • Bolj varno, uveljavlja industrijske standarde pri upravljanju uporabnikov in gesel
  • Zagotavlja SSO
  • Lažje upravljanje dostopa in preklic