Авторизация — это функция указания прав/привилегий доступа к ресурсам, которая связана с общей информационной безопасностью и компьютерной безопасностью , и с контролем доступа в частности. [1] Говоря более формально, «авторизовать» означает определить политику доступа. Например, сотрудники отдела кадров обычно имеют право доступа к записям сотрудников, и эта политика часто оформляется в виде правил контроля доступа в компьютерной системе. Во время работы система использует правила управления доступом, чтобы решить, должны ли запросы доступа от ( аутентифицированных ) потребителей быть одобрены (предоставлены) или отклонены (отклонены). [2]Ресурсы включают отдельные файлы или данные элемента , компьютерные программы , компьютерные устройства и функциональные возможности, предоставляемые компьютерными приложениями . Примерами потребителей являются пользователи компьютеров, программное обеспечение и другое аппаратное обеспечение компьютера.
Контроль доступа в компьютерных системах и сетях зависит от политик доступа. Процесс управления доступом можно разделить на следующие этапы: этап определения политики, на котором доступ разрешается, и этап применения политики, на котором запросы на доступ одобряются или отклоняются. Авторизация — это функция фазы определения политики, которая предшествует фазе применения политики, когда запросы на доступ утверждаются или отклоняются на основе ранее определенных авторизаций.
Большинство современных многопользовательских операционных систем включают управление доступом на основе ролей (RBAC) и, таким образом, полагаются на авторизацию. Управление доступом также использует аутентификацию для проверки личности потребителей. Когда потребитель пытается получить доступ к ресурсу, процесс управления доступом проверяет, авторизован ли потребитель для использования этого ресурса. Ответственность за авторизацию несет уполномоченный орган , например руководитель отдела, в домене приложения, но часто она делегируется хранителю, например системному администратору. Авторизации выражаются в виде политик доступа в некоторых типах «приложений определения политик», например, в форме списка контроля доступа или возможности .или точку администрирования политики, например XACML . На основе « принципа наименьших привилегий »: потребители должны иметь доступ только к тому, что им нужно для выполнения своей работы. Старые и однопользовательские операционные системы часто имели слабые или отсутствующие системы аутентификации и контроля доступа.
«Анонимные потребители» или «гости» — это потребители, аутентификация которых не требуется. Они часто имеют ограниченную авторизацию. В распределенной системе часто желательно предоставлять доступ, не требуя уникальной идентификации. Знакомые примеры токенов доступа включают ключи, сертификаты и билеты: они предоставляют доступ без подтверждения личности.
Доверенным потребителям часто разрешается неограниченный доступ к ресурсам в системе, но они должны быть проверены, чтобы система управления доступом могла принять решение об утверждении доступа. «Частично доверенные» и гости часто имеют ограниченную авторизацию, чтобы защитить ресурсы от неправомерного доступа и использования. Политика доступа в некоторых операционных системах по умолчанию предоставляет всем потребителям полный доступ ко всем ресурсам. Другие делают наоборот, настаивая на том, чтобы администратор явно разрешал потребителю использовать каждый ресурс.
Даже когда доступ контролируется с помощью комбинации аутентификации и списков управления доступом , проблемы хранения данных авторизации нетривиальны и часто представляют собой такую же большую административную нагрузку, как и управление учетными данными аутентификации. Часто бывает необходимо изменить или удалить авторизацию пользователя: это делается путем изменения или удаления соответствующих правил доступа в системе. Использование атомарной авторизации является альтернативой управлению авторизацией для каждой системы, когда доверенная третья сторона безопасно распространяет информацию об авторизации.