Sdílet prostřednictvím

Co je správa identit a přístupu (IAM)?

  • Článek

V tomto článku se seznámíte s některými základními koncepty správy identit a přístupu (IAM), proč je důležité a jak funguje.

Správa identit a přístupu zajišťuje, aby správné osoby, počítače a softwarové komponenty získaly přístup ke správným prostředkům ve správný čas. Nejprve osoba, počítač nebo softwarová komponenta prokáže, že je to kdo nebo co tvrdí, že je. Potom je osoba, počítač nebo softwarová komponenta povolena nebo odepřena přístup k určitým prostředkům nebo k používání určitých prostředků.

Informace o základních pojmech a konceptech najdete v tématu Základy identit.

Co dělá IAM?

Systémy IAM obvykle poskytují následující základní funkce:

  • Správa identit – proces vytváření, ukládání a správy informací o identitě. Zprostředkovatelé identity (IdP) jsou softwarová řešení, která se používají ke sledování a správě identit uživatelů, a také oprávnění a úrovně přístupu přidružené k těmto identitám.

  • Federace identit – Můžete povolit uživatelům, kteří už mají hesla jinde (například ve vaší podnikové síti nebo s internetem nebo zprostředkovatelem sociální identity), aby získali přístup k vašemu systému.

  • Zřizování a rušení zřizování uživatelů – proces vytváření a správy uživatelských účtů, včetně určení uživatelů, kteří mají přístup k prostředkům, a přiřazování oprávnění a úrovní přístupu.

  • Ověřování uživatelů – Ověřte uživatele, počítač nebo softwarovou komponentu tím, že potvrdíte, že se jedná o uživatele nebo to, co říkají. Můžete přidat vícefaktorové ověřování (MFA) pro jednotlivé uživatele kvůli dodatečnému zabezpečení nebo jednotnému přihlašování (SSO), aby uživatelé mohli ověřovat svou identitu pomocí jednoho portálu místo mnoha různých prostředků.

  • Autorizace uživatelů – Autorizace zajišťuje, aby byl uživateli udělena přesná úroveň a typ přístupu k nástroji, ke kterému má nárok. Uživatelé mohou být také rozděleni do skupin nebo rolí, takže velké kohorty uživatelů mohou mít stejná oprávnění.

  • Řízení přístupu – proces určení, kdo nebo co má přístup k jakým prostředkům. To zahrnuje definování rolí a oprávnění uživatelů a také nastavení mechanismů ověřování a autorizace. Řízení přístupu reguluje přístup k systémům a datům.

  • Sestavy a monitorování – Generování sestav po akcích provedených na platformě (jako je čas přihlášení, přístup k systémům a typ ověřování) za účelem zajištění dodržování předpisů a vyhodnocení bezpečnostních rizik. Získejte přehled ovzorch

Jak IAM funguje

Tato část obsahuje přehled procesu ověřování a autorizace a nejběžnějších standardů.

Ověřování, autorizace a přístup k prostředkům

Řekněme, že máte aplikaci, která přihlásí uživatele a pak přistupuje k chráněnému prostředku.

Diagram znázorňující proces ověřování a autorizace uživatele pro přístup k chráněnému prostředku pomocí zprostředkovatele identity

  1. Uživatel (vlastník prostředku) zahájí žádost o ověření se serverem zprostředkovatele identity nebo autorizačním serverem z klientské aplikace.

  2. Pokud jsou přihlašovací údaje platné, zprostředkovatel identity nebo autorizační server nejprve odešle token ID obsahující informace o uživateli zpět do klientské aplikace.

  3. Zprostředkovatel identity/autorizační server také získá souhlas koncového uživatele a udělí autorizaci klientské aplikace pro přístup k chráněnému prostředku. Autorizace se poskytuje v přístupovém tokenu, který se také odešle zpět do klientské aplikace.

  4. Přístupový token se připojí k následným požadavkům provedeným na chráněný server prostředků z klientské aplikace.

  5. Zprostředkovatel identity nebo autorizační server ověří přístupový token. Pokud je žádost o chráněné prostředky úspěšná a odpověď se odešle zpět do klientské aplikace.

Další informace najdete v tématu Ověřování a autorizace.

Ověřovací a autorizační standardy

Jedná se o nejznámější a běžně používané standardy ověřování a autorizace:

OAuth 2.0

OAuth je protokol pro správu identit s otevřenými standardy, který poskytuje zabezpečený přístup pro weby, mobilní aplikace a internet věcí a další zařízení. Používá tokeny, které jsou při přenosu šifrované a eliminují potřebu sdílet přihlašovací údaje. OAuth 2.0, nejnovější verze OAuth, je oblíbená architektura používaná hlavními platformami sociálních médií a spotřebitelskými službami, od Facebooku a LinkedInu po Google, PayPal a Netflix. Další informace najdete v protokolu OAuth 2.0.

OpenID Connect (OIDC)

S vydáním OpenID Connect (který používá šifrování veřejného klíče) se OpenID stal široce přijímanou ověřovací vrstvou pro OAuth. Podobně jako SAML se OpenID Connect (OIDC) běžně používá pro jednotné přihlašování (SSO), ale OIDC místo XML používá REST/JSON. OIDC byl navržen tak, aby fungoval s nativními i mobilními aplikacemi pomocí protokolů REST/JSON. Primárním případem použití pro SAML je ale webové aplikace. Další informace najdete v tématu o protokolu OpenID Connect.

Webové tokeny JSON (JWT)

JWT jsou otevřený standard, který definuje kompaktní a samostatný způsob bezpečného přenosu informací mezi stranami jako objekt JSON. JWT je možné ověřit a důvěřovat, protože jsou digitálně podepsané. Dají se použít k předání identity ověřených uživatelů mezi zprostředkovatelem identity a službou, která požaduje ověření. Dají se také ověřit a šifrovat. Další informace najdete v tématu Webové tokeny JSON.

SamL (Security Assertion Markup Language)

SAML je otevřený standard, který se využívá k výměně ověřovacích a autorizačních informací mezi řešením IAM a jinou aplikací. Tato metoda používá XML k přenosu dat a je obvykle metodou používanou platformami pro správu identit a přístupu k tomu, aby uživatelům udělila možnost přihlásit se k aplikacím integrovaným s řešeními IAM. Další informace najdete v protokolu SAML.

Systém pro správu identit napříč doménou (SCIM)

Vytvořeno pro zjednodušení procesu správy identit uživatelů, zřizování SCIM umožňuje organizacím efektivně pracovat v cloudu a snadno přidávat nebo odebírat uživatele, využívat rozpočty, snižovat rizika a zjednodušit pracovní postupy. SCIM také usnadňuje komunikaci mezi cloudovými aplikacemi. Další informace najdete v tématu Vývoj a plánování zřizování pro koncový bod SCIM.

Federace webových služeb (WS-Fed)

WS-Fed byl vyvinut Společností Microsoft a ve svých aplikacích používal rozsáhlé použití, tento standard definuje způsob přenosu tokenů zabezpečení mezi různými entitami za účelem výměny informací o identitě a autorizaci. Další informace najdete v tématu Federační protokol webových služeb.

Další kroky

Další informace najdete v následujících tématech: