Descrivere l'autorizzazione
L'autorizzazione riguarda ciò a cui un'identità può accedere e che cosa le è consentito fare una volta ottenuto l'accesso. L'autorizzazione dell'identità fornisce:
- Metodi di assegnazione degli entitlement che assicurano una maggiore sicurezza e meno attività di amministrazione
- Possibilità di gestire il controllo dei criteri
- Semplificazione dell'imposizione tramite la standardizzazione di un approccio comune
L'autorizzazione consiste nel concedere a un'identità verificata l'accesso a ciò a cui dovrebbe avere accesso, nonché la verifica e l'imposizione di tale accesso e utilizzo. Con l'autorizzazione ci si concentra su:
| Concetto di autorizzazione | Descrizione e utilizzo |
|---|---|
| Tipo di entitlement | Gli entitlement si concentrano sul fatto che a un'identità sia stato concesso o meno l'accesso a una particolare risorsa. Per questo motivo, gli entitlement vengono gestiti usando molti tipi diversi. L'assegnazione degli entitlement avviene a livello di applicazione, centralmente tramite gruppi, definiti attraverso il controllo degli accessi in base al ruolo o in base agli attributi (ABAC) oppure applicati centralmente usando un approccio basato su criteri (PBAC). |
| Criteri di accesso | I criteri di accesso si concentrano su un set di applicazioni, sui dati e sugli utenti e i gruppi che possono svolgere attività. Si tratta di un set di regole per svolgere il proprio lavoro. È opportuno concentrarsi sull'accesso minimo necessario. |
| Applicazione | La capacità di imposizione si concentra sul modo in cui un'organizzazione gestisce l'imposizione delle attività di autorizzazione. Nella maggior parte dei casi, le organizzazioni gestiscono l'imposizione a livello di applicazione, ovvero l'imposizione viene completata da un'API all'interno dell'applicazione stessa. In alcuni casi, l'imposizione consiste nell'uso di un proxy inverso (ad esempio, UAG) per esternalizzare l'imposizione dell'autorizzazione. Una tendenza attuale è quella di usare un'origine di criteri esterna (ad esempio, XACML) per determinare come l'identità interagisce con la risorsa. |
Informazioni sull'autorizzazione
L'autorizzazione consente di impostare le autorizzazioni usate per valutare l'accesso alle risorse o alle funzionalità. Al contrario, l'autenticazione consiste nel provare che un'entità, ad esempio un utente o un servizio, sia effettivamente chi dichiara di essere. L'autorizzazione può includere la specifica delle funzionalità (o risorse) a cui a un'entità è consentito accedere. Oppure può vertere sui dati a cui l'entità può accedere. E infine, su che cosa può fare con tali dati, dando una solida definizione di controllo di accesso.
Tipi comuni di approcci di autorizzazione:
- Elenco di controllo di accesso (ACL): elenco esplicito di entità specifiche che hanno o non hanno accesso a una risorsa o funzionalità. Offre un controllo preciso sulle risorse, ma spesso è difficile da gestire con grandi gruppi di utenti e risorse.
- Controllo degli accessi in base al ruolo: l'approccio più comune all'imposizione dell'autorizzazione. I ruoli vengono definiti per descrivere i tipi di attività che un'entità può eseguire. Concedere l'accesso ai ruoli invece che alle singole entità. Un amministratore può quindi assegnare i ruoli a entità diverse per controllare quali hanno accesso a quali risorse e funzionalità.
- Controllo degli accessi in base all'attributo: le regole vengono applicate agli attributi dell'entità, alle risorse a cui si accede e all'ambiente corrente per determinare se l'accesso ad alcune risorse o funzionalità è consentito. Ad esempio, si potrebbe consentire solo agli utenti che sono responsabili di accedere ai file identificati con il tag di metadati "managers during working hours only" tra le 9 e le 17 dei giorni lavorativi. In questo caso, l'accesso viene determinato esaminando l'attributo dell'utente (stato di responsabile), l'attributo della risorsa (tag di metadati in un file) e anche un attributo dell'ambiente (l'ora corrente).
- Controllo degli accessi in base ai criteri: strategia per gestire l'accesso dell'utente a uno o più sistemi, dove il ruolo aziendale dell'utente viene combinato con i criteri per determinare di quale accesso l'utente dispone.
Contesto di autenticazione
Nuova funzionalità in Microsoft Entra ID ancora in anteprima. Il contesto di autenticazione può essere usato per proteggere ulteriormente i dati e le azioni nelle applicazioni. Queste applicazioni possono essere applicazioni personalizzate, applicazioni line-of-business personalizzate, applicazioni come SharePoint o applicazioni protette da Microsoft Defender for Cloud Apps. Un'organizzazione, ad esempio, può conservare nei siti di SharePoint file come il menu del pranzo o la ricetta segreta della salsa barbecue. Tutti hanno accesso al sito del menu del pranzo, ma gli utenti che hanno accesso al sito della ricetta segreta della salsa barbecue devono connettersi da un dispositivo gestito. È persino possibile obbligarli ad accettare condizioni per l'utilizzo specifiche.