身份和访问管理(IAM)的世界有自己的语言,随着新技术的出现和安全威胁的变化,它也在不断发展。
虽然“必须知道”的术语列表太长,无法在一个博客中涵盖,但在您评估哪种IAM解决方案最适合您的组织时,这里有一些可以纳入您的词汇表。
1.访问管理
用于确定哪些用户可以访问哪些资源(例如,文件、网络、应用程序、网页上的字段)的策略。目前使用的主要访问管理解决方案是用户访问列表、基于角色的访问控制(RBAC)、基于属性的访问控制和基于策略的访问控制。
2.访问治理
访问管理不仅包括设置策略,还包括增加可见性,以查看每个用户可以访问哪些资源,以确保访问权限实际上有效。此外,正如身份管理协会所解释的,访问治理关注的是“以一致、高效和有效的方式管理风险并确保合规性”
3.用户访问列表
UAL是指定哪些用户可以访问哪些资源(例如,文件、网络、应用程序、网页上的字段)的列表。需要每个资源的用户列表和/或每个用户的资源列表。
4.授权
对身份已被验证的用户访问资源(例如,文件、网络、应用程序、网页上的字段等)的权限。
5.认证
验证某人是他们自称的人。通常需要用户名和密码;可能需要生物特征或问题的正确答案。不授权访问任何资源,只验证身份。
6.属性
与确定访问权限相关的用户或用户环境的特征(例如,作业、位置、时间)。用于ABAC和PBAC。
7.RBAC(基于角色的访问控制)
授权解决方案,其中每个资源(例如,文件、网络、应用程序、网页上的字段)都有特定权限创建角色,并且用户与一个或多个角色相匹配。由于RBAC将用户群体划分为角色,并将所有访问权限仅基于这些角色,因此RBAC的授权被称为“粗粒度”,而不是ABAC和PBAC允许的“细粒度”访问控制。
8.ABAC(基于属性的访问控制)
授权解决方案,其中用户在公司中的地位只是决定其访问权限的一个因素;其他属性可以是用户位置和时间。ABAC解决方案通常使用布尔逻辑和XACML。由于ABAC支持基于多个因素做出决策,因此ABAC是一种“细粒度”的授权方法。
9.PBAC(基于策略的访问控制)
授权解决方案,其中角色和属性与逻辑相结合,以创建灵活的动态控制策略。与ABAC一样,它使用许多属性来确定访问权限,因此它还提供“细粒度”访问控制。PBAC被设计为支持各种访问设备,并且通常被认为是最灵活的授权解决方案。
10.细粒度授权
具有高度特异性的授权方法,其中访问权限可能因运行时的条件而异。例如,细粒度授权解决方案可能会授予在某个地区从事某个项目的销售人员在工作时间通过安全网络访问特定文件的权限,但在工作时间之后或通过不安全的WiFi访问。
11.XACML(可扩展访问控制标记语言)
用于定义细粒度、基于属性的访问控制策略的基于标准的语言。通常与ABAC解决方案一起使用,但也可以与RBAC一起使用。
12.OAUTH(开放授权)
开放标准,用于互联网用户授权一个网站或应用程序访问另一个网站上的信息,而无需传输第二个网站的密码。
13.角色爆炸
RBAC实现中的主要问题。当IAM解决方案管理许多相似但略有不同的角色时,会发生“角色爆炸”。例如,一家公司可以创建任意数量的角色,这些角色的访问权限仅对一个或两个文件夹不同。随着资源和角色数量的增加,维护时间和工作量将显著增加。
14.访问蔓延
用户在公司工作的时间越长,获得的权限就越多,因为他们在转换到新职位时不会失去以前的权限。例如,如果程序员成为一名销售人员而不必失去原有的权限,那么他们将获得新的权限。如果这是由于惯性而非设计造成的,则出现了“访问蔓延”。
15.EAM(外部授权管理)
针对企业系统的访问管理解决方案,它能够以更灵活的方式在整个企业中提供授权。鉴于IAM的复杂性,尤其是对于成长中的公司,难怪越来越多的商业领袖正在使用EAM为其公司创建授权解决方案。
16.零信任
将每个用户和每个访问请求视为潜在危险的网络安全框架。零信任解决方案使用信任引擎,根据存储的数据量化授予每个访问请求的风险。一个单独的策略引擎确定信任引擎返回的风险级别是否可接受,解决方案的执行组件执行该决定。
Tags
本文:https://architect.pub/fine-grained-authorization-and-other-key-iam-terms
