مدیریت هویت و دسترسی (IAM) چیست؟

بوسیله تحریریه سپنتا به روز رسانی شده در 27 شهریور 1402 0

مدیریت هویت و دسترسی (IAM) یا( IdAM) روشی ست برای تشخیص اینکه کاربر چه کسی است و مجاز به انجام چه کاری است. IAM مانند نگهبان درب یک کنسرت است و لیستی از افراد مجاز ، غیر مجاز و افراد دارای امکان دسترسی به منطقه VIP را دارد. IAM را مدیریت هویت (IdM) نیز می نامند.

به عبارت فنی تر ، IAM وسیله ای برای مدیریت مجموعه معینی از هویت دیجیتالی کاربران و امتیازات مربوط به هر هویت است. این یک مفهوم کلی است که تعدادی از محصولات مختلف را شامل می شود که همه این عملکرد اصلی را انجام می دهند. در یک سازمان ، IAM ممکن است یک محصول واحد باشد، یا ممکن است ترکیبی از فرآیندها ، محصولات نرم افزاری ، خدمات ابری و سخت افزاری باشد که به مدیران امکان مشاهده و کنترل داده های سازمانی را می دهد که کاربران جداگانه می توانند به آنها دسترسی داشته باشند. IAM محصولی برای امنیت ابر و شبکه می باشد.

هویت در زمینه محاسبات چیست؟

کل هویت یک شخص قابل بارگذاری و ذخیره در رایانه نیست، بنابراین “هویت” در یک زمینه‌ی محاسباتی به معنای مجموعه خاصی از خصوصیات است که به راحتی و به صورت دیجیتالی قابل اندازه گیری و ضبط است. به یک کارت شناسایی یا گذرنامه فکر کنید: هر واقعیتی در مورد شخص در کارت شناسایی او ثبت نمی‌شود، اما دارای مشخصات شخصی کافی است که می‌توان هویت فرد را به سرعت با کارت شناسایی مطابقت داد.
برای تأیید هویت، یک سیستم رایانه‌ای کاربر را از نظر خصوصیاتی که مخصوص اوست ارزیابی می‌کند. در صورت مطابقت، هویت کاربر تأیید می‌شود. این ویژگی‌ها به عنوان “عوامل احراز هویت” نیز شناخته می‌شوند، زیرا به تأیید اعتبار کاربر همان گونه که او ادعا دارد کمک می‌کنند.
سه عامل احراز هویت که به طور گسترده مورد استفاده قرار می گیرند:

چیزی که کاربر می‌داند
چیزی که کاربر دارد
چیزی که کاربر است

چیزی که کاربر می داند

این فاکتور بخشی از اطلاعاتی است که فقط یک کاربر باید داشته باشد، مانند نام کاربری و رمز عبور. تصور کنید که جان (مثلاً) می‌خواهد ایمیل کار خود را از خانه بررسی کند. برای این کار، ابتدا باید با شناسایی هویت خود به حساب ایمیل خود وارد شود، زیرا اگر شخصی که جان نبود به ایمیل جان دسترسی پیدا می‌کرد، داده‌های شرکت به خطر می افتاد. جان با وارد کردن ایمیل خود، john@company.com و رمز عبوری که فقط او می‌داند وارد سیستم می‌شود – به عنوان مثال “۵jt * 2) f12؟ y”. احتمالاً هیچ کس دیگری به جز جان این رمز را نمی‌داند، بنابراین سیستم ایمیل جان را می‌شناسد و به او اجازه می‌دهد به حساب ایمیل خود دسترسی پیدا کند. اگر شخص دیگری با وارد کردن آدرس ایمیل او به عنوان “john@company.com” سعی در جعل هویت جان داشته باشد، بدون دانستن اینکه “۵jt * 2) f12؟ y” را به عنوان گذرواژه تایپ کند، موفق نخواهد شد.

چیزی که کاربر در اختیار دارد

این عامل به داشتن یک توکن فیزیکی اشاره دارد که برای کاربران مجاز صادر می‌شود. ابتدایی‌ترین مثال برای این فاکتور احراز هویت استفاده از کلید خانه برای ورود فیزیکی به خانه است. فرض این است که فقط شخصی که صاحب خانه است، آن را اجاره کرده یا مانند آن، به خانه راه پیدا می‌کند، دارای یک کلید است.
در زمینه محاسبات، جسم فیزیکی می‌تواند یک fob key، یک دستگاه USB یا حتی یک تلفن هوشمند باشد. فرض کنید که سازمان جان با بررسی دو فاکتور احراز هویت به جای یک عامل، می‌خواست مطمئن شود که همه کاربران واقعاً همان چیزی هستند که گفته‌اند. حال، جان به جای اینکه فقط رمز ورود مخفی خود را وارد کند – فاکتوری که کاربر آن را می‌داند – باید به سیستم ایمیل نشان دهد کهشی دیگری را در اختیار دارد که شخص دیگری در اختیار ندارد. جان تنها شخصی در جهان است که تلفن هوشمند شخصی‌اش را در اختیار دارد، بنابراین سیستم ایمیل برای او یک کد یکبار ارسال می‌فرستد و جان برای نشان دادن در اختیار داشتن تلفن، کد را تایپ می‌کند.

چیزی که کاربر است

این مربوط به ویژگی فیزیکی بدن فرد است. یک نمونه معمول از این فاکتور احراز هویت، Face ID است، ویژگی ارائه شده توسط بسیاری از تلفن‌های هوشمند مدرن. اسکن اثر انگشت مثال دیگری است. روش‌های کمتر متداول استفاده شده توسط برخی از سازمان‌های با امنیت بالا شامل اسکن شبکیه و آزمایش خون است.
تصور کنید که سازمان جان تصمیم می‌گیرد تا با تأیید کاربران به جای دو عامل، با سه عامل امنیت را افزایش دهد (این امر نادر است). اکنون قبل از اینکه سیستم ایمیل تأیید کند که او واقعاً جان است، باید رمز ورود خود را وارد کند، مالکیت تلفن هوشمند خود را تأیید کند و اثر انگشت خود را اسکن کند.

به طور خلاصه: در دنیای واقعی ، هویت فرد ترکیبی پیچیده از خصوصیات شخصی ، تاریخ ، مکان و سایر عوامل است. در دنیای دیجیتال ، هویت کاربر از برخی یا از هر سه عامل احراز هویت تشکیل شده است که به صورت دیجیتالی در یک پایگاه داده هویت ذخیره می شود. برای جلوگیری از جعل هویت کاربران واقعی ، سیستم های رایانه ای هویت کاربر را در برابر پایگاه داده هویت بررسی می کنند.

تعریفی از مدیریت هویت و دسترسی (IAM)

“دسترسی” به اطلاعاتی که کاربر می‌تواند ببیند و فعالیت‌هایی که می‌تواند به محض ورود به سیستم انجام دهد اشاره دارد. وقتی جان وارد ایمیل خود شد، می‌تواند همه ایمیل‌های ارسال شده و دریافت شده را مشاهده کند. با این حال، او نباید قادر به دیدن ایمیل‌های ارسالی و دریافت شده توسط همکارش، تریسی باشد.
به عبارت دیگر، فقط به این دلیل که هویت کاربر تأیید می‌شود، به این معنی نیست که آنها باید بتوانند به هر آنچه که می‌خواهند در یک سیستم یا شبکه دسترسی داشته باشند. به عنوان مثال، یک کارمند سطح پایین در یک شرکت باید بتواند به حساب ایمیل شرکت خود دسترسی پیدا کند، اما او نمی‌تواند به سوابق حقوق و دستمزد یا اطلاعات محرمانه منابع انسانی دسترسی داشته باشند.
مدیریت دسترسی فرآیند کنترل و ردیابی دسترسی است. هر کاربر درون یک سیستم بر اساس نیازهای فردی خود دارای امتیازات مختلفی در آن سیستم خواهد بود. یک حسابدار واقعاً نیاز به دسترسی و ویرایش سوابق حقوق و دستمزد دارد، بنابراین پس از تأیید هویت خود، باید بتواند آن سوابق را مشاهده و به روزرسانی کند و همچنین به حساب ایمیل خود دسترسی پیدا کند.

چرا مدیریت هویت و دسترسی (IAM) برای رایانش ابری بسیار مهم است؟

در رایانش ابری، داده‌ها از راه دور ذخیره می‌شوند و از طریق اینترنت قابل دسترسی هستند. از آنجا که کاربران تقریباً از هر مکان و هر دستگاهی می‌توانند به اینترنت متصل شوند، بیشتر سرویس‌های ابری مستقل از دستگاه و مکان هستند. دیگر کاربران برای دسترسی به فضای ابری نیازی به حضور در دفتر یا دستگاه متعلق به شرکت ندارند. و در حقیقت، دورکاری رایج‌تر می‌شوند.
در نتیجه، هویت مهم‌ترین نقطه کنترل دسترسی می‌شود، نه محیط شبکه. هویت کاربر، نه دستگاه یا مکان آنها، تعیین می‌کند به چه داده‌های ابری می‌توانند دسترسی پیدا کنند و آیا اصلاً می‌توانند دسترسی داشته باشند یا خیر.

برای درک اهمیت هویت مثالی می زنیم. فرض کنید یک مجرم اینترنتی می خواهد به پرونده های حساس در مرکز داده یک شرکت دسترسی پیدا کند. در روزهای قبل از اینکه رایانش ابری به طور گسترده مورد استفاده قرار بگیرد، مجرم اینترنتی مجبور بود از طریق فایروال از شبکه داخلی یا با ورود به ساختمان یا رشوه دادن به یک کارمند داخلی ، به سرور دسترسی فیزیکی داشته باشد. هدف اصلی مجرم عبور از محیط شبکه است.

با این حال، با استفاده از رایانش ابری، پرونده‌های حساس در یک سرور ابری از راه دور ذخیره می‌شوند. از آنجا که کارمندان این شرکت نیاز به دسترسی به پرونده‌ها دارند، این کار را با ورود به سیستم از طریق مرورگر یا برنامه انجام می‌دهند. اکنون اگر یک مجرم سایبری بخواهد به پرونده‌ها دسترسی پیدا کند، تنها چیزی که نیاز دارد اطلاعات ورود به سیستم کارمندان (مانند نام کاربری و رمز عبور) و اتصال به اینترنت است. مجرم نیازی به عبور از محیط شبکه ندارد. IAM کمک می‌کند تا از حملات مبتنی بر هویت و نقض داده‌ها که ناشی از تشدید امتیازات است (زمانی که کاربر غیر مجاز دسترسی بیش از حد دارد) جلوگیری شود. بنابراین، سیستم‌های IAM برای محاسبات ابری و مدیریت تیم‌های از راه دور ضروری است.
محیط شبکه به لبه‌های یک شبکه داخلی اشاره دارد. این یک مرز مجازی است که شبکه داخلی مدیریت شده ایمن را از اینترنت کنترل نشده و بدون امنیت جدا می‌کند. همه رایانه‌های یک دفتر، به علاوه دستگاه‌های متصل مانند چاپگرهای اداری، در این محیط قرار دارند، اما یک سرور از راه دور در یک مرکز داده در سراسر جهان چنین نیست.

مدیریت هویت و دسترسی (IAM) کجای معماری ابری قرار می گیرد؟

IAM غالباً یک سرویس ابری است که کاربران برای دسترسی به بقیه زیرساخت‌های ابری سازمان باید از طریق آن عبور کنند. همچنین می‌تواند در محل سازمان در شبکه داخلی مستقر شود. سرانجام، برخی از فروشندگان ابر عمومی ممکن است مدیریت هویت و دسترسی (IAM) را در دسته‌ی سایر خدمات خود قرار دهند.
مشاغل با استفاده از معماری ابر multicloud یا ترکیبی ممکن است در عوض از یک فروشنده جداگانه برای IAM استفاده کنند. جدا کردن IAM از سایر خدمات ابری عمومی یا خصوصی انعطاف پذیری بیشتری به آنها می‌دهد: در صورت تعویض فروشندگان ابر، آنها هنوز می‌توانند هویت خود را حفظ کرده و به پایگاه داده خود دسترسی پیدا کنند.

ارائه دهنده هویت (IdP) چیست؟

ارائه دهنده هویت (IdP) محصول یا خدماتی است که به مدیریت هویت کمک می‌کند. IdP اغلب مراحل واقعی ورود را کنترل می‌کند. ارائه دهنده‌های Single sign-on (SSO) در این گروه قرار می‌گیرند. IdP ها می‌توانند بخشی از چارچوب IAM باشند، اما معمولاً به مدیریت دسترسی کاربر کمک نمی‌کنند.

Identity-as-a-Service)IDaaS) چیست؟

Identity-as-a-Service (IDaaS) یک سرویس ابری است که هویت را تأیید می‌کند. این یک پیشنهاد SaaS از یک فروشنده ابر است، روشی برای برون سپاری بخشی از مدیریت هویت. در برخی موارد، IDaaS و IdP اساساً قابل تعویض هستند – اما در موارد دیگر، فروشنده IDaaS قابلیت‌های اضافی علاوه بر تأیید و مدیریت هویت را ارائه می‌دهد. بسته به قابلیت‌های ارائه شده توسط فروشنده IDaaS، IDaaS می‌تواند بخشی از یک چارچوب IAM باشد، یا می‌تواند کل سیستم IAM باشد.