Dela via


Vad är identitets- och åtkomsthantering (IAM)?

I den här artikeln får du lära dig några av de grundläggande begreppen identitets- och åtkomsthantering (IAM), varför det är viktigt och hur det fungerar.

Identitets- och åtkomsthantering säkerställer att rätt personer, datorer och programvarukomponenter får åtkomst till rätt resurser vid rätt tidpunkt. För det första bevisar personen, datorn eller programvarukomponenten att de är vem eller vad de påstår sig vara. Sedan tillåts eller nekas personen, datorn eller programvarukomponenten åtkomst till eller användning av vissa resurser.

Mer information om grundläggande termer och begrepp finns i Grunderna för identitet.

Vad gör IAM?

IAM-system tillhandahåller vanligtvis följande kärnfunktioner:

  • Identitetshantering – Processen att skapa, lagra och hantera identitetsinformation. Identitetsprovidrar (IdP) är programvarulösningar som används för att spåra och hantera användaridentiteter samt de behörigheter och åtkomstnivåer som är associerade med dessa identiteter.

  • Identitetsfederation – Du kan tillåta användare som redan har lösenord någon annanstans (till exempel i ditt företagsnätverk eller med en Internet- eller social identitetsprovider) att få åtkomst till systemet.

  • Etablering och avetablering av användare – Processen för att skapa och hantera användarkonton, vilket innefattar att ange vilka användare som har åtkomst till vilka resurser och tilldela behörigheter och åtkomstnivåer.

  • Autentisering av användare – Autentisera en användare, dator eller programvarukomponent genom att bekräfta att de är vem eller vad de säger att de är. Du kan lägga till multifaktorautentisering (MFA) för enskilda användare för extra säkerhet eller enkel inloggning (SSO) så att användarna kan autentisera sin identitet med en portal i stället för många olika resurser.

  • Auktorisering av användare – auktorisering säkerställer att en användare beviljas den exakta nivån och typen av åtkomst till ett verktyg som de har rätt till. Användare kan också delas in i grupper eller roller så att stora kohorter av användare kan beviljas samma behörigheter.

  • Åtkomstkontroll – Processen för att avgöra vem eller vad som har åtkomst till vilka resurser. Detta omfattar att definiera användarroller och behörigheter samt konfigurera autentiserings- och auktoriseringsmekanismer. Åtkomstkontroller reglerar åtkomsten till system och data.

  • Rapporter och övervakning – Generera rapporter efter åtgärder som vidtagits på plattformen (till exempel inloggningstid, system som används och typ av autentisering) för att säkerställa efterlevnad och utvärdera säkerhetsrisker. Få insikter om säkerhets- och användningsmönstren i din miljö.

Så här fungerar IAM

Det här avsnittet innehåller en översikt över autentiserings- och auktoriseringsprocessen och de vanligaste standarderna.

Autentisera, auktorisera och komma åt resurser

Anta att du har ett program som loggar in en användare och sedan får åtkomst till en skyddad resurs.

Diagram som visar användarens autentiserings- och auktoriseringsprocess för åtkomst till en skyddad resurs med hjälp av en identitetsprovider.

  1. Användaren (resursägaren) initierar en autentiseringsbegäran med identitetsprovidern/auktoriseringsservern från klientprogrammet.

  2. Om autentiseringsuppgifterna är giltiga skickar identitetsprovidern/auktoriseringsservern först en ID-token som innehåller information om användaren tillbaka till klientprogrammet.

  3. Identitetsprovidern/auktoriseringsservern erhåller också slutanvändarmedgivande och ger klientprogrammet behörighet att komma åt den skyddade resursen. Auktorisering tillhandahålls i en åtkomsttoken som också skickas tillbaka till klientprogrammet.

  4. Åtkomsttoken är kopplad till efterföljande begäranden som görs till den skyddade resursservern från klientprogrammet.

  5. Identitetsprovidern/auktoriseringsservern verifierar åtkomsttoken. Om begäran om skyddade resurser har slutförts och ett svar skickas tillbaka till klientprogrammet.

Mer information finns i Autentisering och auktorisering.

Autentiserings- och auktoriseringsstandarder

Dessa är de mest välkända och vanligaste autentiserings- och auktoriseringsstandarderna:

OAuth 2.0

OAuth är ett protokoll för identitetshantering med öppen standard som ger säker åtkomst för webbplatser, mobilappar och Sakernas Internet och andra enheter. Den använder token som krypteras under överföring och eliminerar behovet av att dela autentiseringsuppgifter. OAuth 2.0, den senaste versionen av OAuth, är ett populärt ramverk som används av stora sociala medieplattformar och konsumenttjänster, från Facebook och LinkedIn till Google, PayPal och Netflix. Läs mer om OAuth 2.0-protokollet.

OpenID Connect (OIDC)

Med lanseringen av OpenID Connect (som använder kryptering med offentlig nyckel) blev OpenID ett allmänt antaget autentiseringslager för OAuth. Precis som SAML används OpenID Connect (OIDC) ofta för enkel inloggning (SSO), men OIDC använder REST/JSON i stället för XML. OIDC har utformats för att fungera med både interna appar och mobilappar med hjälp av REST/JSON-protokoll. Det primära användningsfallet för SAML är dock webbaserade appar. Läs mer om OpenID Connect-protokollet.

JSON-webbtoken (JWTs)

JWT:er är en öppen standard som definierar ett kompakt och självständigt sätt att på ett säkert sätt överföra information mellan parter som ett JSON-objekt. JWT:er kan verifieras och vara betrodda eftersom de är digitalt signerade. De kan användas för att skicka identiteten för autentiserade användare mellan identitetsprovidern och tjänsten som begär autentiseringen. De kan också autentiseras och krypteras. Mer information finns i JSON-webbtoken.

Saml (Security Assertion Markup Language)

SAML är en öppen standard som används för att utbyta autentiserings- och auktoriseringsinformation mellan i det här fallet en IAM-lösning och ett annat program. Den här metoden använder XML för att överföra data och är vanligtvis den metod som används av identitets- och åtkomsthanteringsplattformar för att ge användarna möjlighet att logga in på program som har integrerats med IAM-lösningar. Mer information finns i SAML-protokollet.

System for Cross-Domain Identity Management (SCIM)

SCIM-etableringen har skapats för att förenkla processen med att hantera användaridentiteter och gör det möjligt för organisationer att effektivt arbeta i molnet och enkelt lägga till eller ta bort användare, dra nytta av budgetar, minska risken och effektivisera arbetsflöden. SCIM underlättar också kommunikationen mellan molnbaserade program. Mer information finns i Utveckla och planera etablering för en SCIM-slutpunkt.

Web Services Federation (WS-Fed)

WS-Fed har utvecklats av Microsoft och används i stor utsträckning i sina program. Den här standarden definierar hur säkerhetstoken kan transporteras mellan olika entiteter för att utbyta identitets- och auktoriseringsinformation. Mer information finns i Federationsprotokoll för Web Services.

Nästa steg

Mer information finns i: