Kimlik doğrulama ile yetkilendirme nasıl ayrışır
Kimlik doğrulama (kısaca AuthN), bir kimlik iddiasını kanıtlama eylemidir. Oturumun başında gerçekleşir ve faktörlere dayanır: bildiğiniz bir şey (parola), sahip olduğunuz bir şey (telefon veya güvenlik anahtarı) ya da olduğunuz bir şey (parmak izi veya yüz). Kimlik doğrulamanın çıktısı, genellikle bir oturum veya imzalı bir jeton olarak taşınan doğrulanmış bir kimliktir.
Yetkilendirme (AuthZ) ise sonra gelir. Doğrulanmış kimliğe bakarak sistem, söz konusu isteğin serbest olup olmadığına karar verir: bu kullanıcı bu kaydı açabilir mi, bu ödemeyi onaylayabilir mi, bu sunucuyu silebilir mi? Yetkilendirme; roller, grup üyelikleri, öznitelikler ve politikalar üzerinden her istekte sürekli değerlendirilir. Kullanıcı oturum başına bir kez doğrulanır ama aynı oturumda binlerce kez yetkilendirilir.
Bu ayrım neden önemli
Bu iki kavramı birbirine karıştırmak gerçek güvenlik açıkları doğurur. Kullanıcıları doğrulayan ama yetkilendirmeyi zayıf yapan bir sistem, oturum açan herkesin her veriye ulaşmasına izin verir; güvensiz doğrudan nesne referansları içeren birçok API ihlali böyle gerçekleşir. Yetkilendirmesi sıkı ama kimlik doğrulaması zayıf bir sistem de aynı ölçüde açıktır; çünkü çalıntı parolaya sahip bir saldırgan, kurbanın özenle sınırlanmış tüm yetkilerini devralır.
Ayrım, farklı araç ve standartlara da karşılık gelir. Kimlik doğrulama; MFA, parolasız yöntemler ve SAML ile OpenID Connect gibi protokollerle güçlendirilir. Yetkilendirme ise rol tabanlı erişim denetimi (RBAC) ve öznitelik tabanlı erişim denetimi (ABAC) gibi modellerle ifade edilir ve politika motorlarıyla uygulanır. Uyumluluk çerçeveleri, kurumlardan düzenli olarak ikisini de kanıtlamasını ister: kimliklerin güçlü biçimde doğrulandığını ve erişimin her rolün gerektirdiğiyle sınırlı olduğunu.
Uygulamada ikisini de doğru kurmak
Kimlik doğrulama tarafında oturum açmayı bir kimlik sağlayıcıda merkezileştirin, MFA'yı zorunlu kılın ve hassas roller için geçiş anahtarları gibi oltalamaya dirençli faktörleri tercih edin. Yetkilendirme tarafında rolleri mevcut bir kullanıcının yetkilerini kopyalayarak değil, iş fonksiyonlarından tanımlayın; yetkileri düzenli aralıklarla gözden geçirin ve en az ayrıcalık ilkesini varsayılan yapın ki yeni erişimler sonradan geri alınmak yerine baştan gerekçelendirilsin.
İki disiplin jetonda buluşur: kimlik doğrulamadan sonra kimlik sağlayıcı, uygulamaların yetkilendirme kararlarında kullandığı öznitelik ve grup taleplerini taşıyan onaylar üretir. Bu taleplerin dizin eşitleme ve otomatik hesap yönetimiyle güncel tutulması, zincirin tamamını güvenilir kılar. Monosign; TOTP, anlık bildirim onayı ve geçiş anahtarlarını içeren MFA seçenekleriyle kimlik doğrulama tarafını üstlenir, SAML, OIDC ve SCIM üzerinden ilettiği rol ve grup talepleriyle yetkilendirmeyi besler.