承認vsフェデレーションvs資格
承認、フェデレーション、資格(OpenAM製品で述べられているように、OpenAMはオープンソースの認証、承認、資格、およびフェデレーションソフトウェアを提供します)という3つの用語の中では曖昧です。私はどちらが何であるかを区別することはできません。
誰か私にこれらの用語についての簡単な定義を教えてもらえますか?
承認は、クライアントがアクセスできる保護されたオブジェクトまたはサービスに対するアクセスポリシーです。
認証は、クライアントが承認を検証するために提供するIDの証明です。
フェデレーション(通常はIDフェデレーション)は、1つの中央オンラインIDを複数の異なるサービスで有効にすることです。 GoogleアカウントとFacebook ConnectはIDフェデレーションシステムです。
資格はIMOであれば何でもかまいません。最も近いのは、サービスまたはオブジェクトへのアクセスが承認されると、そのサービスまたはオブジェクトへのauthorizedの資格が与えられることです。
このようにして、Security.StackExchangeアカウントにアクセスするには、GoogleアカウントIDでauthenticateを実行して、(以前の)authorized Googleを使用するStackExchangeを見つけます。そのサービスでのID資格情報。また、認証されると、GoogleアカウントユーザーはStackExchangeにアクセスするためにauthorizedであり、あなたはapproved accessであることがわかります。
古典的な誤解は、authorizationはaccess authenticationと同じですが、 Authorizationは登録フェーズで確立されますが、アクセスです承認は、認証されたユーザーの承認に基づいて、アクセスポリシーで検索されるたびに行われます。
セキュリティには、機密性、整合性、可用性の3つの主要コンポーネントがあります。このトライアドは、ファイアトライアングル(熱、燃料、酸素)と同様に侵食されます。
あなた(@ Tri.Bao)が求めている概念は、機密性と可用性の両方に行きます。
Authenticationは、「あなたはあなたが言っているとおりの人です」という概念を表す単なる用語です。これは、あなたが実際にあなたがそうであると主張しているユーザーであることを識別するための最初のステップです。これは、ログインパスワードによってプライマリレベルで実施されます。
さて、システムがあなたを認証し、あなたは今正面玄関を通過し、たくさんの鍵のかかったドアに直面しています。これらのドア(使用するアプリケーションやサービスにつながる)からアクセスするには、アクセス許可(Authorization)が必要です。つまり、権限のある人物、多くの場合アプリ/サービスの所有者とマネージャーは、アカウントにこれらの権限がプロビジョニングされるように「許可」する必要があります。これらの権限は、「知る必要がある」または「最小の権限 "に基づいて、a)表示する必要があるもの、b)使用する必要があるもの、および/またはc)修正する必要があるものに基づいて権限が与えられます。これらはすべて「Authorization」に該当します。
「資格」は、一般に(常にではありませんが)上記のオプションc)を説明するために使用されます。つまり、サーバー/ディレクトリ/への完全アクセス権が付与されますアプリケーション/サービス。問題は、組織がこれらの用語を同じ意味で使用する場合に発生しますが、「資格」という用語は単純に定義されたものではなく、単に定義されたものではないため、理解できます。細かいレベルでは、用語ごとに意味が異なるはずです(一般的にそうです)。
したがって、多くの人にとって、資格と許可はまったく同じです。質問しても問題ありません。
"Federatedユーザーは、通常、役割ベースのアクセス制御(RBAC)スキーマの一部です。ユーザーは、問題のサーバー/ディレクトリ/アプリケーション/サービスへの承認済みアクセス権を持つ認証済みグループの一部です。クラウドベースのアクセス制御では、多要素認証(MFA)が必要になることがよくあります。アクセスするには、ログインパスワードに加えてPIN +セキュリティトークンが必要です。ここでは触れませんが、WikipediaはMFAを説明するのにかなり優れています(パスワード+ PIN /トークンのみが2つの認証/承認基準の場合、2FAとも呼ばれます)。
これがお役に立てば幸いです。
Tom Regner-CISSP、シニアテクニカルライター、クラウドオペレーション