Обсуждение авторизации

Завершено

Авторизация сообщает, к каким удостоверениям можно получить доступ и что им разрешено делать после получения доступа. Авторизация удостоверений обеспечивает следующее:

  • Методы назначения прав, обеспечивающие повышенную безопасность и сокращение затрат на администрирование
  • Возможность управления политикой
  • Упрощенное применение за счет стандартизации общего подхода

Авторизация предусматривает предоставление доступа к проверенному удостоверению и определение ресурсов, к которым требуется доступ. Отслеживание, применение и использования этого доступа. Авторизация позволяет сосредоточиться на следующем:

Концепция авторизации Описание и использование
Тип прав Права в первую очередь сообщают о том, предоставлен ли удостоверению доступ к определенному ресурсу. Таким образом, права обрабатываются с помощью различных типов. Назначение прав выполняется на уровне приложения, централизованно с помощью групп, определенных с помощью управления доступом на основе ролей или атрибутов (ABAC) или применяется централизованно с помощью подхода на основе политики (PBAC).
Политики доступа Политики доступа ориентированы на набор приложений, данные, а также на пользователей и групп, которые могут выполнять действия. Считайте это набором правил, который используется при выполнении вашей работы. Ориентируйтесь на минимальный уровень разрешений.
Обеспечение исполнения Функция принудительного применения фокусируется на том, как организация обрабатывает принудительное применение действий авторизации. В большинстве случаев организации обрабатывают принудительное применение на уровне приложений. Это означает, что API реализует принудительное применение непосредственно в приложении. Некоторые формы принудительного применения состоят из использования обратного прокси-сервера (например, UAG) для внешнего применения авторизации. Текущая тенденция заключается в использовании источника внешней политики (например, XACML), чтобы определить, как удостоверение взаимодействует с ресурсом.

Что такое авторизация?

Авторизация (иногда называется AuthZ) используется для того, чтобы задать разрешения, используемые для оценки наличия доступа к ресурсам или функциональным возможностям. В отличие от нее, аутентификация (иногда называется AuthN) предназначена для того, чтобы доказать, что сущность (например, пользователь или служба) является тем, за кого себя выдает. Авторизация может включать указание на то, к каким функциям (или ресурсам) разрешен доступ. Кроме того, он фокусируется на доступе к данным, к которым может обращаться сущность. И, наконец, что пользователи могут делать с данными. Предоставление надежного определения контроля доступа.

Распространенные типы методик к авторизации:

  • Списки контроля доступа (ACL) — явным образом определенные списки конкретных сущностей, у которых нет доступа к ресурсу или функциональным возможностям. Такие списки обеспечивают точное управление ресурсами, но зачастую их трудно использовать с большими группами пользователей и ресурсов.
  • Управление доступом на основе ролей (RBAC) — наиболее распространенный подход к применению авторизации. Роли определяются для описания типов действий, которые может выполнять сущность. Предоставление доступа к ролям вместо отдельных сущностей. Затем администратор может назначить роли разным сущностям, чтобы контролировать, у каких из них есть доступ к ресурсам и функциональным возможностям.
  • Управление доступом на основе атрибутов (ABAC) — при таком подходе правила применяются к атрибутам сущности, к ресурсам, к которым осуществляется доступ, и к текущей среде, чтобы определить, разрешен ли доступ к некоторым ресурсам или функциональным возможностям. Например, можно разрешить пользователям, которые являются менеджерами, доступ к файлам с тегом метаданных "руководители только в рабочее время" с 9:00 до 17:00 в рабочие дни. В этом случае наличие доступа определяется путем проверки атрибута пользователя (статуса менеджера), атрибута ресурса (тега метаданных для файла) и атрибута среды (текущего времени).
  • Управление доступом на основе политик (PBAC) — стратегия управления доступом пользователей к одной или нескольким системам, где бизнес-роль пользователя объединена с политиками, позволяя определить тип прав доступа, предоставленный пользователю.

Контекст проверки подлинности

Новая возможность в идентификаторе Microsoft Entra, которая по-прежнему находится в предварительной версии. Контекст проверки подлинности можно использовать для дополнительной защиты данных и действий в приложениях. Эти приложения могут быть собственными пользовательскими приложениями, настраиваемыми бизнес-приложениями, такими приложениями, как SharePoint, или приложениями, защищаемыми Microsoft Defender for Cloud Apps. Например, организация может хранить файлы на сайтах SharePoint, таких как меню обеда или их секретный рецепт соуса BBQ. У всех есть доступ к сайту меню обеда. Однако для подключения с управляемого устройства нужны пользователи, имеющие доступ к секретному сайту с рецептом соуса BBQ. Вы даже можете применить их, чтобы согласиться с конкретными условиями использования.