讨论授权
授权涵盖标识可以访问的内容,以及在获得访问权限可以执行的操作。 标识授权可提供:
- 分配权利的方法,从而可以提高安全性并减少管理
- 管理策略控制的能力
- 通过对通用方法进行标准化来简化强制实施
授权便是向已验证标识授予访问权限,即有权访问哪些内容。 跟踪和强制实施该访问权限和使用。 通过授权可专注于:
| 授权概念 | 说明和用法 |
|---|---|
| 权利类型 | 权利侧重于是否向标识授予了(“有权”)对特定资源的访问权限。 因此,使用许多不同类型对权利进行处理。 权利的分配可以在应用程序级别通过组集中进行,并通过基于角色的访问控制或属性 (ABAC) 定义,也可以使用基于策略 (PBAC) 的方法集中应用。 |
| 访问策略 | 访问策略侧重于一组应用程序、数据以及哪些用户和组可以执行活动。 将其视为有关完成工作的规则集。 专注于所需的最低访问权限。 |
| 强制 | 强制实施功能侧重于组织如何处理授权活动的强制实施。 在大多数情况下,组织在应用程序层处理强制实施。 这意味着强制实施由应用程序本身中的 API 完成。 某些形式的强制实施包括使用反向代理(例如 UAG)来外部化授权强制实施。 当前趋势是使用外部策略源(如 XACML)来确定标识如何与资源交互。 |
什么是授权?
授权(有时简写为 AuthZ)用于设置权限,这些权限用于评估对资源或功能的访问权限。 相比而言,身份验证(有时简写为 AuthN)侧重于证明某实体(如用户或服务)确实是其所称的身份。 授权可包括指定实体能够访问的功能(或资源)。 或者,侧重于实体可以访问的数据。 最后是它们可以对这些数据执行的操作。 提供访问控制的坚实定义。
常见授权方法类型:
- 访问控制列表 (ACL) - 具有或没有资源或功能访问权限的特定实体的显式列表。 产品/服务可对资源进行精细控制,但通常难以与大型用户和资源组一起维护。
- 基于角色的访问控制 (RBAC) - 强制实施授权的最常用方法。 角色经定义后,可描述实体可执行的活动类型。 向角色而非单个实体授予访问权限。 然后,管理员可再将角色分配给不同的实体,从而控制哪些实体有权访问哪些资源和功能。
- 基于属性的访问控制 (ABAC) - 规则会应用于实体的属性、所访问的资源和当前环境,以确定是否允许访问某些资源或功能。 例如,可能只允许拥有管理员身份的用户在工作日上午 9 点至下午 5 点期间访问使用元数据标记“工作时间仅限管理员”标识的文件。 在这种情况下,通过检查用户的属性(状态为管理员)、资源属性(文件上的元数据标记)以及环境属性(当前时间)来确定其是否具有访问权限。
- 基于策略的访问控制 (PBAC) - 管理用户对一个或多个系统的访问权限的策略,其中用户的业务角色与策略相结合,以确定用户拥有的访问权限。
身份验证上下文
Microsoft Entra ID 中仍处于预览状态的新功能。 身份验证上下文可用于进一步保护应用程序中的数据和操作。 这些应用程序可以是你自己的自定义应用程序、自定义业务线 (LOB) 应用程序、SharePoint 等应用程序或受 Microsoft Defender for Cloud Apps 保护的应用程序。 例如,组织可以在 SharePoint 网站中保留午餐菜单或秘制烧烤酱食谱等文件。 每个人都可以访问午餐菜单网站。 但是,需要有权访问机密 BBQ 调味酱食谱站点的用户才能从托管设备进行连接。 你甚至可以强制他们同意特定的使用条款。