討論授權
授權涵蓋身分識別可以存取的內容,以及一旦取得存取權時,允許其執行哪些動作。 身分識別授權提供:
- 指派權利的方法,允許增加安全性和較少的系統管理
- 管理原則控制的能力
- 將通用方法標準化來簡化強制執行
授權是關於授與已驗證身分識別的存取權,以及其應該有權存取的內容。 追蹤並強制執行該存取和使用方式。 使用授權時,您會專注於:
| 授權概念 | 描述與使用方式 |
|---|---|
| 權利類型 | 權利著重於身分識別是否已授與 (「授權」) 特定資源的存取權。 因此,權利是使用許多不同的類型來處理。 指派權利會發生在應用程式層、透過群組集中發生、透過角色型存取控制或屬性 (ABAC) 定義,或使用以原則為基礎的 (PBAC) 方法集中套用。 |
| 存取原則 | 存取原則著重於一組應用程式、資料,以及哪些使用者和群組可以執行活動。 請將其視為完成作業的一組規則。 著重於您所需的最低存取權。 |
| 實施 | 強制執行功能著重於組織如何處理強制執行授權活動。 在大部分情況下,組織會處理應用程式層的強制執行。 這表示應用程式本身內的 API 已完成強制執行。 某些形式的強制執行會包含使用反向 Proxy (例如 UAG) 來將授權強制執行外部化。 目前的趨勢是使用外部原則來源 (例如 XACML) 來確定身分識別與資源的互動方式。 |
何謂授權?
授權 (有時縮寫為 AuthZ) 是用來設定用於評估資源或功能存取權的權限。 相對而言,驗證 (有時縮寫為 AuthN) 著重於證明使用者或服務等實體確實如其所宣告。 授權可能包含指定允許實體存取的功能 (或資源)。 或者,其會著重於該實體可以存取的資料。 以及最後,他們可以使用該資料來執行的動作。 提供存取控制的實質定義。
常見的授權方法類型:
- 存取控制清單 (ACL) - 可存取或無法存取資源或功能的特定實體明確清單。 供應項目能精細控制資源,但通常在大量使用者和資源的情況下難以維持。
- 角色型存取控制 (RBAC) - 強制執行授權最常見的方法。 會定義角色以描述實體可能會執行的活動類型。 對角色而非對個別實體授與存取權。 然後,系統管理員可以將角色指派給不同的實體,以控制哪些角色可以存取哪些資源和功能。
- 屬性型存取控制 (ABAC) - 規則會套用至實體的屬性、所存取的資源以及目前的環境,以判斷是否允許存取某些資源或功能。 範例可能包括僅允許擔任經理的使用者在工作日上午 9:00 至下午 5:00 存取以「僅限經理在上班時間」中繼資料標籤識別的檔案。 在此案例中,需檢查使用者的屬性 (狀態為經理)、資源的屬性 (檔案上的中繼資料標籤) 以及環境屬性 (目前時間) 來決定存取權。
- 原則型存取控制 (PBAC) - 管理使用者存取一或多個系統的策略,其中使用者的業務角色會與原則結合,以決定使用者擁有的存取權。
驗證內容
Microsoft Entra ID 中的新功能,仍處於預覽狀態。 驗證內容可以用來進一步保護應用程式中的資料和動作。 這些應用程式可以是您自己的自訂應用程式、自訂的企業營運 (LOB) 應用程式、SharePoint 等應用程式,或 Microsoft Defender for Cloud Apps 所保護的應用程式。 例如,組織可能會將檔案 (例如午餐菜單或其 BBQ 秘製醬料配方) 保留在 SharePoint 網站。 每個人都能存取午餐菜單網站。 不過,能夠存取 BBQ 秘製醬料配方網站的使用者必須從受控裝置連線。 您甚至可以強制他們同意特定的使用規定。