Обсуждение авторизации
Авторизация сообщает, к каким удостоверениям можно получить доступ и что им разрешено делать после получения доступа. Авторизация удостоверений обеспечивает следующее:
- Методы назначения прав, обеспечивающие повышенную безопасность и сокращение затрат на администрирование
- Возможность управления политикой
- Упрощенное применение за счет стандартизации общего подхода
Авторизация предусматривает предоставление доступа к проверенному удостоверению и определение ресурсов, к которым требуется доступ. Отслеживание, применение и использования этого доступа. Авторизация позволяет сосредоточиться на следующем:
Концепция авторизации | Описание и использование |
---|---|
Тип прав | Права в первую очередь сообщают о том, предоставлен ли удостоверению доступ к определенному ресурсу. Таким образом, права обрабатываются с помощью различных типов. Назначение прав выполняется на уровне приложения, централизованно с помощью групп, определенных с помощью управления доступом на основе ролей или атрибутов (ABAC) или применяется централизованно с помощью подхода на основе политики (PBAC). |
Политики доступа | Политики доступа ориентированы на набор приложений, данные, а также на пользователей и групп, которые могут выполнять действия. Считайте это набором правил, который используется при выполнении вашей работы. Ориентируйтесь на минимальный уровень разрешений. |
Обеспечение исполнения | Функция принудительного применения фокусируется на том, как организация обрабатывает принудительное применение действий авторизации. В большинстве случаев организации обрабатывают принудительное применение на уровне приложений. Это означает, что API реализует принудительное применение непосредственно в приложении. Некоторые формы принудительного применения состоят из использования обратного прокси-сервера (например, UAG) для внешнего применения авторизации. Текущая тенденция заключается в использовании источника внешней политики (например, XACML), чтобы определить, как удостоверение взаимодействует с ресурсом. |
Что такое авторизация?
Авторизация (иногда называется AuthZ) используется для того, чтобы задать разрешения, используемые для оценки наличия доступа к ресурсам или функциональным возможностям. В отличие от нее, аутентификация (иногда называется AuthN) предназначена для того, чтобы доказать, что сущность (например, пользователь или служба) является тем, за кого себя выдает. Авторизация может включать указание на то, к каким функциям (или ресурсам) разрешен доступ. Кроме того, он фокусируется на доступе к данным, к которым может обращаться сущность. И, наконец, что пользователи могут делать с данными. Предоставление надежного определения контроля доступа.
Распространенные типы методик к авторизации:
- Списки контроля доступа (ACL) — явным образом определенные списки конкретных сущностей, у которых нет доступа к ресурсу или функциональным возможностям. Такие списки обеспечивают точное управление ресурсами, но зачастую их трудно использовать с большими группами пользователей и ресурсов.
- Управление доступом на основе ролей (RBAC) — наиболее распространенный подход к применению авторизации. Роли определяются для описания типов действий, которые может выполнять сущность. Предоставление доступа к ролям вместо отдельных сущностей. Затем администратор может назначить роли разным сущностям, чтобы контролировать, у каких из них есть доступ к ресурсам и функциональным возможностям.
- Управление доступом на основе атрибутов (ABAC) — при таком подходе правила применяются к атрибутам сущности, к ресурсам, к которым осуществляется доступ, и к текущей среде, чтобы определить, разрешен ли доступ к некоторым ресурсам или функциональным возможностям. Например, можно разрешить пользователям, которые являются менеджерами, доступ к файлам с тегом метаданных "руководители только в рабочее время" с 9:00 до 17:00 в рабочие дни. В этом случае наличие доступа определяется путем проверки атрибута пользователя (статуса менеджера), атрибута ресурса (тега метаданных для файла) и атрибута среды (текущего времени).
- Управление доступом на основе политик (PBAC) — стратегия управления доступом пользователей к одной или нескольким системам, где бизнес-роль пользователя объединена с политиками, позволяя определить тип прав доступа, предоставленный пользователю.
Контекст проверки подлинности
Новая возможность в идентификаторе Microsoft Entra, которая по-прежнему находится в предварительной версии. Контекст проверки подлинности можно использовать для дополнительной защиты данных и действий в приложениях. Эти приложения могут быть собственными пользовательскими приложениями, настраиваемыми бизнес-приложениями, такими приложениями, как SharePoint, или приложениями, защищаемыми Microsoft Defender for Cloud Apps. Например, организация может хранить файлы на сайтах SharePoint, таких как меню обеда или их секретный рецепт соуса BBQ. У всех есть доступ к сайту меню обеда. Однако для подключения с управляемого устройства нужны пользователи, имеющие доступ к секретному сайту с рецептом соуса BBQ. Вы даже можете применить их, чтобы согласиться с конкретными условиями использования.