Omówienie autoryzacji

  • 3 min

Autoryzacja obejmuje, do czego może uzyskiwać dostęp tożsamość i jakie czynności mogą wykonywać po uzyskaniu dostępu. Autoryzacja tożsamości zapewnia:

  • Metody przypisywania uprawnień umożliwiające zwiększenie bezpieczeństwa i mniejszej liczby administracji
  • Możliwość zarządzania kontrolą zasad
  • Upraszczanie wymuszania przez standaryzację typowego podejścia

Autoryzacja polega na udzielaniu dostępu do zweryfikowanej tożsamości, do czego powinni mieć dostęp. Śledzenie i wymuszanie dostępu i użycia. Dzięki autoryzacji koncentrujesz się na:

Koncepcja autoryzacji Opis i użycie
Typ upoważnienia Uprawnienia koncentrują się na tym, czy udzielono tożsamości ("uprawniony") dostępu do określonego zasobu. W związku z tym uprawnienia są obsługiwane przy użyciu wielu różnych typów. Przypisanie uprawnień odbywa się na poziomie aplikacji, centralnie za pośrednictwem grup zdefiniowanych za pośrednictwem kontroli dostępu opartej na rolach lub atrybutów (ABAC) lub stosowane centralnie przy użyciu podejścia opartego na zasadach (PBAC).
Zasady dostępu Zasady dostępu koncentrują się na zestawie aplikacji, danych oraz na tym, którzy użytkownicy i grupy mogą wykonywać działania. Pomyśl o tym jako o zestawie reguł dotyczących wykonywania zadania. Skoncentruj się na najmniejszym potrzebnym dostępie.
Egzekwowanie Możliwość wymuszania koncentruje się na tym, jak organizacja obsługuje wymuszanie działań autoryzacji. W większości przypadków organizacje obsługują wymuszanie w warstwie aplikacji. Wymuszanie znaczenia jest wykonywane przez interfejs API w samej aplikacji. Niektóre formy wymuszania składają się z używania zwrotnego serwera proxy (takiego jak UAG) w celu zewnętrznego wymuszania autoryzacji. Bieżący trend polega na użyciu zewnętrznego źródła zasad (takiego jak XACML) w celu określenia sposobu interakcji tożsamości z zasobem.

Co to jest autoryzacja?

Autoryzacja (czasami skracana jako AuthZ) służy do ustawiania uprawnień używanych do oceny dostępu do zasobów lub funkcji. Natomiast uwierzytelnianie (czasami skracane jako AuthN) koncentruje się na udowodnieniu, że jednostka taka jak użytkownik lub usługa jest rzeczywiście tym, kim są. Autoryzacja może obejmować określenie, jakie funkcje (lub zasoby) może uzyskać dostęp do jednostki. Lub koncentruje się na danych, do których jednostka może uzyskiwać dostęp. I wreszcie, co mogą zrobić z danymi. Dając solidną definicję kontroli dostępu.

Typowe typy metod autoryzacji:

  • Listy kontroli dostępu (ACL) — jawna lista określonych jednostek, które nie mają dostępu do zasobu lub funkcji. Oferuje, precyzyjną kontrolę nad zasobami, ale często trudną do utrzymania przy użyciu dużych grup użytkowników i zasobów.
  • Kontrola dostępu oparta na rolach (RBAC) — najbardziej typowe podejście do wymuszania autoryzacji. Role są definiowane w celu opisania rodzajów działań, które może wykonywać jednostka. Udzielanie dostępu do ról, a nie poszczególnym jednostkom. Administrator może następnie przypisywać role do różnych jednostek, aby kontrolować, które mają dostęp do zasobów i funkcji.
  • Kontrola dostępu oparta na atrybutach (ABAC) — reguły są stosowane do atrybutów jednostki, uzyskiwanych zasobów i bieżącego środowiska w celu określenia, czy dostęp do niektórych zasobów lub funkcji jest dozwolony. Przykładem może być zezwolenie tylko użytkownikom, którzy są menedżerami w celu uzyskania dostępu do plików zidentyfikowanych za pomocą tagu metadanych "menedżerowie tylko w godzinach pracy" w godzinach 9:00 – 5pm w dniach roboczych. W takim przypadku dostęp jest określany przez sprawdzenie atrybutu użytkownika (stan jako menedżer), atrybut zasobu (tag metadanych w pliku), a także atrybut środowiska (bieżący czas).
  • Kontrola dostępu oparta na zasadach (PBAC) — strategia zarządzania dostępem użytkowników do co najmniej jednego systemu, w którym rola biznesowa użytkownika jest połączona z zasadami w celu określenia, jaki dostęp ma użytkownik.

Kontekst uwierzytelniania

Nowa funkcja w identyfikatorze Entra firmy Microsoft, która jest nadal dostępna w wersji zapoznawczej. Kontekst uwierzytelniania może służyć do dalszego zabezpieczania danych i akcji w aplikacjach. Te aplikacje mogą być własnymi aplikacjami niestandardowymi, niestandardowymi aplikacjami biznesowymi (LOB), aplikacjami, takimi jak SharePoint, lub aplikacjami chronionymi przez usługę Microsoft Defender for Cloud Apps. Na przykład organizacja może przechowywać pliki w witrynach programu SharePoint, takich jak menu obiadowe lub tajny przepis sosu GRILL. Każdy ma dostęp do witryny menu obiadowego. Jednak użytkownicy, którzy mają dostęp do tajnej witryny przepis na sos grilla, są zobowiązani do nawiązania połączenia z zarządzanego urządzenia. Można nawet wymusić zgodę na określone warunki użytkowania.