Anteckning
Åtkomst till den här sidan kräver auktorisering. Du kan prova att logga in eller ändra kataloger.
Åtkomst till den här sidan kräver auktorisering. Du kan prova att ändra kataloger.
Den här artikeln beskriver de grundläggande begreppen för identitets- och åtkomsthantering (IAM) som hjälper dig att skydda resurser effektivt.
Vad är identitets- och åtkomsthantering
Identitets- och åtkomsthantering säkerställer att rätt personer, datorer och programvarukomponenter får åtkomst till rätt resurser vid rätt tidpunkt. För det första bevisar personen, datorn eller programvarukomponenten att de är vem eller vad de påstår sig vara. Sedan beviljas eller nekas personen, datorn eller programvarukomponenten åtkomst till vissa resurser.
Vad IAM gör
IAM-system tillhandahåller vanligtvis följande kärnfunktioner:
- Identitetshantering: Processen att skapa, lagra och hantera identitetsinformation. Identitetsprovidrar (IdP) är programvarulösningar som används för att spåra och hantera användaridentiteter samt de behörigheter och åtkomstnivåer som är associerade med dessa identiteter.
- Identitetsfederation: Tillåt att användare som redan har lösenord någon annanstans (till exempel i ditt företagsnätverk eller med en Internet- eller social identitetsprovider) får åtkomst till systemet.
- Etablering och avetablering av användare: Skapa och hantera användarkonton, inklusive att ange vilka användare som kan komma åt vilka resurser och tilldela behörigheter och åtkomstnivåer.
- Autentisering av användare: Bekräfta att en användare, dator eller programvarukomponent är vem eller vad de påstår sig vara.
- Auktorisering av användare: Säkerställer att en användare beviljas den exakta nivån och typen av åtkomst till ett verktyg som de har rätt till.
- Åtkomstkontroll: Processen för att avgöra vem eller vad som har åtkomst till vilka resurser. Den här processen omfattar att definiera användarroller och behörigheter samt konfigurera autentiserings- och auktoriseringsmekanismer. Åtkomstkontroller reglerar åtkomsten till system och data.
- Rapporter och övervakning: Generera rapporter om plattformsåtgärder (till exempel inloggningstid, system som används och typ av autentisering) för att säkerställa efterlevnad och bedöma säkerhetsrisker.
Identitet
En digital identitet är en samling unika identifierare eller attribut som representerar en person, programvarukomponent, dator, tillgång eller resurs i ett system. En identifierare kan vara:
- En e-postadress
- Inloggningsuppgifter (användarnamn/lösenord)
- Ett bankkontonummer
- Ett myndighets utfärdat ID
- En MAC-adress eller IP-adress
Identiteter används för att autentisera och auktorisera åtkomst till resurser, aktivera kommunikation, underlätta transaktioner och tjäna andra syften.
Identiteter kategoriseras i tre typer:
- Mänskliga identiteter representerar människor, inklusive anställda (interna och frontlinjeanställda) och externa användare (kunder, konsulter, leverantörer och partners).
- Arbetsbelastningsidentiteter representerar programvaruarbetsbelastningar som ett program, en tjänst, ett skript eller en container.
- Enhetsidentiteter representerar enheter, inklusive stationära datorer, mobiltelefoner, IoT-sensorer och IoT-hanterade enheter. De skiljer sig från mänskliga identiteter.
Autentisering
Autentisering utmanar en person, programvarukomponent eller maskinvaruenhet för autentiseringsuppgifter för att verifiera deras identitet eller bevisa att de är vem eller vad de påstår sig vara. Autentisering kräver vanligtvis autentiseringsuppgifter som användarnamn och lösenord, fingeravtryck, certifikat eller engångslösenord. Autentiseringen förkortas ibland till AuthN.
Multifaktorautentisering (MFA) är en säkerhetsåtgärd som kräver att användarna tillhandahåller mer än ett bevis för att verifiera sin identitet. Exempel är:
- Något de vet, till exempel ett lösenord.
- Något de har, som en bricka.
- Något de är, som ett biometriskt (fingeravtryck eller ansikte).
Med enkel inloggning (SSO) kan användarna autentisera sin identitet en gång och sedan tyst autentisera sig senare när de kommer åt olika resurser som förlitar sig på samma identitet. Efter autentiseringen fungerar IAM-systemet som källa till identitetssanning för andra resurser som är tillgängliga för användaren. Det tar bort behovet av att logga in på flera separata målsystem.
Auktorisering
Auktorisering verifierar att användaren, datorn eller programvarukomponenten beviljas åtkomst till vissa resurser. Auktorisering förkortas ibland till AuthZ.
Autentisering kontra auktorisering
Termerna autentisering och auktorisering används ibland utbytbart eftersom de ofta verkar vara en enda upplevelse för användarna. De är faktiskt två separata processer:
- Autentisering bevisar identiteten för en användare, dator eller programvarukomponent.
- Auktorisering beviljar eller nekar användaren, datorn eller programvarukomponenten åtkomst till vissa resurser.
Här är en snabb översikt över autentisering och auktorisering:
| Autentisering | Auktorisering |
|---|---|
| Kan ses som en gatekeeper som endast tillåter åtkomst till de entiteter som tillhandahåller giltiga autentiseringsuppgifter. | Kan ses som en vakt, vilket säkerställer att endast de entiteter med rätt behörighet kan komma in i vissa områden. |
| Verifierar om en användare, dator eller programvara är vem eller vad de påstår sig vara. | Avgör om användaren, datorn eller programvaran får åtkomst till en viss resurs. |
| Utmanar användaren, datorn eller programvaran för verifierbara autentiseringsuppgifter (till exempel lösenord, biometriska identifierare eller certifikat). | Avgör vilken åtkomstnivå en användare, dator eller programvara har. |
| Klar före auktorisering. | Klar efter lyckad autentisering. |
| Information överförs i en ID-token. | Information överförs i en åtkomsttoken. |
| Använder ofta OpenID Connect (OIDC) (som bygger på OAuth 2.0-protokollet) eller SAML-protokoll. | Använder ofta OAuth 2.0-protokollet. |
Mer detaljerad information finns i Autentisering kontra auktorisering.
Exempel
Anta att du vill tillbringa natten på ett hotell. Du kan se autentisering och auktorisering som säkerhetssystem för hotellbyggnaden. Användare är personer som vill bo på hotellet, resurser är de rum eller områden som människor vill använda. Hotellpersonalen är en annan typ av användare.
Om du bor på hotellet går du först till receptionen för att starta "autentiseringsprocessen". Du visar ett ID-kort och kreditkort och receptionisten matchar ditt ID mot onlinereservationen. När receptionisten har verifierat vem du är ger receptionisten dig behörighet att komma åt rummet du är tilldelad till. Du får ett nyckelkort och kan gå nu till ditt rum.
Dörrarna till hotellrummen och andra områden har nyckelkortssensorer. Att svepa nyckelkortet framför en sensor är "auktoriseringsprocessen". Med nyckelkortet kan du bara öppna dörrarna till rum som du har åtkomst till, till exempel ditt hotellrum och hotellets träningsrum. Om du sveper ditt nyckelkort för att komma in i något annat hotellrum nekas din åtkomst.
Enskilda behörigheter, till exempel åtkomst till träningsrummet och ett specifikt gästrum, samlas in i roller som kan beviljas enskilda användare. När du bor på hotellet tilldelas du rollen Hotell Patron. Personalen på hotellrummets service skulle tilldelas rollen Hotel Room Service. Denna roll ger tillgång till alla hotellrum (men bara mellan 11:00 och 16:00), tvättstugan och förrådsskåpen på varje våning.
Identitetsleverantör
En identitetsprovider skapar, underhåller och hanterar identitetsinformation. Den erbjuder autentiserings-, auktoriserings- och granskningstjänster.
Med modern autentisering tillhandahålls alla tjänster, inklusive autentiseringstjänster, av en central identitetsprovider. Identitetsprovidern lagrar och hanterar information som används för att autentisera användaren med servern centralt.
Med en central identitetsprovider kan organisationer upprätta autentiserings- och auktoriseringsprinciper, övervaka användarbeteende, identifiera misstänkta aktiviteter och minska skadliga attacker.
Microsoft Entra är ett exempel på en molnbaserad identitetsprovider. Andra exempel är X, Google, Amazon, LinkedIn och GitHub.
Nästa steg
- Lär dig mer om enkel inloggning (SSO).
- Lär dig mer om multifaktorautentisering (MFA).