Авторизация
Авторизация — процесс предоставления пользователю или группе пользователей определенных разрешений, прав доступа и привилегий в компьютерной системе.
Разница между авторизацией, аутентификацией и идентификацией
Авторизацию не следует путать с идентификацией и аутентификацией пользователя. Она происходит по завершении этих процессов.
Допустим, пользователь хочет получить доступ к определенному документу в корпоративном облаке. Сначала он вводит логин от своего аккаунта, и система проверяет, есть ли такой логин в ее базе данных. Это идентификация.
Если логин существует, система запросит у пользователя пароль, вычислит для него хеш и проверит, совпадает ли он с хешем в базе данных. Это аутентификация.
Если логин и пароль верные, система проверит, имеет ли этот пользователь право читать и изменять запрашиваемый документ, и в случае успеха предоставит ему доступ к файлу. Это авторизация.
Некоторые сервисы спрашивают логин и пароль одновременно, однако они все равно сначала идентифицируют пользователя, а потом, если он успешно прошел проверку, переходят к аутентификации. Для пользователя момент перехода от идентификации к аутентификации в этом случае незаметен.
Авторизация возможна и без идентификации (и аутентификации). Например, сервис может предусматривать, что пользователи, которые не ввели логин и пароль, по умолчанию получают какой-то набор прав — скажем, на чтение документов без возможности правки.
Виды авторизации
Существует несколько моделей авторизации. Три основные — ролевая, избирательная и мандатная.
- Ролевая модель. Администратор назначает пользователю одну или несколько ролей, а уже им выдает разрешения и привилегии. Эта модель применяется во многих прикладных программах и операционных системах. Например, все пользователи с ролью «Кассир» имеют доступ к кассовым операциям в бухгалтерской системе, а пользователи с ролью «Товаровед» — нет, зато у них есть доступ к складским операциям, при этом обе роли имеют доступ к общей ленте новостей.
- Избирательная модель. Права доступа к конкретному объекту выдают конкретному пользователю. При этом право определять уровень доступа имеет либо владелец конкретного объекта (например, его создатель), либо суперпользователь (по сути, владелец всех объектов в системе). Кроме того, пользователь, обладающий определенным уровнем доступа, может передавать назначенные ему права другим. Например, пользователь А, создав текстовый файл, может назначить пользователю Б права на чтение этого файла, а пользователю В — права на его чтение и изменение. При этом пользователи Б и В могут передать свои права пользователю Г. Избирательная модель применяется в некоторых операционных системах, например в семействах Windows NT (в том числе в Windows 10) и Unix. По этой же модели предоставляется доступ, скажем, к документам на диске Google.
- Мандатная модель. Администратор назначает каждому элементу системы определенный уровень конфиденциальности. Пользователи получают уровень доступа, определяющий, с какими объектами они могут работать. Обычно такая модель является иерархической, то есть высокий уровень доступа включает в себя права на работу и со всеми младшими уровнями. Мандатная модель авторизации применяется в системах, ориентированных на безопасность, и чаще всего она используется для организации доступа к гостайне и в силовых ведомствах. Например, в организации может быть пять уровней доступа. Пользователь, имеющий доступ к файлам 3-го уровня, может также открывать файлы 1-го и 2-го уровня, но не может работать с файлами 4-го и 5-го уровня.
Публикации на схожие темы
- Идентификация, аутентификация и авторизация — в чем разница?
- Береги ДНК смолоду!
- У мошенников тоже могут быть права
- Платформа WordPress подверглась масштабной брут-форс атаке
- Когда двойная защита бессильна
Авторизация и аутентификация: в чем заключается разница?
Сетевая безопасность сопряжена с такими процедурами как авторизация, идентификация, аутентификация и авторизация. Благодаря им обеспечивается безопасность личных данных пользователей. Несмотря на схожесть процессов при выполнении подобных процедур присутствуют существенные различия между ними. Также характерно использование всех процедур для повышения надежности проверки пользователя.
С идентификацией всё боле-менее понятно. Это представление пользователя, ввод идентификатора, или как ещё его называют: имя, логин, аккаунт, учётная запись.
Рассмотрим далее два понятия, между которыми наиболее часто возникает путаница и недопонимание – аутентификация и авторизация.
Что такое аутентификация?
Эта процедура связана с установлением подлинности личности пользователя, направлена на предотвращение проникновения в сеть посторонних лиц. Здесь задействованы две стороны: пользователь, предъявляющий доказательства, и система проверки, которая принимает или отвергает предъявленные аутентификаторы. В качестве факторов аутентификации применяются знание, владение и, специфические признаки, присущие конкретной личности. Например, пароль, токен, магнитная карта, отпечатки пальцев.
Для усиления защиты при прохождении аутентификации, чаще всегодовольно часто используются одноразовые пароли, которые высылаются на другие устройства, не связанные с единой операционной системой и инструментом проверки личности. В зависимости от сложности и уровня безопасности аутентификация подразделяется на подвиды:
- Однофакторная. Использует только один уровень защиты. Например, введение логина и пароля пользователя.
- Двухфакторная. Проверка подлинности пользователя осуществляется в два этапа., с помощью разного типа факторов, о которых писали выше. Например, Ссначала вводятся логин, пароль, а потом для подтверждения вводят дополнительный код, высланный на телефон или электронную почту. Т.е. фактор знания пароля используется с фактором владения устройством – телефоном.
- Многофакторная. Для проверки используют более двух уровней, более двух факторов. безопасности. Востребована больше всего в финансовой сфере, банкинге, крупных интернет-магазинов, мобильных приложений. Например, это наличие банковской карты, которая привязана к номеру телефона, имени пользователя и паролю.
Что такое авторизация?
Эта процедура связана с проверкой прав пользователя на доступ к информации. Процедура носит вторичный характер, производится после того, как пользователь прошел аутентификацию в системе. В качестве факторов подтверждения прав выступают разные компоненты исходя из уровня защиты данных. Чаще всего при авторизации используются три основные схемы:
- Ролевой доступ. В этом случае устанавливается перечень разрешенных действий с определенными информационными ресурсами, к которым получает доступ пользователь или группа пользователей. При таком подходе за основу берется должность пользователя или его принадлежность к определенному подразделению. Например, бухгалтер будет иметь доступ к финансовой и кадровой информации, сможет смотреть, и изменять информациюеё. Работник производственного отдела, будет иметь доступ к технической и инженерной информации, проводить определенные действия с ними.
- Мандатный доступ. В этом случае устанавливается градация информации на уровни согласно конфиденциальности, ценности данных. Соответственно, чтобы получить доступ к тому или иному уровню доступа нужно обладать подходящим для этого статусом, который устанавливается в системе. Такая модель авторизации наиболее характерна для госучреждений, работающих с государственной тайной и другими видами конфиденциальной информации. Ее принципиальным отличием от других моделей является тот факт, что пользователь не может никак изменить заданный уровень доступности информации.
- Избирательный доступ. Владелец информации сам устанавливает права доступа для пользователей к тем или иным ресурсам. Обычно используется матрица доступа, которая устанавливает разрешение или запрет на доступ при совпадении прав и объекта данных.
Авторизация проводится посредством программных средств, которые бывают как базовыми в составе операционной системы, так и в виде отдельных инструментов, интегрируемых в информационную систему. Схема проведения процедуры может быть реализована через единый сервер или отдельные рабочие станции.
Отличия авторизации и аутентификации
Для понимания разницы между этими двумя разными процедурами сравним порядок действий, их характер, активность пользователя.
Процедура, направленная на подтверждение истинности пользователя или его образа
Процедура, учитывающая присвоение, проверку прав пользователя на выполнение им определенных действий в отношении информационных активов
Зависима от данных, которые предоставляет пользователь
Никак не зависит от действий пользователя
Приводится в исполнение в рамках одной сессии, не требует повторения
Требуется к выполнению каждый раз, когда возникает необходимость что-то сделать в системе. Может повторяться неограниченное число раз, если не стоит запрет на число попыток
Авторизация и аутентификация одинаково важны для обеспечения сетевой безопасности. Обычно для повышения надежности защиты от несанкционированного доступа к информации и управления правами пользователей используют idmIdM/IGA-систему. Например, Solar inRights способена полностью автоматизировать процессы управления доступом к информационной системе, избавить от рутинной работы ИТ- и ИБ-подразделения и при этом создать высокий уровень контроля исполнения регламентов доступа в компании.