Sono vago tra i tre termini seguenti: autorizzazione, federazione, diritto (come affermato dal prodotto OpenAM: OpenAM fornisce software di autenticazione, autorizzazione, autorizzazione e federazione open source). Non riesco a distinguere quale è su cosa.
Qualcuno potrebbe indicarmi una semplice definizione di questi termini?
L'autorizzazione è la politica di accesso che indica a quali oggetti o servizi protetti ha accesso un client.
L'autenticazione è la prova dell'identità che il cliente fornisce per convalidare la sua autorizzazione.
La federazione (in genere la federazione delle identità) consiste nel rendere un'identità online centrale valida su diversi servizi diversi. Google Account e Facebook Connect sono sistemi di federazione delle identità.
Il diritto potrebbe essere qualsiasi IMO. La cosa più vicina che ottengo è che quando si è autorizzati ad accedere ad un servizio o ad un oggetto, si ha diritto come autorizzato a quel servizio o oggetto .
In questo modo, per accedere al tuo account Security.StackExchange, puoi autenticare con il tuo ID account Google e scoprire che hai (in precedenza) autorizzato StackExchange a utilizza le tue credenziali ID Google per quel servizio. Inoltre, una volta autenticato, scopri che l'utente di Google Account è autorizzato per accedere a StackExchange e hai accesso approvato .
Un classico malinteso è che autorizzazione è uguale a approvazione di accesso , sebbene autorizzazione sia stabilita nella fase di registrazione (si verifica solo una volta), ma l'approvazione di accesso viene eseguita ogni volta, in base all'autorizzazione dell'utente autenticato, cercata nella politica di accesso.
Ci sono le tre componenti principali della sicurezza: riservatezza, integrità, disponibilità. Questa triade è inviolata come il triangolo del fuoco (calore, carburante, ossigeno).
I concetti a cui tu (@ Tri.Bao) ti chiedi di andare su Riservatezza e disponibilità.
Authentication è solo il termine per esprimere il concetto, "Tu sei quello che dici di essere." È il primo passo per identificare che sei in realtà l'utente che rivendichi di essere. Questo è applicato a livello primario dalla tua password di accesso.
Ok, quindi il sistema ti ha autenticato e ora hai superato la porta principale e sei di fronte a una serie di porte chiuse. Per accedere a queste porte (che portano alle applicazioni o ai servizi che desideri utilizzare), devi ottenere l'autorizzazione ( Autorizzazione ) per farlo. Ciò significa che una persona autorizzata, spesso il proprietario dell'app / del servizio, nonché il tuo manager, devono darti l'ok per il provisioning del tuo account con tali autorizzazioni. Queste autorizzazioni sono spesso personalizzate in base a " bisogno di sapere " o " minimo privilegio ", in modo tale che le autorizzazioni siano basate su a) ciò che è necessario vedere, b ) ciò che è necessario utilizzare e / o c) ciò che è necessario rivedere. Tutte queste cose rientrano in " Autorizzazione ."
"Entitlement" è generalmente (ma non sempre) usato per descrivere l'opzione c) sopra, in quanto si ha diritto al pieno accesso al server / directory / applicazione / servizio. Il problema arriva quando un'organizzazione usa i termini in modo intercambiabile, ma ciò è comprensibile dato che il termine "diritto" è stato semplicemente coniato dal nulla e non completamente definito. Termini diversi dovrebbero (e generalmente hanno) significati diversi, a livello granulare.
Quindi, per molti, il diritto e l'autorizzazione sono esattamente gli stessi. Non fa male a chiedere!
Un utente " Federato fa generalmente parte di uno schema di controllo accessi basato sui ruoli (RBAC) in cui l'utente fa parte di un gruppo autenticato con accesso autorizzato al server / directory / applicazione / servizio in I controlli di accesso basati su cloud richiedono spesso l'autorizzazione a più fattori (MFA) in cui è necessario un token di sicurezza PIN + oltre alla password di accesso per accedere. Non ci andrò qui, ma Wikipedia fa un buon lavoro di spiegare l'MFA (anche noto come 2FA se solo la password + PIN / token sono gli unici due criteri di autenticazione / autorizzazione).
Spero che questo aiuti.
Tom Regner - CISSP, Sr. Technical Writer, Cloud Operations
Leggi altre domande sui tag theory authorization federation