مدیریت هویت و دسترسی (IAM) چیست؟

مدیریت هویت و دسترسی (IAM) ، مجموعه ای از سیاست ها برای نحوه ایجاد دسترسی به کاربران می باشد . مدیریت هویت و دسترسی همینطور راهی برای تشخیص اینکه کاربر کیست و حیطه اختیارات کاربر تا کجاست می باشد. IAM همچنین مدیریت هویت (IdM) نامیده می شود.

Identity and Access Management :IAM

Identity Management :IdM

مدیران فناوری اطلاعات ، با استفاده از چارچوب IAM می‌توانند دسترسی کاربر به اطلاعات ضروری را برای کارمندان، پیمانکاران، شرکا و سایر افراد تنظیم کنند.

به عبارت فنی تر، IAM وسیله ای برای مدیریت مجموعه معینی از هویت دیجیتالی کاربران و امتیازات مرتبط با هر هویت است. در یک سازمان، IAM ممکن است یک محصول واحد باشد، یا ممکن است ترکیبی از فرآیندها، محصولات نرم افزاری، سرویس های ابری و سخت افزاری باشد که به مدیران امکان مشاهده و کنترل داده های سازمانی را می دهد که کاربران توانند به آنها دسترسی داشته باشند.

کل هویت یک شخص را نمی توان در رایانه بارگذاری و ذخیره کرد. بنابراین تعریف «هویت» در یک زمینه محاسباتی به معنای مجموعه خاصی از ویژگی ها است. این ویژگیها می توانند به راحتی اندازه گیری و به صورت دیجیتالی ثبت شوند. برای مثال کارت شناسایی یا پاسپورت را در نظر بگیرید: همه واقعیت‌های مربوط به یک شخص در کارت شناسایی ثبت نمی‌شود، اما دارای ویژگی‌های کافی برای تشخیص هویت فرد می باشد .

برای تأیید هویت توسط یک سیستم کامپیوتری نیز ، ویژگیهایی تعریف شده ارزیابی می‌ شود. اگر مطابقت داشته باشند، هویت کاربر تایید می شود. این ویژگی ها به عنوان «عوامل احراز هویت» نیز شناخته می شوند، زیرا به احراز هویت کاربر کمک می کنند.

سه فاکتور پر کاربرد احراز هویت عبارتند از:

• آنچه کاربر می داند .
• آنچه کاربر دارد .
• آنچه که کاربر است .

آنچه کاربر می داند:

این فاکتور بخشی از اطلاعاتی که فقط کاربر باید داشته باشد، مانند ترکیب نام کاربری و رمز عبور می شود.

کاربر با وارد کردن ایمیل و رمز عبوری که فقط خودش می‌داند وارد سیستم می‌شود. اگر شخص دیگری با وارد کردن آدرس ایمیل این کاربر سعی در جعل هویت او داشته باشد، بدون دانستن  رمز عبور موفق نخواهند شد.

آنچه کاربر دارد:

این عامل به در اختیار داشتن یک توکن فیزیکی است که برای کاربران مجاز صادر می شود. ابتدایی ترین مثال این فاکتور احراز هویت، استفاده از کلید خانه برای ورود به خانه است. فرض بر این است که تنها کسی که صاحب خانه است، اجاره می‌دهد یا اجازه ورود به خانه را دارد، کلید خواهد داشت.

در یک زمینه محاسباتی، شی فیزیکی می تواند یک جا کلیدی، یک دستگاه USB یا حتی یک گوشی هوشمند باشد. فرض کنید که یک سازمان می‌خواست با بررسی دو عامل احراز هویت به جای یکی، مطمئن شود که همه کاربران واقعاً همان کسانی هستند که می‌گویند. اکنون، کاربر به جای اینکه رمز عبور مخفی خود را وارد کند ، باید به سیستم ایمیل نشان دهد که یک شی دارد که هیچ کس دیگری ندارد. برای مثال کاربر تنها فردی در جهان است که تلفن هوشمند شخصی خود را در اختیار دارد، بنابراین سیستم ایمیل برای او یک کد یکبار مصرف پیامک می‌کند و این کاربر این کد را تایپ می‌کند تا نشان دهد که تلفن را در اختیار دارد.

• مدیریت دسترسی ممتاز یا PAM چیست ؟

آنچه کاربر است:

این فاکتور به ویژگی فیزیکی بدن فرد اشاره دارد. یک مثال رایج از این عامل احراز هویت در عمل Face ID است، ویژگی ارائه شده توسط بسیاری از تلفن های هوشمند مدرن. اسکن اثر انگشت نمونه دیگری است. روش های کمتر رایج مورد استفاده توسط برخی سازمان های با امنیت بالا شامل اسکن شبکیه چشم و آزمایش خون است.

تصور کنید یک سازمان با وادار کردن کاربران به تأیید سه عامل به جای دو عامل، امنیت را بیشتر تشدید کند (این نادر است). اکنون کاربر باید رمز عبور خود را وارد گوشی هوشمند خود نماید و اثر انگشت خود را اسکن کند تا سیستم ایمیل تأیید کند که او واقعا همان کاربر است.

به طور خلاصه:

در دنیای واقعی، هویت فرد ترکیبی پیچیده از ویژگی‌های شخصی، تاریخ، مکان و سایر عوامل است. در دنیای دیجیتال، هویت کاربر از برخی یا همه سه عامل احراز هویت تشکیل شده است که به صورت دیجیتالی در یک پایگاه داده هویت ذخیره می شود. برای جلوگیری از جعل هویت کاربران واقعی توسط فریبکاران، سیستم‌های رایانه‌ای هویت کاربر را در پایگاه داده هویت بررسی می‌کنند.

“دسترسی” به داده هایی اشاره دارد که کاربر می تواند ببیند و چه اقداماتی می تواند پس از ورود به سیستم انجام دهد. برفرض در یک سازمان هر کاربر اجازه دسترسی فقط به ایمیل های خاصی را دارد که برای او تعریف شده اند.

به عبارت دیگر، تایید هویت یک کاربر، به این معنی نیست که او باید بتوانند به هر چیزی که می خواهد در یک سیستم یا یک شبکه دسترسی داشته باشد. به عنوان مثال، یک کارمند سطح پایین در یک شرکت باید بتواند به حساب ایمیل شرکت خود دسترسی داشته باشد، اما نباید بتواند به سوابق حقوق و دستمزد یا اطلاعات محرمانه منابع انسانی دسترسی داشته باشد.

• . «شرکت فنی-مهندسی نوآوران افراتک هوشمند» ، این ابزارهای امنیت سرویس ایمیل ذیل را تامین و پشتیبانی می‌نماید.

مدیریت دسترسی فرآیند کنترل و ردیابی دسترسی است. هر کاربر در یک سیستم بر اساس نیازهای فردی خود دارای امتیازات متفاوتی در آن سیستم خواهد بود. یک حسابدار در واقع نیاز به دسترسی و ویرایش سوابق حقوق و دستمزد دارد، بنابراین وقتی هویت خود را تأیید کرد، باید بتواند آن سوابق را مشاهده و به روز کند و همچنین به حساب ایمیل خود دسترسی داشته باشد.

در رایانش ابری، داده ها از راه دور ذخیره می شوند و از طریق اینترنت قابل دسترسی هستند. از آنجایی که کاربران می‌توانند تقریباً از هر مکان و هر دستگاهی به اینترنت متصل شوند، اکثر سرویس‌های ابری دستگاه‌ها و مکان‌یابی را تشخیص می‌دهند. کاربران دیگر نیازی به حضور در دفتر یا دستگاه متعلق به شرکت برای دسترسی به ابر ندارند.

در نتیجه، هویت به جای محیط شبکه به مهم‌ترین نقطه کنترل دسترسی تبدیل می‌شود . هویت یک کاربر، نه دستگاه یا مکان او، تعیین می‌کند که به چه داده‌های ابری می‌تواند دسترسی داشته باشد و آیا اصلاً می‌تواند دسترسی داشته باشند.

برای درک اینکه چرا هویت بسیار مهم است، در اینجا یک مثال آورده شده است. فرض کنید یک مجرم سایبری می خواهد به فایل های حساس در مرکز داده شرکتی یک شرکت دسترسی پیدا کند. قبل از توسعه استفاده از رایانش ابری، مجرم سایبری باید از فایروال شرکتی که از شبکه داخلی محافظت می‌کند عبور می کرد و یا با نفوذ به ساختمان یا رشوه دادن به یک کارمند داخلی، به طور فیزیکی به سرور دسترسی پیدا می کرد. هدف اصلی مجرم عبور از محیط شبکه بود.

• کنترل دسترسی به شبکه (NAC) چیست؟

اما ، با افزایش به کارگیری محاسبات ابری، فایل های حساس در یک سرور ابری راه دور ذخیره می شوند. از آنجایی که کارمندان شرکت باید به فایل ها دسترسی داشته باشند، این کار را با ورود از طریق مرورگر یا یک برنامه انجام می دهند. اگر یک مجرم سایبری بخواهد به فایل‌ها دسترسی داشته باشد، اکنون تنها چیزی که نیاز دارد اعتبار ورود کارمندان (مانند نام کاربری و رمز عبور) و اتصال به اینترنت است. مجرم نیازی به عبور از محیط شبکه ندارد.

IAM به جلوگیری از حملات مبتنی بر هویت و نقض داده‌ها که از افزایش امتیازات ناشی می‌شوند (زمانی که یک کاربر غیرمجاز دسترسی بیش از حد دارد) کمک می‌کند. بنابراین، سیستم‌های IAM برای محاسبات ابری و برای مدیریت تیم‌های راه دور ضروری هستند.

محیط شبکه به لبه های یک شبکه داخلی اشاره دارد. یک مرز مجازی که شبکه داخلی ایمن مدیریت شده را از اینترنت ناامن و کنترل نشده جدا می کند. همه رایانه‌های موجود در یک دفتر، به‌علاوه دستگاه‌های متصل مانند چاپگرهای اداری، در این محدوده قرار دارند. اما یک سرور از راه دور در یک مرکز داده در سراسر جهان اینطور نیست.

ارائه دهنده هویت (IdP) چیست؟

ارائه دهنده هویت (IdP) محصول یا خدماتی است که به مدیریت هویت کمک می کند. یک IdP اغلب فرآیند ورود واقعی را انجام می دهد. ارائه دهندگان ثبت نام واحد (SSO) در این دسته قرار می گیرند. IdP ها می توانند بخشی از چارچوب IAM باشند، اما معمولاً به مدیریت دسترسی کاربر کمکی نمی کنند.

هویت به عنوان یک سرویس (IDaaS) چیست؟

Identity-as-a-service (IDaaS) یک سرویس ابری است که هویت را تأیید می کند. این یک ارائه SaaS از یک تولیدکننده ابری است، راهی برای برون سپاری جزئی مدیریت هویت. در برخی موارد، IDaaS و IdP اساساً قابل تعویض هستند . اما در موارد دیگر، فروشنده IDaaS علاوه بر تأیید هویت و مدیریت، قابلیت‌های بیشتری را ارائه می‌دهد. بسته به قابلیت های ارائه شده توسط فروشنده IDaaS، IDaaS می تواند بخشی از یک چارچوب IAM باشد یا می تواند کل سیستم IAM باشد.