L’autorisation est le processus de définition des droits / privilèges d’accès aux ressources, qui est connectée à la sécurité de l’information en général et à la sécurité informatique en particulier, ainsi qu’au contrôle d’accès. Définir une politique d’accès, «autoriser» est un terme plus formel. Le personnel des ressources humaines, par exemple, a souvent accès aux enregistrements des employés, et cette politique est fréquemment codifiée en tant que règles de contrôle d’accès dans un système informatique. Le système utilise des règles de contrôle d’accès pour déterminer si les demandes d’accès des clients sont ou refusées pendant l’exploitation. Les données, les programmes informatiques, l’équipement informatique et les capacités informatiques et les capacités sont tous des exemples de ressources. Les utilisateurs d’ordinateurs, les logiciels informatiques et autres matériels informatiques sont des exemples de clients.

Les politiques d’accès sont utilisées pour gérer l’accès aux systèmes informatiques et aux réseaux. Le processus de contrôle d’accès est séparé en deux phases: la définition de la politique et l’application des politiques. Dans la phase de définition de la politique, l’accès est accordé et dans la phase d’application des politiques, les demandes d’accès sont ou refusées. L’autorisation est une phase de définition de la politique, qui est avant la phase d’application des politiques, dans laquelle les demandes d’accès sont acceptées ou refusées en fonction des autorisations qui ont été spécifiées auparavant.

Le contrôle d’accès basé sur les rôles est utilisé dans la plupart des systèmes d’exploitation multi-utilisateurs, qui reposent sur l’autorisation. L’authentification est également utilisée dans le contrôle d’accès pour authentifier l’identité des clients. Lorsque A tente d’utiliser une ressource, le mécanisme de contrôle d’accès vérifie que le client est autorisé à le faire. Dans le cadre de la demande, l’autorisation est le devoir d’une autorité, comme un gestionnaire de département, bien qu’elle soit fréquemment attribuée à un gardien, comme un administrateur système. Dans certaines formes d’applications de définition de la politique, telles qu’une liste de contrôle d’accès ou une capacité, ou un point d’administration des politiques, tels que le XACML, les autorisations sont décrites comme des politiques d’accès. Les consommateurs ne devraient être autorisés qu’à accéder à ce dont ils ont besoin pour exécuter leur – selon le «Princique des moindres privilèges.

Les consommateurs qui ne sont pas nécessaires pour vérifier sont appelés «consommateurs anonymes» ou «guests.» Ils ont souvent peu d’autorité. Sur un système distribué, il est courant de vouloir fournir un accès sans les obliger à avoir une identité unique. Les jetons d’accès, tels que les certificats et les billets, fournissent un accès sans nécessiter une preuve d’identification.

Les consommateurs de confiance ont fréquemment accordé un accès sans entraves aux ressources système, mais ils doivent être validés avant que le système de contrôle d’accès approuve leur accès. Afin de protéger les ressources à partir d’un accès et d’une utilisation inappropriés, «de confiance en partie» et les clients auront souvent une autorisation restreinte. Certaines politiques d’accès par défaut de systèmes d’exploitation offrent à tous les utilisateurs l’accès à toutes les ressources. D’autres, de l’autre, exigent que vous soyez expressément autorisé à utiliser chaque ressource par l’administrateur.

Même lorsque l’accès est restreint à l’aide d’un mélange de listes d’authentification et de contrôle d’accès, la conservation des données d’autorisation est un coût administratif significatif qui l’emporte généralement sur la gestion des informations d’identification de connexion. La modification ou la suppression de l’autorisation d’un utilisateur est fréquemment requise, et cela est accompli en modifiant ou en supprimant les règles d’accès associées sur le système. L’autorisation atomique est une alternative à la gestion de l’autorisation par système, dans laquelle les informations d’autorisation sont distribuées en toute sécurité par un tiers de confiance.
Télécharger la galerie transparente des images PNG non autorisées