autorización vs federación vs derecho

Autorización es la política de acceso que indica a qué objetos o servicios protegidos tiene acceso un cliente.

La autenticación es la prueba de identidad que el cliente proporciona para validar su autorización.

La federación (generalmente la federación de identidades) hace que una identidad central en línea sea válida en varios servicios diferentes. Las cuentas de Google y Facebook Connect son sistemas de federación de identidades.

El derecho podría ser cualquier cosa IMO. Lo más cercano que recibo es que cuando tiene acceso autorizado a un servicio u objeto, tiene derecho como autorizado a ese servicio u objeto .

De esta manera, para obtener acceso a su cuenta de Security.StackExchange, puede autenticar con su ID de cuentas de Google y descubrir que (anteriormente) ha autorizado StackExchange para use sus credenciales de ID de Google en ese servicio. Además, cuando esté autenticado, encontrará que el usuario de su cuenta de Google está autorizado para acceder a StackExchange, y está acceso aprobado .

Un error clásico es que autorización es lo mismo que aprobación de acceso , aunque autorización se establece en la fase de registro (solo ocurre una vez), pero la aprobación de acceso se realiza cada vez, según la autorización del usuario autenticado, consultada en la política de acceso.

Los tres componentes principales de la seguridad son: confidencialidad, integridad, disponibilidad. Esta tríada es tan inviolable como el triángulo del fuego (calor, combustible, oxígeno).

Los conceptos sobre los que usted (@ Tri.Bao) está preguntando van a Confidencialidad y Disponibilidad.

Autentificación es simplemente el término para expresar el concepto, "Tú eres quien dices que eres". Es el primer paso para identificar que usted es el usuario que dice ser. Esto se aplica en el nivel primario mediante su contraseña de inicio de sesión.

Bien, entonces el sistema lo ha autenticado y ahora está pasando la puerta principal y enfrentando un montón de puertas cerradas. Para obtener acceso a través de esas puertas (que conducen a las aplicaciones o servicios que desea utilizar), debe obtener un permiso ( Autorización ) para hacerlo. Esto significa que alguien con autoridad, a menudo el propietario de la aplicación / servicio, así como su administrador, tienen que darle el "visto bueno" para que su cuenta se aprovisione con esos permisos. Estos permisos a menudo se adaptan en base a " necesidad de saber " o " privilegio mínimo ", de modo que se le otorguen permisos basados en a) lo que necesita ver, b ) lo que necesita usar, y / o c) lo que necesita revisar. Todas estas cosas se incluyen en " Autorización "

La "titularidad" se usa generalmente (pero no siempre) para describir la opción c) anterior, en el sentido de que tiene derecho para tener acceso completo al servidor / directorio / aplicación / servicio. El problema surge cuando una organización usa los términos indistintamente, pero esto es comprensible dado que el término "derecho" simplemente se acuñó de la nada y no se definió completamente. Los términos diferentes deben (y generalmente tienen) tener significados diferentes, a nivel granular.

Entonces, para muchos, el derecho y la autorización son exactamente lo mismo. ¡No hace daño preguntar!

Federado generalmente forma parte de un esquema de control de acceso basado en roles (RBAC) donde el usuario forma parte de un grupo autenticado con acceso autorizado al servidor / directorio / aplicación / servicio en Pregunta: los controles de acceso basados en la nube a menudo requieren Autorización multifactor (MFA) donde se requiere un token de seguridad PIN + además de su contraseña de inicio de sesión para obtener acceso. No voy a entrar en eso aquí, pero Wikipedia hace un trabajo bastante bueno de explicar MFA (también conocido a menudo como 2FA si solo la contraseña + PIN / token son los únicos dos criterios de autenticación / autorización).

Espero que esto ayude.

Tom Regner - CISSP, escritor técnico senior, operaciones en la nube