Kimlik və Giriş İdarəetmə (IAM) və Kimlik Təminatçısına (IdP) Baxış

Kimlik və Erişim İdarəetmə, düzgün şəxslərin lazımlı səbəblərə görə doğru zamanda lazımi qaynaqlardan istifadə etmələrini təmin edən təhlükəsizlik intizamıdır.

Bu yazıda Kimlik və Giriş İdarəetmə ilə əlaqəli əsas mövzulara ümumi baxışı əhatə edəcəyik.



Kimlik nədir

Bir şəxs bir mənbəyə daxil olmağa çalışarkən, istifadəçinin istifadəçinin iddia etdiyi şəxs olduğuna əmin olmalıyıq.


Kimlik, hər bir fərdi istifadəçiyə müəyyən edilə bilməsi üçün özünəməxsus bir şəxsiyyət vermə prosesidir.

Tətbiqlər və sistemlər istifadəçinin bir mənbəyə giriş əldə edib-etməyəcəyini təyin etmək üçün identifikasiyadan istifadə edir.


Kimlik idarəsi prosesi, şəxsiyyətlərin giriş səviyyələrindən narahat olmayaraq yaradılması, idarə olunması və silinməsini əhatə edir.



Doğrulama nədir

Doğrulama bir şəxsiyyəti sübut etmə müddətidir. Bunun üçün istifadəçi giriş əldə etmək üçün etimadnaməsini identifikasiya müəssisəsinə təqdim etməlidir.

Doğrulama tez-tez AuthN adlanır.

Eyniləşdirmə bir istifadəçi bir şəxsiyyət (məsələn, bir istifadəçi adı ilə) elan etdikdə baş verir. İdentifikasiyası istifadəçilər şəxsiyyətlərini sübut etdikdə baş verir.

Bir neçə fərqli identifikasiya forması var:


Çox faktorlu Doğrulama (MFA)

Ümumiyyətlə, identifikasiya üçün istifadə edilə bilən üç ümumi amil var:

  • Bildiyiniz bir şey (məsələn, parol)
  • Əlinizdə olan bir şey (məsələn, ağıllı kart)
  • Olduğunuz bir şey (məsələn, barmaq izi və ya digər biometrik metod)

Çox faktorlu identifikasiya bu metodlardan 2 və ya daha çoxunu istifadə edir.

Çox faktorlu identifikasiyanın məqsədi identifikasiya prosesinə başqa bir qoruma qatının əlavə edilməsidir.

Tək Giriş (SSO)

Single Sign-On (SSO) bir istifadəçiyə bir sistemə daxil olmağa və onunla əlaqəli bütün digər sistemlərə giriş əldə etməyə imkan verən bir xüsusiyyətdir.


SSO-ya bir nümunə Google-a daxil olduqdan sonra giriş məlumatlarınızı yenidən təqdim etmədən gmail, Google Docs, Google Sheets-ə daxil ola bilərsiniz.

Federasiya

Federasiya sadəcə birdən çox domen arasında SSO-ya icazə verir. Google və Facebook ən böyük Federasiya təminatçılarından biridir.

Bu, istifadəçilərimizin bu provayderlərlə mövcud olan etimadnamələrini istifadə edərək sistemlərimizdə doğrulamasına imkan verir.

Nişanlar

Nişanlar hardware və ya proqram əsaslı ola bilər və 'sahib olduğunuz bir şey' ətrafında bir doğrulama mexanizmi təmin edə bilər.


Donanım ayələr, identifikasiyanı təmin edən bir kart oxuyucusu vasitəsilə kompüterinizə qoşulmaq üçün istifadə edə biləcəyiniz “ağıllı kartlar” ola bilər.

Proqram əlamətləri ümumiyyətlə istənilən cihazda quraşdırıla bilər (məsələn, mobil telefon) və birdəfəlik keçid kodu yaratmaq üçün istifadə olunur.



İcazə

Avtorizasiya, hansı bir istifadəçinin bir sistemdə hansı mənbələrə giriş əldə etdiyini müəyyənləşdirmə müddətidir.

İstifadəçilərə bir sistem daxilində xüsusi qaynaqlara giriş verilir və ya verilir. Bu giriş ümumiyyətlə istifadəçinin roluna əsaslanır.


Bir istifadəçi təsdiq edildikdən sonra təyin edilmiş mənbələrə daxil olmaq üçün səlahiyyətlidirlər.

Əlaqəli:



Niyə İAM-a ehtiyacımız var?

Bir sıra səbəblərdən IAM-a ehtiyacımız var:

Birincisi, sistemlərimizi qorumaq üçün IAM-a ehtiyacımız var. Yalnız kimsənin şəxsiyyətini sübut etmək məcburiyyətində qalmadan şəxsi və ya məxfi məlumatlarımıza girməsini istəmirik.

İkincisi, yalnız səlahiyyətli şəxslərin onlara həvalə edilmiş mənbələrə daxil ola biləcəyini təmin etməliyik.

Hesabatlılıq üçün IAM-a ehtiyacımız var. Bir hərəkət həyata keçirilirsə, bu hərəkəti kimin həyata keçirdiyini bilməliyik. Bir şəxsiyyətə təyin edilmiş sistem qeydlərinə baxa bilərik. IAM olmadan, kimin hansı hərəkəti həyata keçirdiyini bilmək üçün bir yolumuz yoxdur.



Şəxsiyyət Təminatından (IdP) istifadə

Geliştiricilərin istifadəçi identifikasiyasını tələb edən tətbiqetmələr qurduqları ilk günlərdə müəyyənləşdirmək üçün tətbiq daxilində bir istifadəçi mağazası yaratmalı idilər. Bunun üzərinə, inkişaf etdiricilər müəyyən bir doğrulama metodu və rolları və hüquqları mühərriki yaratmalı idi.

Hər yeni tətbiq üçün bu quraşdırma tələb olunurdu. Bununla bağlı problemlər, doğrulama metodunun dəyişdirilməsi lazım olduqda, inkişaf etdiricilərin yeni tələblərə cavab vermək üçün bütün tətbiqləri dəyişdirməli olması idi.

Yerli bir doğrulama mexanizmi istifadəçilər, inkişaf etdiricilər və idarəçilər üçün ağrılıdır:

  • İstifadəçilər hər bir tətbiqə daxil olmaq üçün istifadəçi adı və şifrə daxil etməlidirlər, yəni SSO qabiliyyəti yoxdur
  • Tez-tez zəif parolların istifadəsi və ya parolların təkrar istifadəsi ilə nəticələnə bilər
  • Geliştiricilər başqa bir xidməti idarə etməlidirlər
  • İstifadəçiləri idarə etmək üçün mərkəzləşdirilmiş yer yoxdur

Şəxsiyyət Təminatçısı (IdP) istifadə edərək bu problemləri həll edir.

İddiaya əsaslanan giriş modeli

Müasir Kimlik və Giriş İdarəetmə mexanizmi iddia əsaslı giriş modelindən istifadə edir.

İddiaya əsaslanan girişdə, inkişaf etdiricilər tətbiqdəki kimlik doğrulama məntiqini, qəbul edə bilən daha sadə bir məntiqlə əvəz edirlər iddia .

TO Etibar et tətbiqi ilə bir doğrulama mənbəyi və bu halda bir şəxsiyyət təminatçısı və ya İdP arasında qurulur.

Ərizə, İdP-dən göndərilən iddianı məmnuniyyətlə qəbul edəcəkdir.

Bundan əlavə, tətbiqetmə heç bir parolla işləmək məcburiyyətində deyil, çünki istifadəçilər heç vaxt birbaşa tətbiqdə təsdiq etmirlər. Bunun əvəzinə istifadəçilər iddia və ya tətbiqə göndərilən giriş işarəsi yaradan şəxsiyyət provayderində təsdiq edirlər.

Şəxsiyyət Təminatından istifadə etmək aşağıdakı mənanı verir

  • Yaradıcılar güclü identifikasiya metodları yaratmalı deyillər; nə də istifadəçilərin parollarını qorumalı deyillər
  • Doğrulama metodunda bir dəyişiklik lazımdırsa, yalnız şəxsiyyət təminatçında dəyişdiririk. Tətbiq dəyişdirilməmiş qalır
  • İstifadəçilər xoşbəxtdirlər - bir dəfə şəxsiyyət təminatçında təsdiqlənə və digər verilən tətbiqetmələrə, yəni (SSO) problemsiz şəkildə daxil ola bilərlər.
  • İdarəçilər də xoşbəxtdirlər - bir istifadəçi şirkətdən ayrılarsa, administrator şəxsiyyət təminatçısındakı istifadəçini söndürə və dərhal bütün girişi ləğv edə bilər.


Xülasə

Id

Kimlik, hər bir fərdi istifadəçiyə müəyyən edilə bilməsi üçün özünəməxsus bir şəxsiyyət vermə prosesidir.

Doğrulama və Avtorizasiya

AuthN

  • Kim olduğunuzu sübut edən hərəkət
  • Tez-tez AuthN adlanır
  • AuthN-in ümumi üsulları:

    • Forma əsaslı identifikasiya (istifadəçi adı və şifrə)

    • Çox Faktorlu Doğrulama (MFA)

    • Nişanlar

AuthZ

  • Kiməsə giriş hüququ verən hərəkət
  • Tez-tez AuthZ olaraq adlandırılır
  • AuthZ nümunələri

    • İstifadəçi obyektiniz bir qrupun üzvüdür. Qrup, xüsusi imtiyazlara sahib bir qovluğa sahibdir. Qovluqdakı fayllarla qarşılıqlı əlaqə qurma səlahiyyətiniz var.

İdP

  • İstifadəçiləri idarə etmək üçün mərkəzləşdirilmiş bir yer, identifikasiya və təsdiq
  • Daha etibarlı, istifadəçi və parol idarəçiliyində sənaye standartlarını tətbiq edir
  • SSO təmin edir
  • Daha asan giriş idarəetməsi və ləğvi