Internet regorge de questions de type 'authentification vs autorisation' -. Je ne demande pas cela ici. Je me demande s'il existe un terme général qui englobe les deux.
J'ai vu l'authentification appelée 'gestion d'identité' et l'autorisation dénommé "contrôle d'accès".
Mais même AWS n'avait pas de bon terme pour les deux ensemble, donc il a créé IAM.
Encore une fois, si l'authentification prouve qui (en tant que principal) vous êtes, et l'autorisation consiste à donner à ce principal authentifié des niveaux d'accès, alors je cherche pour un terme de sécurité générique qui s'applique aux deux (d'où le fait de déterminer qui peut faire quoi pour une ressource particulière). Cela existe-t-il?!
Selon le guide d'étude du CISSP, le contrôle d'accès comprend l'IAAA (Identification, Authentification, Autorisation et Responsabilité).
Donc, si vous ne vous souciez pas du reste, vous pouvez appeler Authentification et autorisation comme Contrôle d'accès .
Où:
Identification: nom_utilisateur
Authentification: nom_utilisateur + mot de passe (dans un facteur d'authentification, cas simple)
Autorisation: accès aux ressources une fois authentifié
Comptabilité: suivre qui a fait quoi
Je dirais que la chose la plus proche à laquelle je peux penser est le cadre d'authentification, d'autorisation et de comptabilité, souvent abrégé en AAA.
Authentification, autorisation et comptabilité (AAA) est un terme désignant un cadre pour contrôler intelligemment l'accès aux ressources informatiques, appliquer les politiques, vérifier l'utilisation et fournir les informations nécessaires pour facturer les services. Ces processus combinés sont considérés comme importants pour une gestion et une sécurité de réseau efficaces.
Le seul terme qui me vient à l'esprit comme régissant les deux est "Gestion des accès". J'entends par là un système qui met en œuvre l'authentification, l'autorisation et la comptabilité. (souvent appelé cadre AAA)
Ces termes ne partagent pas vraiment de points communs jusqu'à ce que vous commenciez à implémenter un système qui les requiert.
La plupart des cabinets d'analystes appellent cet espace la gestion des identités et des accès (IAM). C'est également le nom des fournisseurs d'espace utilisés pour leurs produits. Il y a à côté d'IAM un autre espace appelé IAG ou Identity & Access Governance qui est plus sur le temps d'examen alors que IAM est plus sur la définition et l'exécution.
Enfin, Gartner & Kuppinger Cole utilisent également EAM (Externalized Authorization Management) et DAM (Dynamic Authorization Management) pour les spécificités du contrôle d'accès.
La réponse à votre question dépend du contexte dans lequel les termes sont utilisés. Au niveau d'abstraction le plus élevé, le terme dominant est Assurance de l'information où les 5 piliers sont:
Pour être clair, l'authentification et l'autorisation sont un aspect de Sécurité de l'information . Ce qui vise à faire respecter, avec un haut degré de confiance, les piliers de l'assurance de l'information notamment la non-répudiation.
Pour approfondir, les deux termes relèvent de l'assurance de l'information et, par association, de l'espace de la sécurité de l'information. principalement dans:
IAM est le terme le plus courant, surtout si vous travaillez dans le gouvernement ou dans de grandes entreprises où vous trouverez généralement plus de 10000 identités. Pour votre intérêt, consultez les dernières directives et directives du Department of Defence (US) et des National Cyber Security Centers (UK) ici et ici respectivement.
La gestion des identités et des accès (IdAM) est un aspect de la sécurité des informations et englobe les technologies et les processus, y compris les deux termes de votre question.
La gouvernance des identités - est un processus dans IdAM. C'est la gestion des politiques qui régit:
Il y a d'autres fonctions, mais je pense que ce sont les trois principales. Dans cette pratique, vous créez une identité telle que, disons, un administrateur de fréquence réseau et déterminez les privilèges que cette identité doit avoir. Vous pouvez également aller jusqu'à déterminer quelles zones d'un bâtiment, quels ordinateurs, quelles imprimantes, quel appareil mobile cette identité peut utiliser, ou même verrouiller des groupes d'appareils à un type d'identité spécifique. Il s'agit en fait de la planification gérée de l'autorisation à associer à une identité. Vous trouverez vos analystes commerciaux, architectes d'entreprise, spécialistes de la conformité, spécialistes de la sécurité des informations et auditeurs d'informations jouant à ce niveau du jeu.
Gestion des accès - L'analyse et la réponse à
Comme vous pouvez le voir, le contrôle d'accès est étroitement lié à la gouvernance, car un accès approprié (du point de vue de la mise en œuvre technique de l'assurance de l'information) est dérivé des politiques qui (plutôt que devraient) ont déjà été établies par l'autorité de gouvernance des identités au sein de l'entreprise. Dans cette pratique, l'accent est mis sur la mise en œuvre technique des services d'authentification pour déterminer avec un degré de confiance élevé qu'une identité est bien celle qu'ils prétendent être et qu'ils respectent les exigences des politiques définies. À ce niveau, vous trouverez vos spécialistes de la cybersécurité, des analystes d'incidents et de réponse, des spécialistes de l'infrastructure (réseau/stockage/base de données), des stylos-testeurs, des spécialistes de plate-forme, des spécialistes des logiciels et de l'IA analytique.
Il est inapproprié de voir l'autorisation et l'authentification isolément, mais reconnaissez plutôt qu'il s'agit de termes largement utilisés dans le cadre de l'assurance et de la sécurité de l'information.