web-dev-qa-db-ja.com

役割とIDベースの認証?違いはなんですか?

ロールベースの認証とIDベースの認証の違いは何ですか?システムがオペレーターの認証にパスワードメカニズムのみを使用している場合(PIN))、「ID」または「役割ベース」の認証を使用すると言われていますか?

システムはオペレーターにパスワードの入力を求めます(ユーザー名を要求することはありません)。次に、入力されたパスワード(ユーザーまたは管理者)に応じて、2つの役割に異なるサービスを提供するか、パスワードが一致しない場合はサービスを提供しません。

IDENTITYはPINの知識だけに基づいて認証できるため、このメカニズムはID認証と見なすことができるのは本当ですか?

さらに、FIPS140セキュリティ標準では、レベル2には「ロールベースの認証」、レベル3には「IDベースの認証」という用語を使用しています( http://en.wikipedia.org/wiki/FIPS_14 )。上記のケースは、FIPS140標準での使用ごとのロールまたはID認証ですか?

ロールベースの認証スキームの例は何ですか?

6
TonyTon

ロールを認証するのではなく、IDを認証するため、ロールはIDに添付される傾向があります。 IDを許可し、役割を許可することができます。ここには混乱があるかもしれません。

ロールはIDの拡張であり、通常は(たとえば)ユーザー「Admin」がロール「Administrator」を持つように機能します。 「管理者」の役割を持つユーザーは、「標準ユーザー」の役割を持つユーザーとは異なる権限を持っています。 IDは通常、複数の役割を持つことができるため、管理ユーザーには「管理者」と「標準ユーザー」の役割があり、したがって両方の役割に関連付けられた権限があります。

パスワードは通常IDに関連付けられているため、IDに対してパスワードを認証します。ユーザー名フィールドがない場合、パスワード検証を実行するバックエンドシステムは、おそらくすべてのパスワードを、関連するユーザーと比較する(またはおそらくパスワードのプレーンテキストを検索する)ルックアップを持っています。

これは、ロールが使用されていることを前提としています。役割が使用されていない場合、承認は単にアイデンティティ自体に対するものです。例えばuser == 'administrator'の場合、管理を許可します。

5
Steve

「ロールベースの認証」は業界用語ではありません。 役割ベースのアクセス制御 と混同している可能性があります。これは、ユーザーのIDではなく、ユーザーの「役割」に基づいて機能へのアクセスを制御する方法です。

たとえば、ブログシステムでは、「作成者」ロールと「編集者」ロールを定義できます。 「作成者」は、新しいストーリーを作成することはできても、公開することはできない場合があります。編集者は、既存の記事を確認、変更、および公開する権限を持ちます。

特定のユーザーは、1つ以上のロールに永続的に「属している」か、特定のセッション中に一時的にロール承認を付与される場合があります。

ただし、重要なことに、アクセス許可と機能はusersに直接割り当てられることはなく、常にrolesに割り当てられます。ユーザーは、特定の役割を引き受けることにより、間接的にその権限を取得します。同様に、個人の認証情報はuser accountに関連付けられており、notthe役割。このような:

+-------+    +------+    +------+    +------------+
| human |===>| User |===>| Role |===>| permission |
+-------+    +------+    +------+    +------------+

説明しているシステムは、IDとアクセスのみがパスワードによって決定されるため、ロールベースのシステムではなく、単にユーザー名のないユーザーベースのシステムです。特に悪い考えのようです。

4
tylerl

ここでは用語の混乱があると思います。

ほとんどの場合、これは承認なので、それほど認証ではありません。具体的には、アクセス許可が役割ベース(管理者のアクセス許可セットとユーザーのアクセス許可セット)であり、チャレンジ/レスポンス認証メカニズムによって保護されているシナリオがあります。検証は共有パスワードであるため、個人を認証するわけではないので、アイデンティティやロールメンバーシップの概念はありません。少なくとも、この特定のシステムに実装されている概念はありません。

2
Xander

IDベースの認証は絶対に「用語」です。

ここでのコンテキストは、PKI操作用のHSM(HWセキュリティモジュール)です。ロールベースの認証では、ロールを認証する「パスワード」またはスマートカードなどがあります(暗号化担当者、ユーザーなど)。 IDベースの認証はさらに一歩進んで、個々のユーザーに役割を割り当てます。例えば。 「ユーザー」ロールを取得する複数の個別ユーザーを持つことができます。ほとんどのIDベースのHSM操作には、M of N認証も含まれます。例えば合計5人のユーザーがいて、操作を実行するには3人が存在する必要があります。例えばM(3) of N(5)。

0
Jason