web-dev-qa-db-ja.com

大企業でのアクセス権管理

数十/数百のアプリケーションを持つ大企業がユーザーのアクセス権をどのように処理しているのかと思います。私が見た限りでは、それは終わらない悪夢であり、悪い結果を出すにはフルタイムのリソースを必要とします。

IAMソリューションの具体的な例を探しているわけではありませんが、より一般的には、役割とアクセスの定義から、システムでの特権の実装、変更、および確認まで、それを行うためのさまざまなオプションは何ですか?.

また、allへのコネクタを備えた自家製のソリューションは、現実の世界で使用されているアプリケーションですか?

3
ack__

大企業は、インフラストラクチャチーム(通常は認証を管理するのと同じチーム)が率いる集中型イニシアチブを通過します。アクセス権管理が正しく機能し、適切に拡張されるようにするために、多くの人が、XACMLや以前の仕様で前進したものなどの標準アーキテクチャーを利用します。

このアーキテクチャは、次の概念を定義します。

  • アプリの保護を担当するポリシー実施ポイント(PEP)。これらには、Webアクセス管理ゲートウェイ、APIゲートウェイなどがあります。
  • 許可要求を処理し、許可決定を生成する中央ポリシー決定ポイント(PDP)
  • 許可ポリシーの定義と管理に使用される中央ポリシー管理ポイント(PAP)。

詳細については、RBAC、特にABACに関するNISTレポートを参照することをお勧めします。

また、最近、Cloud Identity Summitで外部化された承認管理に関するプレゼンテーションを行いました。スライドをダウンロードできます ここ

HTH、デビッド。

2
David Brossard