Что такое управление удостоверениями и доступом (IAM)?
В этой статье вы узнаете о некоторых основных понятиях управления удостоверениями и доступом (IAM), почему это важно и как это работает.
Управление удостоверениями и доступом гарантирует, что нужные люди, компьютеры и компоненты программного обеспечения получают доступ к нужным ресурсам в нужное время. Во-первых, человек, компьютер или программный компонент доказывает, что он кто или что он себя утверждает. Затем пользователю, компьютеру или программному компоненту разрешается или запрещается доступ к определенным ресурсам или их использование.
Сведения об основных терминах и понятиях см. в статье Основы идентификации.
Что делает IAM?
Системы IAM обычно предоставляют следующие основные функциональные возможности:
Управление удостоверениями — процесс создания, хранения и управления сведениями об удостоверениях. Поставщики удостоверений (IdP) — это программные решения, которые используются для отслеживания удостоверений пользователей и управления ими, а также разрешений и уровней доступа, связанных с этими удостоверениями.
Федерация удостоверений . Вы можете разрешить пользователям, у которых уже есть пароли в других местах (например, в корпоративной сети или с поставщиком удостоверений Через Интернет или социальные сети), получить доступ к вашей системе.
Подготовка и отзыв пользователей . Процесс создания учетных записей пользователей и управления ими, который включает указание пользователей, имеющих доступ к тем или иным ресурсам, а также назначение разрешений и уровней доступа.
Проверка подлинности пользователей . Проверка подлинности пользователя, компьютера или программного компонента путем подтверждения того, что они являются кем или что они говорят. Вы можете добавить многофакторную проверку подлинности (MFA) для отдельных пользователей, чтобы обеспечить дополнительную безопасность или единый вход (SSO), чтобы пользователи могли проходить проверку подлинности на одном портале, а не на нескольких разных ресурсах.
Авторизация пользователей . Авторизация гарантирует, что пользователю предоставляется точный уровень и тип доступа к средству, на которое он имеет право. Пользователи также могут быть разделены на группы или роли, чтобы большие когорты пользователей могли быть предоставлены те же привилегии.
Управление доступом — процесс определения того, кто или что имеет доступ к тем или иным ресурсам. Сюда входит определение ролей и разрешений пользователей, а также настройка механизмов проверки подлинности и авторизации. Контроль доступа регулирует доступ к системам и данным.
Отчеты и мониторинг . Создавайте отчеты после действий, выполненных на платформе (например, во время входа, доступ к системам и тип проверки подлинности), чтобы обеспечить соответствие требованиям и оценить риски безопасности. Получите аналитические сведения о шаблонах безопасности и использования вашей среды.
Принцип работы IAM
В этом разделе представлен обзор процесса проверки подлинности и авторизации, а также более распространенных стандартов.
Проверка подлинности, авторизация и доступ к ресурсам
Предположим, у вас есть приложение, которое выполняет вход пользователя, а затем обращается к защищенному ресурсу.
Пользователь (владелец ресурса) инициирует запрос проверки подлинности с помощью поставщика удостоверений или сервера авторизации из клиентского приложения.
Если учетные данные действительны, поставщик удостоверений или сервер авторизации сначала отправляет маркер идентификатора, содержащий сведения о пользователе, обратно в клиентское приложение.
Поставщик удостоверений или сервер авторизации также получает согласие пользователя и предоставляет клиентскому приложению авторизацию для доступа к защищенному ресурсу. Авторизация предоставляется в маркере доступа, который также отправляется обратно в клиентское приложение.
Маркер доступа присоединяется к последующим запросам, выполняемым к защищенному серверу ресурсов из клиентского приложения.
Поставщик удостоверений или сервер авторизации проверяет маркер доступа. В случае успешного выполнения запроса на защищенные ресурсы отправляется ответ в клиентское приложение.
Дополнительные сведения см. в статье Проверка подлинности и авторизация.
Стандарты проверки подлинности и авторизации
Ниже приведены наиболее известные и часто используемые стандарты проверки подлинности и авторизации.
OAuth 2.0
OAuth — это протокол управления удостоверениями с открытыми стандартами, который обеспечивает безопасный доступ для веб-сайтов, мобильных приложений, Интернета вещей и других устройств. Он использует токены, зашифрованные при передаче, и устраняет необходимость совместного использования учетных данных. OAuth 2.0, последний выпуск OAuth, является популярной платформой, используемой основными социальными медиа-платформами и потребительскими услугами, от Facebook и LinkedIn до Google, PayPal и Netflix. Дополнительные сведения см. в статье Протокол OAuth 2.0.
OpenID Connect (OIDC)
С выпуском OpenID Connect (в котором используется шифрование с открытым ключом), OpenID стал широко активных уровней проверки подлинности для OAuth. Как и SAML, OpenID Connect (OIDC) широко используется для единого входа, но OIDC использует REST/JSON вместо XML. OIDC был разработан для работы с собственными и мобильными приложениями с помощью протоколов REST/JSON. Однако основным вариантом использования SAML являются веб-приложения. Дополнительные сведения см. в статье Протокол OpenID Connect.
Веб-маркеры JSON (JWT)
JWT — это открытый стандарт, который определяет компактный и автономный способ безопасной передачи информации между сторонами в виде объекта JSON. JWT можно проверять и доверять, так как они подписаны цифровой подписью. Их можно использовать для передачи удостоверения пользователей, прошедших проверку подлинности, между поставщиком удостоверений и службой, запрашивающей проверку подлинности. Они также могут проходить проверку подлинности и шифроваться. Дополнительные сведения см. в статье Веб-токены JSON.
Security Assertion Markup Language (SAML)
SAML — это открытый стандарт, используемый для обмена информацией о проверке подлинности и авторизации между, в данном случае, решением IAM и другим приложением. Этот метод использует XML для передачи данных и обычно используется платформами управления удостоверениями и доступом для предоставления пользователям возможности входа в приложения, интегрированные с решениями IAM. Дополнительные сведения см. в статье Протокол SAML.
System for Cross-Domain Identity Management (SCIM)
Подготовка SCIM, созданная для упрощения процесса управления удостоверениями пользователей, позволяет организациям эффективно работать в облаке и легко добавлять или удалять пользователей, используя бюджеты, снижая риски и оптимизируя рабочие процессы. SCIM также упрощает обмен данными между облачными приложениями. Дополнительные сведения см. в статье Разработка и планирование подготовки для конечной точки SCIM.
Федерация веб-служб (WS-Fed)
WS-Fed была разработана корпорацией Майкрософт и широко используется в своих приложениях, этот стандарт определяет способ передачи маркеров безопасности между различными сущностями для обмена сведениями об удостоверениях и авторизации. Дополнительные сведения см. в статье Протокол федерации веб-служб.
Дальнейшие действия
Дополнительные сведения см. на следующих ресурсах: