Question:
Terme générique pour «authentification» et «autorisation»?
smeeb
2016-01-07 17:33:26 UTC
view on stackexchange narkive permalink

L'Internet regorge de questions de type "authentification ou autorisation" . Je ne pose pas la question ici. Je me demande s'il existe un terme général qui englobe les deux.

J'ai vu l ' authentification appelée «gestion des identités» et autorisation appelée «contrôle d'accès».

Mais même AWS n'avait pas de bon terme pour les deux ensemble, donc il créé IAM.

Encore une fois, si l'authentification prouve qui (en tant que mandant) vous êtes, et que l'autorisation consiste à donner à ces principaux niveaux d'accès authentifiés, alors je cherche un terme de sécurité générique qui s'applique aux deux (par conséquent, déterminer qui peut faire quoi pour une ressource particulière). Cela existe-t-il?!

"Contrôle d'accès" couvre les deux dans mon expérience.
Et "Auth"?
Pouvez-vous nous donner le contexte dans lequel vous utiliseriez ce terme?
«Autorisé» n'inclut-il pas la signification de «Authentifié»?
re: `Auth` - c'est alors ambigu si vous voulez dire` Authentification`, `Autorisation` ou` les deux` sauf si vous utilisez toujours toujours les termes complets;re: "Authz n'inclut-il pas Authn?"- pas toujours, car par ex.Je peux «LIRE» une page StackOverflow («autorisé») même si je ne suis pas connecté (pas d'authentification).
Cinq réponses:
Ijaz Ahmad Khan
2016-01-07 18:49:08 UTC
view on stackexchange narkive permalink

Selon le guide d'étude CISSP, le contrôle d'accès comprend l'IAAA (identification, authentification, autorisation et responsabilité).

Donc, si vous ne vous souciez pas du reste, vous pouvez appeler Authentification et autorisation en tant que Contrôle d'accès .

Où:

Identification: User_Name

Authentification: User_Name + Password (en un facteur auth, cas simple)

Autorisation: Accès aux ressources une fois authentifié

Comptabilité: Suivi de qui a fait quoi

Toutes ces réponses sont excellentes et disent à peu près la même chose. Je marque cela comme la réponse «Acceptée» car elle cite à la fois une source crédible (CISSP) ** et ** fournit un terme unique (** Contrôle d'accès **) comme réponse.
À ne pas confondre avec l'IAAAA (International Association Against Acronym Abuse)
TheJulyPlot
2016-01-07 17:38:46 UTC
view on stackexchange narkive permalink

Je dirais que la chose la plus proche à laquelle je puisse penser est le cadre d'authentification, d'autorisation et de comptabilité, souvent abrégé en AAA.

Authentification, autorisation et comptabilité (AAA) est un terme pour un cadre permettant de contrôler intelligemment l'accès aux ressources informatiques, d'appliquer des politiques, de contrôler l'utilisation et de fournir les informations nécessaires à la facturation des services. Ces processus combinés sont considérés comme importants pour une gestion et une sécurité efficaces du réseau.

LvB
2016-01-07 17:41:26 UTC
view on stackexchange narkive permalink

Le seul terme qui me vient à l'esprit et qui régit les deux est «Gestion des accès». J'entends par là un système qui implémente l'authentification, l'autorisation et la comptabilité. (souvent appelé un cadre AAA)

Ces termes ne sont pas partagent vraiment un point commun jusqu'à ce que vous commenciez à mettre en œuvre un système qui en a besoin.

David Brossard
2016-08-17 21:41:41 UTC
view on stackexchange narkive permalink

La plupart des cabinets d’analystes appellent cet espace Identity & Access Management (IAM). C'est également le nom de l'espace que les vendeurs utilisent pour leurs produits. Il existe à côté d'IAM un autre espace appelé IAG ou Identity & Access Governance, qui concerne davantage le temps de révision, tandis que IAM concerne davantage la définition et l'exécution.

Enfin, Gartner & Kuppinger Cole utilise également EAM (Externalized Authorization Management) et DAM (Dynamic Authorization Management) pour les spécificités du contrôle d'accès.

TheJackal
2018-09-05 20:33:36 UTC
view on stackexchange narkive permalink

La réponse à votre question dépend du contexte dans lequel les termes sont utilisés. Au plus haut niveau d'abstraction, le terme général est Assurance de l'information où les 5 piliers sont:

  • Disponibilité
  • Intégrité
  • Authentification
  • Confidentialité
  • Non-répudiation

Pour être clair, authentification et autorisation sont un aspect de la sécurité de l'information . Ce qui vise à appliquer, avec un degré élevé de confiance, les piliers de l ' assurance de l'information en particulier la non-répudiation.

Donc, pour aller plus loin, les deux termes relèvent de l'assurance de l'information et par association , l'espace de sécurité de l'information. principalement dans:

  • Identity Management (IdM) ou
  • Identity and Access Management (IdAM)

IAM est le terme le plus courant surtout si vous travaillez dans le gouvernement ou dans de grandes entreprises où vous trouverez généralement plus de 10000 identités. Pour votre intérêt, consultez les dernières directives et directives du ministère de la Défense (États-Unis) et des centres nationaux de cybersécurité (Royaume-Uni) ici et ici respectivement.

Définitions et explications

La gestion des identités et des accès (IdAM) est un aspect de la sécurité des informations et englobe les technologies et les processus, y compris les deux termes de votre question.

Identité Gouvernance - est un processus dans l'IdAM. C'est la gestion des politiques qui régit:

  • le cycle de vie de bout en bout (création / changement / déplacement / fin de vie) des identités (humaines / Machine / Artificial) sur des systèmes hétérogènes.
  • la hiérarchie d'accès aux actifs organisationnels qui seront accordés aux identités établies (bien sûr en fonction de leur rôle et de leurs responsabilités envers l'entreprise).
  • respect des réglementations externes / internes telles que ISO 27001, GDPR, HIPAA.

Il y a d'autres fonctions mais ces 3 sont les plus importantes, je crois. Dans cette pratique, vous créez une identité telle que, par exemple, un administrateur de fréquence réseau, et vous déterminez les privilèges que cette identité doit avoir. Vous pouvez également aller jusqu'à déterminer quelles zones d'un bâtiment, quels ordinateurs, quelles imprimantes, quel appareil mobile cette identité peut utiliser, ou même verrouiller des groupes d'appareils à un type d'identité spécifique. Il s'agit en fait de la planification gérée de l'autorisation à associer à une identité. Vous trouverez vos analystes d’entreprise, architectes d’entreprise, spécialistes de la conformité, spécialistes de la sécurité de l’information et auditeurs des informations jouant à ce niveau du jeu.

Gestion des accès - Est-ce le analyse et réponse aux

  • violations des règles d'accès - quelle identité enfreint la politique d'accès qui lui a été attribuée?
  • les risques d'accès, en particulier le profilage et l'atténuation de ces risques - quelle est l'ampleur de cette violation et comment y répondons-nous? A-t-il besoin d'une analyse plus approfondie? Faut-il les cataloguer et les ajouter aux vecteurs d'attaque connus, etc.
  • Besoins de provisionnement en temps réel - L'accès est-il disponible? c'est-à-dire que l'accès aux actifs est-il opportun? Aucun bon accordant l'accès à un élément en retard de 5 jours.

Comme vous pouvez le voir, le contrôle d'accès est étroitement lié à la gouvernance car l'accès approprié (du point de vue de la mise en œuvre technique de l'assurance de l'information) est dérivé des politiques qui (plutôt qui auraient dû) avoir déjà été établies par l'autorité de gouvernance des identités au sein du Entreprise. Dans cette pratique, l'accent est mis sur la mise en œuvre technique de services d'authentification pour déterminer avec un degré élevé de confiance qu'une identité est celle qu'ils prétendent être et qu'ils se conforment aux impératifs des politiques définies. Vous trouverez vos spécialistes de la cybersécurité, vos analystes d'incidents et de réponse, des spécialistes d'infrastructure (réseau / stockage / base de données), des testeurs de stylos, des spécialistes des plates-formes, des spécialistes en logiciels et une IA analytique jouant à ce niveau.

Il est inapproprié de affichez l'autorisation et l'authentification de manière isolée, mais reconnaissez plutôt qu'il s'agit de termes largement utilisés dans les domaines de l'assurance et de la sécurité des informations.



Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...