Авторизация

Функция указания прав доступа и привилегий к ресурсам

Авторизация или авторизация (см. различия в написании ) — функция указания прав/привилегий доступа к ресурсам, имеющая отношение к общей информационной безопасности и компьютерной безопасности , а также к контролю доступа в частности. ^[1] Более формально, «авторизовать» означает определить политику доступа. Например, сотрудники отдела кадров обычно имеют право доступа к записям сотрудников, и эта политика часто формализуется как правила контроля доступа в компьютерной системе. Во время работы система использует правила контроля доступа, чтобы решить, должны ли запросы доступа от ( аутентифицированных ) потребителей быть одобрены (разрешены) или отклонены (отклонены). ^{[2] Ресурсы включают отдельные файлы или} данные объекта , компьютерные программы , компьютерные устройства и функциональные возможности, предоставляемые компьютерными приложениями . Примерами потребителей являются пользователи компьютеров, компьютерное программное обеспечение и другое оборудование компьютера.

Обзор

Контроль доступа в компьютерных системах и сетях основан на политиках доступа. Процесс управления доступом можно разделить на следующие этапы: этап определения политики, на котором разрешается доступ, и этап применения политики, на котором запросы на доступ утверждаются или отклоняются. Авторизация — это функция этапа определения политики, который предшествует этапу применения политики, на котором запросы доступа утверждаются или отклоняются на основе ранее определенных полномочий.

Большинство современных многопользовательских операционных систем включают управление доступом на основе ролей (RBAC) и, следовательно, полагаются на авторизацию. Контроль доступа также использует аутентификацию для проверки личности потребителей. Когда потребитель пытается получить доступ к ресурсу, процесс управления доступом проверяет, разрешено ли потребителю использовать этот ресурс. Авторизация является обязанностью уполномоченного лица , например руководителя отдела, в домене приложения, но часто делегируется ответственному лицу, например системному администратору. Авторизации выражаются как политики доступа в некоторых типах «приложений определения политики», например, в форме списка управления доступом или возможности , или точки администрирования политики, например XACML . На основе « принципа наименьших привилегий »: потребителям должен быть разрешен доступ только к тому, что им необходимо для выполнения своей работы. Старые и однопользовательские операционные системы часто имели слабые или отсутствующие системы аутентификации и контроля доступа.

«Анонимные потребители» или «гости» — это потребители, которым не требуется аутентификация. Они часто имеют ограниченные полномочия. В распределенной системе часто желательно предоставить доступ, не требуя уникального идентификатора. Знакомые примеры токенов доступа включают ключи, сертификаты и билеты: они предоставляют доступ без подтверждения личности.

Доверенным потребителям часто разрешается неограниченный доступ к ресурсам в системе, но они должны быть проверены, чтобы система контроля доступа могла принять решение об утверждении доступа. «Частично доверенный», и гости часто имеют ограниченные права доступа, чтобы защитить ресурсы от неправомерного доступа и использования. Политика доступа в некоторых операционных системах по умолчанию предоставляет всем потребителям полный доступ ко всем ресурсам. Другие делают противоположное, настаивая на том, чтобы администратор явно разрешал потребителю использовать каждый ресурс.

Даже когда доступ контролируется посредством комбинации списков аутентификации и контроля доступа , проблемы сохранения данных авторизации не являются тривиальными и часто представляют собой такое же административное бремя, как и управление учетными данными аутентификации. Часто возникает необходимость изменить или удалить авторизацию пользователя: это делается путем изменения или удаления соответствующих правил доступа в системе. Использование атомарной авторизации является альтернативой управлению авторизацией на уровне системы, при котором доверенная третья сторона безопасно распространяет информацию об авторизации.

Связанные интерпретации

Публичная политика

В государственной политике авторизация является особенностью доверенных систем, используемой для обеспечения безопасности или социального контроля .

Банковское дело

В банковской сфере авторизация — это блокировка счета клиента при совершении покупки с использованием дебетовой или кредитной карты .

Издательский

В издательстве иногда публичные лекции и другие свободно доступные тексты публикуются без согласия автора . Это так называемые неавторизованные тексты. Примером может служить книга «Теория всего: происхождение и судьба Вселенной» 2002 года , которая была собрана на основе лекций Стивена Хокинга и опубликована без его разрешения в соответствии с законом об авторском праве. ^{[ нужна цитата ]}

Смотрите также

• Контроль доступа
• Удержание авторизации
• OSID авторизации
• Керберос (протокол)
• Многосторонняя авторизация
• OpenID Connect
• OpenID
• Удобство использования систем веб-аутентификации
• Вебфингер
• веб-идентификатор
• ХАКМЛ

Рекомендации

1. Фрейзер, Б. (1997), RFC 2196 - Справочник по безопасности сайтов , IETF
2. Йосанг, Аудун (2017), Последовательное определение авторизации , Материалы 13-го международного семинара по безопасности и доверительному управлению (STM 2017).