Il ruolo rispetto all'autenticazione basata sull'identità? Qual è la differenza?

Naviga le tue risposte
6

Qual è la differenza tra autenticazione basata su ruoli e autenticazione basata sull'identità? Se un sistema utilizza SOLO un meccanismo di password per autenticare gli operatori (diverso PIN per Admin e Utente) si dice che usi l'autenticazione "identity" o "role-based"?

Il sistema richiede all'operatore una password (senza chiedere un nome utente), quindi, a seconda della password inserita (l'utente o l'amministratore) offrirà servizi diversi per i due ruoli, o nessun servizio se la password lo fa non corrisponde.

È vero che questo meccanismo può essere considerato come autenticazione dell'identità poiché IDENTITY può essere autenticato basandosi solo sulla conoscenza del PIN?

Inoltre, lo standard di sicurezza FIPS140 utilizza i termini "autenticazione basata sui ruoli" per il Livello 2 e "autenticazione basata sull'identità" per il Livello 3 ( link ). Il caso è presentato sopra il ruolo o l'autenticazione dell'identità per utilizzo nello standard FIPS140?

Quali sono alcuni esempi di schemi di autenticazione basati sui ruoli?

    
posta TonyTon 21.06.2013 - 19:50
fonte

4 risposte

5

I ruoli tendono ad essere associati alle identità, poiché non si autentica un ruolo, ma si autentica un'identità. Puoi autorizzare un'identità e puoi autorizzare un ruolo. Credo che potrebbe esserci qualche confusione qui.

Un ruolo è un'estensione dell'identità e di solito funziona in modo tale che (ad esempio) l'utente "Amministratore" abbia il ruolo di "Amministratore". Un utente con il ruolo "Amministratore" ha diversi diritti rispetto a un utente con il ruolo "Utente standard". Le identità generalmente hanno la capacità di avere più ruoli, quindi un utente amministrativo potrebbe avere il ruolo "Amministratore" e il ruolo "Utente standard" e quindi ha i diritti legati a entrambi i ruoli.

Le password sono generalmente legate alle identità, quindi stai autenticando la password con un'identità. Se non esiste un campo nome utente, il sistema di back-end che esegue la convalida della password probabilmente ha una ricerca che confronta tutte le password (o più probabilmente cerca il testo in chiaro della password) agli utenti associati.

Ciò presuppone che i ruoli vengano persino utilizzati. Se non vengono utilizzati ruoli, l'autorizzazione è semplicemente contro l'identità stessa; per esempio. se l'utente == 'amministratore' permette cose amministrative.

    
risposta data 21.06.2013 - 20:33
fonte
4

"Autenticazione basata sul ruolo" non è un termine del settore. Forse lo hai confuso con Controllo degli accessi basato sui ruoli , che è un metodo per controllare l'accesso alle funzioni in base agli utenti "ruolo", piuttosto che la sua identità.

Ad esempio, un sistema di blog potrebbe definire un ruolo "Autore" e un ruolo "Editor". Un "Autore" potrebbe avere il permesso di creare nuove storie, ma non di pubblicarle. Un redattore avrebbe il permesso di rivedere e modificare e pubblicare storie esistenti.

Ogni dato utente potrebbe "appartenere" a uno o più ruoli su base permanente, o potrebbe essere temporaneamente concesso l'autorizzazione del ruolo durante una determinata sessione.

Ma in modo critico, le autorizzazioni e le funzionalità non vengono mai assegnate direttamente a utenti , ma invece sono sempre assegnate a ruoli . Gli utenti ottengono questa autorizzazione indirettamente assumendo un determinato ruolo. Allo stesso modo, le credenziali di una persona sono associate con account utente e non il ruolo . In questo modo: 

+-------+    +------+    +------+    +------------+
| human |===>| User |===>| Role |===>| permission |
+-------+    +------+    +------+    +------------+

Il sistema che stai descrivendo, con identità e accesso determinati solo da password, non è un sistema basato sui ruoli, ma semplicemente un sistema basato sugli utenti senza nomi utente. Sembra un'idea particolarmente negativa.

    
risposta data 22.06.2013 - 09:57
fonte
2

Direi che c'è una confusione di termini qui.

Per la maggior parte questo non è tanto l'autenticazione quanto l'autorizzazione. Nello specifico, si dispone di uno scenario in cui le autorizzazioni sono basate sui ruoli (un set di autorizzazioni di admin rispetto a un set di autorizzazioni utente) protetto da un meccanismo di autenticazione challenge / response. Poiché la verifica è di una password condivisa, non stai autenticando le persone, quindi non esiste un concetto di identità o di appartenenza ai ruoli, almeno non un concetto implementato in questo particolare sistema.

    
risposta data 21.06.2013 - 20:26
fonte
0

L'autenticazione basata sull'identità è assolutamente un "termine".

Il contesto qui è con HSM (HW Security Modules) per le operazioni PKI. Nell'autenticazione basata sul ruolo si ha una "password" o una smartcard, ecc. Che autentica il ruolo (come crypto officer, utente, ecc.). L'autenticazione basata sull'identità fa un ulteriore passo avanti e assegna ruoli ai singoli utenti. Per esempio. puoi avere più utenti singoli che ottengono il ruolo di "utente". La maggior parte delle operazioni HSM basate sull'identità coinvolgono anche l'autenticazione M of N. per esempio. ci sono 5 utenti totali e 3 devono essere presenti per eseguire un'operazione. per esempio. M (3) di N (5).

    
risposta data 19.10.2017 - 15:29
fonte

Leggi altre domande sui tag

Perché un messaggio spam contiene un link a un indirizzo email? Controllo del codice sorgente e build finti