Причины использования удостоверений
Мы уже говорили о модели "Никому не доверяй" и об удостоверениях в качестве уровня управления для доступа к ресурсам. Но зачем использовать удостоверение?
Мы используем удостоверения в следующих целях:
- Чтобы доказать, кто или что, мы — проверка подлинности
- Чтобы получить разрешение на какое-либо действие — авторизация.
- Чтобы составить отчет о выполненных действиях — аудит.
- Чтобы самостоятельно управлять административными задачами — администрирование.
| Аутентификация | Авторизация | Администрирование | Аудит |
|---|---|---|---|
|
|
|
|
| Процесс регистрации пользователей | Процесс регистрации пользователей | Управление в едином представлении | Отслеживать что, когда, где и как |
| Доверенные источники | Может ли пользователь получить доступ к ресурсу | Применение бизнес-правил | Сфокусированные оповещения |
| Федеративные протоколы | Что они могут делать при доступе? | Автоматические запросы, утверждения и назначение доступа | Подробные отчеты с сортировкой |
| Уровень гарантий | Управление правами | Управление и соответствие требованиям |
Что такое поставщик удостоверений (IdP)
Поставщик удостоверений (IdP) — это система, которая создает, контролирует и хранит цифровые удостоверения. Идентификатор Microsoft Entra — это пример. Возможности и функции поставщиков удостоверений могут различаться. Наиболее распространенные компоненты:
- Репозиторий удостоверений пользователей
- Система проверки подлинности
- Протоколы безопасности, защищающиеся от вторжений
- Кто-то, кому мы доверяем
Поставщик удостоверений проверяет удостоверения пользователей с помощью одного или нескольких факторов проверки подлинности, например проверка пароля или отпечатка пальца. Поставщик удостоверений часто является доверенным поставщиком, который используется с единым входом (SSO) для доступа к другим ресурсам. Единый вход делает работу более удобной для пользователей, поскольку им не приходится часто вводить пароли. Кроме того, он обеспечивает защиту, сокращая поверхность потенциальной атаки. Поставщики удостоверений могут упростить подключения между ресурсами облачных вычислений и пользователями, тем самым сократив необходимость повторной проверки подлинности пользователей при использовании мобильных приложений и роуминга.
Распространенные протоколы удостоверений
Поставщик OpenID. OpenID Connect (OIDC) — это протокол проверки подлинности, основанный на протоколе OAuth2 (который используется для авторизации). Для предоставления служб удостоверений OIDC использует стандартизованные потоки сообщений от OAuth2. В частности, системная сущность (называемая OpenID-Provider) выдает маркеры идентификации в формате JSON сторонам, использующим OIDC, через API HTTP RESTful.
Поставщик удостоверений SAML. Язык разметки заявлений системы безопасности (SAML) — это открытый стандарт для обмена данными проверки подлинности и авторизации между поставщиком удостоверений и поставщиком услуг. SAML — это язык разметки на основе XML для утверждений безопасности, то есть операторов, которые используют поставщики услуг для принятия решений по управлению доступом.