Análisis de la autorización
La autorización abarca a qué puede acceder una identidad y qué se le permite hacer una vez que obtiene el acceso. La autorización de identidad proporciona lo siguiente:
- Métodos de asignación de derechos que permiten una mayor seguridad y menos administración
- Capacidad de administrar el control de directivas
- Simplificación del cumplimiento mediante la estandarización de un enfoque común
La autorización consiste en conceder acceso a una identidad verificada, a lo que debe tener acceso. El seguimiento y la aplicación de ese acceso y uso. Con la autorización, se centra en lo siguiente:
Concepto de autorización | Descripción y uso |
---|---|
Tipo de derecho | Los derechos se centran en si se ha concedido o no acceso a una identidad ("con derecho") a un recurso determinado. Por tanto, los derechos se controlan mediante muchos tipos diferentes. La asignación de derechos se produce en el nivel de aplicación, de forma centralizada a través de grupos, definidos a través del control de acceso basado en roles o atributos (ABAC) o aplicados de forma centralizada mediante un enfoque basado en directivas (PBAC). |
Directivas de acceso | Las directivas de acceso se centran en un conjunto de aplicaciones, datos y qué usuarios y grupos pueden realizar actividades. Imagine que se trata del conjunto de reglas para llevar a cabo un trabajo. Céntrese en el menor acceso que necesite. |
Cumplimiento | La funcionalidad de cumplimiento se centra en cómo una organización controla la aplicación de actividades de autorización. En la mayoría de los casos, las organizaciones controlan la aplicación en el nivel de aplicación, lo que significa que la aplicación se completa mediante una API dentro de la propia aplicación. Algunas formas de aplicación consisten en el uso de un proxy inverso (como UAG) para externalizar la aplicación de autorización. Una tendencia actual consiste en usar un origen de directiva externa (como XACML) para determinar cómo la identidad interactúa con el recurso. |
¿Qué es la autorización?
La autorización (en ocasiones abreviada como AuthZ) se utiliza para configurar permisos que se usan para evaluar el acceso a recursos o funcionalidades. Por el contrario, la autenticación (abreviada a veces como AuthN) se centra en demostrar que una entidad como un usuario o servicio es quien dice ser. La autorización puede incluir la especificación de a qué funcionalidad (o recursos) se le permite acceder a una entidad. O bien, se centra en los datos a los que puede acceder la entidad. Y, por último, lo que pueden hacer con esos datos. Proporcionar una definición sólida del control de acceso.
Tipos comunes de enfoques de autorización:
- Listas de control de acceso (ACL): una lista explícita de entidades específicas que tienen o no tienen acceso a un recurso o una funcionalidad. Ofrece un control preciso sobre los recursos, pero a menudo es difícil de mantener con grandes grupos de usuarios y recursos.
- Control de acceso basado en roles (RBAC): el enfoque más común para aplicar la autorización. Los roles se definen para describir los tipos de actividades que una entidad puede realizar. Conceda acceso a los roles en lugar de a entidades individuales. A continuación, un administrador puede asignar roles a distintas entidades para controlar cuáles tienen acceso a qué recursos y funcionalidades.
- Control de acceso basado en atributos (ABAC): las reglas se aplican a los atributos de la entidad, a los recursos a los que se accede y al entorno actual para determinar si se permite el acceso a algunos recursos o funcionalidades. Un ejemplo podría ser permitir que solo los usuarios que sean administradores accedan a los archivos identificados con una etiqueta de metadatos de "administradores solo durante el horario laboral" de 9 a.m. a 5 p.m. en días laborables. En este caso, el acceso viene determinado por el examen del atributo del usuario (estado como administrador), el atributo del recurso (etiqueta de metadatos en un archivo) y también un atributo de entorno (la hora actual).
- Control de acceso basado en directivas (PBAC): una estrategia para administrar el acceso de los usuarios a uno o varios sistemas, donde el rol empresarial del usuario se combina con directivas para determinar qué acceso tiene.
Contexto de autenticación
Nueva funcionalidad en Microsoft Entra ID que todavía está en versión preliminar. El contexto de autenticación se puede usar para proteger aún más los datos y acciones de las aplicaciones. Estas aplicaciones pueden ser sus propias aplicaciones personalizadas, aplicaciones de línea de negocio (LOB) personalizadas, aplicaciones como SharePoint o aplicaciones protegidas por Microsoft Defender para aplicaciones en la nube. Por ejemplo, una organización puede mantener archivos en sitios de SharePoint como el menú del almuerzo o su receta secreta de salsa barbacoa. Todos tienen acceso al sitio del menú del almuerzo. Pero los usuarios que tienen acceso al sitio secreto de recetas de salsa de barbacoa se deben conectar desde un dispositivo administrado. Incluso puede exigirles que acepten condiciones de uso específicas.