Autorisatie bespreken
Autorisatie heeft betrekking op waartoe een identiteit toegang heeft en wat ze mogen doen zodra ze toegang hebben. Identiteitsautorisatie biedt:
- Methoden voor het toewijzen van rechten voor een betere beveiliging en minder beheer
- Mogelijkheid om beleidsbeheer te beheren
- Afdwingen vereenvoudigen door te standaardiseren op een gemeenschappelijke benadering
Autorisatie gaat allemaal over het verlenen van toegang tot een geverifieerde identiteit, waartoe ze toegang moeten hebben. Het bijhouden en afdwingen van die toegang en gebruik. Met autorisatie richt u zich op:
| Autorisatieconcept | Beschrijving en gebruik |
|---|---|
| Rechttype | Rechten richten zich op het al dan niet verlenen van een identiteit ('rechten') tot een bepaalde resource. Als zodanig worden rechten verwerkt met behulp van veel verschillende typen. De toewijzing van rechten vindt plaats op toepassingsniveau, centraal via groepen, gedefinieerd via op rollen gebaseerd toegangsbeheer of kenmerken (ABAC) of centraal toegepast met behulp van een op beleid gebaseerde benadering (PBAC). |
| Toegangsbeleid | Toegangsbeleid is gericht op een set toepassingen, gegevens en welke gebruikers en groepen activiteiten kunnen uitvoeren. U kunt het beschouwen als de set regels voor het uitvoeren van uw werk. Richt u op de minste toegang die u nodig hebt. |
| Afdwinging | De afdwingingsmogelijkheid is gericht op de manier waarop een organisatie de afdwinging van autorisatieactiviteiten afhandelt. In de meeste gevallen verwerken organisaties afdwinging op de toepassingslaag. Wat betekent dat afdwingen wordt voltooid door een API binnen de toepassing zelf. Sommige vormen van afdwinging bestaan uit het gebruik van een omgekeerde proxy (zoals UAG) om autorisatie afdwingen te externaliseren. Een huidige trend is het gebruik van een externe beleidsbron (zoals XACML) om te bepalen hoe de identiteit met de resource communiceert. |
Wat is autorisatie?
Autorisatie (soms afgekort als AuthZ) wordt gebruikt om machtigingen in te stellen die worden gebruikt om de toegang tot resources of functionaliteit te evalueren. Verificatie (soms afgekort als AuthN) is daarentegen gericht op het bewijzen dat een entiteit zoals een gebruiker of service inderdaad is wie ze beweren te zijn. Autorisatie kan omvatten het opgeven van de functionaliteit (of resources) waartoe een entiteit toegang heeft. Of richt zich op de gegevens waartoe die entiteit toegang heeft. En ten slotte, wat ze met die gegevens kunnen doen. Het geven van een solide definitie van toegangsbeheer.
Veelvoorkomende autorisatiemethoden:
- Toegangsbeheerlijsten (ACL's): een expliciete lijst met specifieke entiteiten die wel of geen toegang hebben tot een resource of functionaliteit. Aanbiedingen, prima controle over resources, maar vaak moeilijk te onderhouden met grote groepen gebruikers en resources.
- Op rollen gebaseerd toegangsbeheer (RBAC): de meest voorkomende benadering voor het afdwingen van autorisatie. Rollen worden gedefinieerd om de soorten activiteiten te beschrijven die een entiteit kan uitvoeren. Toegang verlenen tot rollen in plaats van aan afzonderlijke entiteiten. Een beheerder kan vervolgens rollen toewijzen aan verschillende entiteiten om te bepalen welke entiteiten toegang hebben tot welke resources en functionaliteit.
- Op kenmerken gebaseerd toegangsbeheer (ABAC): regels worden toegepast op kenmerken van de entiteit, de resources die worden geopend en de huidige omgeving om te bepalen of toegang tot bepaalde resources of functionaliteit is toegestaan. Een voorbeeld kan zijn dat gebruikers die managers zijn alleen toegang geven tot bestanden die zijn geïdentificeerd met een metagegevenstag 'managers alleen tijdens werkuren' tijdens de uren van 9:00 tot 17:00 uur op werkdagen. In dit geval wordt de toegang bepaald door het kenmerk van de gebruiker (status als manager), het kenmerk van de resource (metagegevenstag in een bestand) en ook een omgevingskenmerk (de huidige tijd) te onderzoeken.
- Op beleid gebaseerd toegangsbeheer (PBAC): een strategie voor het beheren van gebruikerstoegang tot een of meer systemen, waarbij de bedrijfsrol van de gebruiker wordt gecombineerd met beleid om te bepalen welke toegang de gebruiker heeft.
Verificatiecontext
Een nieuwe mogelijkheid in Microsoft Entra ID die nog in preview is. Een verificatiecontext kan worden gebruikt om gegevens en acties in toepassingen verder te beveiligen. Deze toepassingen kunnen uw eigen aangepaste toepassingen zijn, aangepaste LOB-toepassingen (Line-Of-Business), toepassingen zoals SharePoint of toepassingen die worden beveiligd door Microsoft Defender voor Cloud-apps. Een organisatie kan bijvoorbeeld bestanden bewaren op SharePoint-sites, zoals het lunchmenu of het geheime BBQ-sausrecept. Iedereen heeft toegang tot de lunchmenusite. Gebruikers die toegang hebben tot de geheime BBQ sauce-receptsite, moeten echter verbinding maken vanaf een beheerd apparaat. U kunt ze zelfs afdwingen om akkoord te gaan met specifieke gebruiksvoorwaarden.