Prozkoumejte, proč máme identitu
Mluvili jsme o nulové důvěryhodnosti a identitě jako řídicí rovině pro přístup k prostředkům. Ale proč používat identitu?
Identita poskytuje možnost:
- Abychom prokázali, kdo nebo co jsme – ověřování.
- Získat oprávnění k provedení určité akce – autorizace
- Hlášení o tom, co bylo provedeno – audit
- Správa IT a samoobslužné spravování identity – správa
| Autentizace | Oprávnění | Administrativa | Kontrola |
|---|---|---|---|
|
|
|
|
| Prostředí přihlašování uživatelů | Prostředí přihlašování uživatelů | Správa s jedním zobrazením | Sledujte, kdo co dělá, kdy, kde a jak |
| Důvěryhodné zdroje | Může uživatel získat přístup k prostředku | Použití obchodních pravidel | Zaměřené upozorňování |
| Federativní protokoly | Co můžou dělat, když k němu přistupují? | Automatizované žádosti, schválení a přiřazení přístupu | Podrobné sestavené zprávy |
| Úroveň záruky | Správa nároků | Dodržování zásad správného řízení & |
Co je zprostředkovatel identity (IdP)
Zprostředkovatel identity (IdP) je systém, který vytváří, spravuje a ukládá digitální identity. Příkladem je ID Microsoft Entra. Možnosti a funkce zprostředkovatelů identity se mohou lišit. Mezi nejběžnější komponenty patří:
- Úložiště identit uživatelů
- Ověřovací systém
- Protokoly zabezpečení, které chrání před neoprávněným vniknutím
- Někdo, komu důvěřujeme
Zprostředkovatel identity ověřuje identity uživatelů pomocí jednoho nebo více ověřovacích faktorů, jako je heslo nebo kontrola otisku prstu. Zprostředkovatel identity je často důvěryhodným zprostředkovatelem pro použití s jednotným přihlašováním (SSO) pro přístup k dalším prostředkům. Jednotné přihlašování zvyšuje použitelnost snížením únavy hesel. Poskytuje také lepší zabezpečení snížením potenciálního prostoru pro útoky. Zprostředkovatelé identit můžou usnadnit připojení mezi prostředky cloud computingu a uživateli, čímž se snižuje potřeba, aby se uživatelé při používání mobilních a roamingových aplikací znovu ověřily.
Běžné protokoly identit
zprostředkovatel OpenID – OpenID Connect (OIDC) je ověřovací protokol založený na protokolu OAuth2 (který se používá k autorizaci). OIDC používá k poskytování služeb identit standardizované toky zpráv z OAuth2. Konkrétně systémová entita (označovaná jako OpenID-Provider) vydává tokeny identit ve formátu JSON systémům spoléhajícím na OIDC prostřednictvím rozhraní RESTful HTTP API.
poskytovatel identity SAML – SAML, což je Security Assertion Markup Language, je otevřený standard pro výměnu ověřovacích a autorizačních dat mezi poskytovatelem identity a poskytovatelem služeb. SAML je značkovací jazyk založený na XML pro zabezpečovací tvrzení, což jsou tvrzení, která poskytovatelé služeb používají k rozhodování o řízení přístupu.