Discutir autorização
A autorização abrange o que uma identidade pode acessar e o que eles podem fazer quando obtêm acesso. A autorização de identidade fornece:
- Métodos de atribuição de direitos que permitem aumentar a segurança e reduzir a administração
- Capacidade de gerenciar o controle de políticas
- Simplifique a aplicação através da normalização numa abordagem comum
A autorização tem tudo a ver com dar acesso a uma identidade verificada, àquilo a que devem ter acesso. O rastreamento e a aplicação desse acesso e uso. Com autorização, você se concentra em:
| Conceito de autorização | Descrição e utilização |
|---|---|
| Tipo de direito | Os direitos centram-se no facto de ter ou não sido concedido a uma identidade («direito») acesso a um recurso específico. Como tal, os direitos são tratados utilizando muitos tipos diferentes. A atribuição de direitos acontece no nível do aplicativo, centralmente por meio de grupos, definidos por meio de controle de acesso ou atributos baseados em função (ABAC) ou aplicados centralmente usando uma abordagem baseada em políticas (PBAC). |
| Políticas de Acesso | As políticas de acesso se concentram em um conjunto de aplicativos, dados e quais usuários e grupos podem executar atividades. Pense nisso como o conjunto de regras para fazer o seu trabalho. Concentre-se no mínimo de acesso que você precisa. |
| Imposição | A capacidade de aplicação se concentra em como uma organização lida com a aplicação de atividades de autorização. Na maioria dos casos, as organizações lidam com a imposição na camada de aplicativo. Ou seja, a imposição é concluída por uma API dentro do próprio aplicativo. Algumas formas de imposição consistem no uso de um proxy reverso (como o UAG) para externalizar a imposição de autorização. Uma tendência atual é usar uma fonte de política externa (como XACML) para determinar como a identidade interage com o recurso. |
O que é a autorização?
A autorização (às vezes abreviada como AuthZ) é usada para definir permissões que são usadas para avaliar o acesso a recursos ou funcionalidades. Em contraste, a autenticação (às vezes abreviada como AuthN) é focada em provar que uma entidade como um usuário ou serviço é realmente quem eles afirmam ser. A autorização pode incluir a especificação de qual funcionalidade (ou recursos) uma entidade tem permissão para acessar. Ou se concentra em quais dados essa entidade pode acessar. E, finalmente, o que eles podem fazer com esses dados. Dando uma definição sólida de controle de acesso.
Tipos comuns de abordagens de autorização:
- Listas de Controle de Acesso (ACLs) - Uma lista explícita de entidades específicas que têm ou não acesso a um recurso ou funcionalidade. Oferece, bom controle sobre os recursos, mas muitas vezes difícil de manter com grandes grupos de usuários e recursos.
- Controle de acesso baseado em função (RBAC) - A abordagem mais comum para impor a autorização. As funções são definidas para descrever os tipos de atividades que uma entidade pode executar. Conceda acesso a funções em vez de a entidades individuais. Um administrador pode então atribuir funções a entidades diferentes para controlar quais têm acesso a quais recursos e funcionalidades.
- Controle de acesso baseado em atributos (ABAC) - As regras são aplicadas aos atributos da entidade, aos recursos que estão sendo acessados e ao ambiente atual para determinar se o acesso a alguns recursos ou funcionalidades é permitido. Um exemplo pode ser permitir que apenas usuários que são gerentes acessem arquivos identificados com uma tag de metadados de "gerentes apenas durante o horário de trabalho" durante o horário das 9h às 17h em dias úteis. Nesse caso, o acesso é determinado examinando o atributo do usuário (status como gerente), o atributo do recurso (tag de metadados em um arquivo) e também um atributo de ambiente (a hora atual).
- Controle de acesso baseado em políticas (PBAC) - Uma estratégia para gerenciar o acesso do usuário a um ou mais sistemas, onde a função comercial do usuário é combinada com políticas para determinar qual acesso o usuário tem.
Contexto de autenticação
Um novo recurso no Microsoft Entra ID que ainda está em visualização. O contexto de autenticação pode ser utilizado para dar ainda mais proteção aos dados e às ações nas aplicações. Estas aplicações podem ser as suas próprias aplicações personalizadas, aplicações de linha de negócio (LOB) personalizadas, aplicações como o SharePoint, ou aplicações protegidas pelo Microsoft Defender para a Cloud. Por exemplo, uma organização pode manter arquivos em sites do SharePoint, como o menu de almoço ou sua receita secreta de molho BBQ. Todos têm acesso ao site do menu de almoço. No entanto, os usuários que têm acesso ao site secreto de receitas de molho BBQ são obrigados a se conectar a partir de um dispositivo gerenciado. Você pode até mesmo impô-los para concordar com termos de uso específicos.