Diskuze o autorizaci
Autorizace zahrnuje, k čemu může identita přistupovat a co smí dělat, jakmile získá přístup. Autorizace identit poskytuje:
- Metody přiřazování nároků umožňující vyšší zabezpečení a méně správy
- Schopnost spravovat řízení zásad
- Zjednodušení vynucování standardizací společného přístupu
Autorizace spočívá v tom, že poskytuje přístup k ověřené identitě, k čemu by měl mít přístup. Sledování a vynucování přístupu a použití. S autorizací se zaměříte na:
| Koncept autorizace | Popis a využití |
|---|---|
| Typ nároku | Nároky se zaměřují na to, zda byla identita udělena ("oprávněná") přístup k určitému prostředku. Nároky se proto zpracovávají pomocí mnoha různých typů. Přiřazení nároků probíhá na úrovni aplikace centrálně prostřednictvím skupin definovaných prostřednictvím řízení přístupu na základě role nebo atributů (ABAC) nebo použití centrálně pomocí přístupu založeného na zásadách (PBAC). |
| Zásady přístupu | Zásady přístupu se zaměřují na sadu aplikací, dat a uživatelů a skupin, které můžou provádět aktivity. Představte si to jako sadu pravidel, která vám počítají s prací. Zaměřte se na co nejmenší přístup, který potřebujete. |
| Vynucení | Funkce vynucení se zaměřuje na to, jak organizace zpracovává vynucování aktivit autorizace. Ve většině případů organizace zpracovávají vynucování ve vrstvě aplikace. To znamená, že vynucení je dokončeno rozhraním API v samotné aplikaci. Některé formy vynucení se skládají z použití reverzního proxy serveru (například UAG) k externímu vynucení autorizace. Aktuálním trendem je použití externího zdroje zásad (například XACML) k určení způsobu interakce identity s prostředkem. |
Co je autorizace?
Autorizace (někdy zkrácená jako AuthZ) slouží k nastavení oprávnění, která se používají k vyhodnocení přístupu k prostředkům nebo funkcím. Naproti tomu ověřování (někdy zkrácené jako AuthN) se zaměřuje na prokázání, že entita jako uživatel nebo služba je skutečně tím, za koho tvrdí. Autorizace může zahrnovat určení, ke které funkci (nebo prostředkům) má entita povolený přístup. Nebo se zaměřuje na to, k jakým datům má tato entita přístup. A nakonec, co můžou s daty dělat. Poskytuje solidní definici řízení přístupu.
Běžné typy přístupů k autorizaci:
- Seznamy řízení přístupu (ACL) – explicitní seznam konkrétních entit, které mají nebo nemají přístup k prostředku nebo funkci. Nabízí, jemnou kontrolu nad prostředky, ale často je obtížné udržovat s velkými skupinami uživatelů a prostředků.
- Řízení přístupu na základě role (RBAC) – nejběžnější přístup k vynucování autorizace. Role jsou definovány pro popis typů aktivit, které může entita provádět. Udělte přístup k rolím místo k jednotlivým entitě. Správce pak může přiřadit role různým entitům, aby mohli řídit, které z nich mají přístup k jakým prostředkům a funkcím.
- Řízení přístupu na základě atributů (ABAC) – Pravidla se použijí na atributy entity, prostředky, ke kterým se přistupuje, a aktuální prostředí, které určuje, jestli je povolený přístup k některým prostředkům nebo funkcím. Příkladem může být jen povolení přístupu uživatelů, kteří jsou správci, aby měli přístup k souborům označeným značkou metadat "manažeři pouze během pracovní doby" během pracovní doby od 9:00 do 5:00 v pracovních dnech. V tomto případě je přístup určen prozkoumáním atributu uživatele (stav jako správce), atributu prostředku (značka metadat v souboru) a také atributem prostředí (aktuální čas).
- Řízení přístupu na základě zásad (PBAC) – strategie správy přístupu uživatelů k jednomu nebo více systémům, kde se obchodní role uživatele kombinuje se zásadami, které určují, jaký přístup má uživatel.
Kontext ověřování
Nová funkce v Microsoft Entra ID, která je stále ve verzi Preview. Kontext ověřování je možné použít k dalšímu zabezpečení dat a akcí v aplikacích. Těmito aplikacemi můžou být vaše vlastní aplikace, vlastní obchodní aplikace (LOB), aplikace typu SharePoint nebo aplikace chráněné Microsoft Defenderem for Cloud Apps. Organizace může například uchovávat soubory na sharepointových webech, jako je obědová nabídka nebo tajný recept na bbq omáčku. Všichni mají přístup k webu obědových nabídek. Uživatelé, kteří mají přístup k tajnému webu receptu bbq omáčky, se ale musí připojit ze spravovaného zařízení. Můžete je dokonce vynutit, abyste souhlasili s konkrétními podmínkami použití.