認証と認可は、セキュリティの世界で使用される 2 つの単語です。似ているように聞こえるかもしれませんが、それぞれまったく異なります。認証は誰かの身元を認証するために使用されますが、認可は特定のリソースにアクセスする許可を誰かに与える方法です。これらは 2 つの基本的なセキュリティ用語であるため、完全に理解する必要があります。このトピックでは、認証と認可とは何なのか、またそれらがどのように区別されるのかについて説明します。
認証とは何ですか?
- 認証は、その人が主張しているものと同じであることを保証することによって、その人の身元を特定するプロセスです。
- サーバーとクライアントの両方で使用されます。誰かが情報にアクセスしたい場合、サーバーは認証を使用します。サーバーは、誰が情報にアクセスしているかを知る必要があります。クライアントは、それが主張しているサーバーと同じであることを知りたいときにこれを使用します。
- サーバーによる認証は主に、 ユーザー名とパスワード。 サーバーによる他の認証方法も次を使用して実行できます。 カード、網膜スキャン、音声認識、指紋。
- 認証では、あるユーザーがプロセス内のどのタスクを実行できるか、どのファイルを表示、読み取り、または更新できるかが保証されません。ほとんどの場合、その人またはシステムが実際に誰であるかを特定します。
認証要素
セキュリティ レベルとアプリケーションの種類に応じて、さまざまな種類の認証要素があります。
単一要素認証は最も単純な認証方法です。ユーザーがシステムにアクセスできるようにするには、ユーザー名とパスワードだけが必要です。
名前のとおり、これは 2 レベルのセキュリティです。したがって、ユーザーを認証するには 2 段階認証が必要です。ユーザー名とパスワードだけでなく、特定のユーザーだけが知っている固有の情報も必要です。 最初の学校名として、お気に入りの目的地として 。これとは別に、OTP またはユーザーの登録番号または電子メール アドレスの一意のリンクを送信することによってユーザーを確認することもできます。
これは最も安全で高度なレベルの認証です。異なる独立したカテゴリからの 2 つ以上のセキュリティ レベルが必要です。このタイプの認証は通常、金融機関、銀行、法執行機関で使用されます。これにより、サードパーティやハッカーによるデータ漏洩を確実に排除できます。
有名な認証技術
1. パスワードベースの認証
最も簡単な認証方法です。特定のユーザー名のパスワードが必要です。パスワードがユーザー名と一致し、両方の詳細がシステムのデータベースと一致する場合、ユーザーは正常に認証されます。
2. パスワードレス認証
この手法では、ユーザーはパスワードを必要としません。代わりに、登録した携帯電話番号または電話番号で OTP (ワンタイム パスワード) またはリンクを取得します。 OTPベースの認証とも言えます。
3. 2FA/MFA
2FA/MFA または 2 要素認証/多要素認証は、より高いレベルの認証です。ユーザーを認証するには、追加の PIN またはセキュリティの質問が必要です。
4. シングルサインオン
シングル・サインオン または SSO これは、単一の資格情報セットで複数のアプリケーションにアクセスできるようにする方法です。これにより、ユーザーは一度サインインするだけで、同じ集中ディレクトリから他のすべての Web アプリに自動的にサインインできるようになります。
5. ソーシャル認証
ソーシャル認証には追加のセキュリティは必要ありません。代わりに、利用可能なソーシャル ネットワークの既存の資格情報を使用してユーザーを検証します。
認可とは何ですか?
- 承認は、誰かに何かをすることを許可するプロセスです。これは、ユーザーがリソースを使用する権限を持っているかどうかを確認する方法を意味します。
- これは、1 人のユーザーがアクセスできるデータと情報を定義します。 AuthZとも言われます。
- 通常、認可は認証と連携して行われるため、システムは誰が情報にアクセスしているかを知ることができます。
- インターネット上で入手可能な情報にアクセスするのに必ずしも認証が必要なわけではありません。インターネット上で利用可能な一部のデータは、許可なしにアクセスできます。たとえば、次のサイトからあらゆるテクノロジーについて読むことができます。 ここ 。
認可技術
RBAC またはロールベースのアクセス制御技術は、組織内のロールまたはプロファイルに応じてユーザーに与えられます。システム間またはユーザー間で実装できます。
JSON Web トークン (JWT) は、当事者間でデータを JSON オブジェクトの形式で安全に送信するために使用されるオープン スタンダードです。ユーザーは、秘密鍵と公開鍵のペアを使用して検証および認可されます。
SAML の略です セキュリティ アサーション マークアップ言語。 これは、サービス プロバイダーに認証資格情報を提供するオープン スタンダードです。これらの資格情報は、デジタル署名された XML ドキュメントを通じて交換されます。
これは、クライアントが認証に基づいてエンドユーザーの身元を確認するのに役立ちます。
OAuth は、API が要求されたリソースを認証し、アクセスできるようにする承認プロトコルです。
認証と認可の違い表
| 認証 | 認可 |
|---|---|
| 認証は、システムへのアクセスを許可するユーザーを識別するプロセスです。 | 承認は、リソースへのアクセスを許可するプロセスです。 |
| この際、ユーザーまたはクライアントとサーバーが検証されます。 | ここでは、ユーザーが定義されたポリシーとルールを通じて許可されているかどうかが検証されます。 |
| 通常、認証の前に実行されます。 | 通常、これはユーザーが正常に認証されると実行されます。 |
| ユーザー名とパスワードなどのユーザーのログイン詳細が必要です。 | ユーザーの権限またはセキュリティ レベルが必要です。 |
| データはトークン ID を通じて提供されます。 | データはアクセス トークンを通じて提供されます。 |
| 例: ログイン詳細の入力は、従業員が組織の電子メールまたはソフトウェアにアクセスするために自分自身を認証するために必要です。 | 例: 従業員は自己認証に成功すると、自分の役割とプロファイルに従ってのみ特定の機能にアクセスして作業できるようになります。 |
| 認証資格情報は、要件に応じてユーザーが部分的に変更できます。 | 認可権限はユーザーが変更することはできません。権限はシステムの所有者/管理者によってユーザーに与えられ、ユーザーはそれを変更することしかできません。 |
結論
上記の説明のように、認証はユーザーの ID を検証し、認可はユーザーのアクセスと権限を検証すると言えます。ユーザーが身元を証明できない場合、システムにアクセスできません。また、正しい身元を証明することで認証されても、特定の機能を実行する権限が与えられていない場合は、その機能にアクセスすることはできません。ただし、両方のセキュリティ方法が一緒に使用されることがよくあります。