Home

tillatelsessystem

Tillatelsessystemet, eller tilgangstillatelsessystemet, er en samling policyer, mekanismer og verktøy som bestemmer om en bruker eller annen aktør (subjekt) har rett til å utføre en operasjon på en ressurs (objekt) i et informationssystem. Systemet bruker autentisering som inngang for identitet, situasjonskontekst og regler som avgjør om handlingen skal få tillatelse. Hovedformålet er å beskytte data og ressurser gjennom prinsippet om minste privilegium og behov-til-kjennskap, samt å støtte revisjon og samsvar.

Grunnleggende modeller inkluderer DAC (discretionary access control) hvor rettigheter deles av ressurs-eier, MAC (mandatory access control)

Komponenter og implementasjon består av tilgangslister som ACL-er, policy-engine som evaluerer regler, og enforcement points som

Anvendelse og utfordringer omfatter bruk i skalerbare bedriftsmiljøer, skyer og API-er, der sentral policystyring og automatisert

med
sentralt
fastsatte
regler,
RBAC
(rollebasert
tilgangskontroll)
som
tildeler
rettigheter
etter
roller,
og
ABAC
(attributtbasert
tilgangskontroll)
som
baserer
seg
på
ulike
attributter
som
bruker,
kontekst
og
tid.
Det
finnes
også
kapabilitetsbaserte
og
andre
hybride
tilnærminger.
Modellvalget
påvirker
fleksibilitet,
sikkerhet
og
administrasjon.
utsteder
tilgangstillatelse
eller
avviser
forespørselen.
Applikasjoner,
API-gatewayer
og
operativsystemer
kan
integrere
tillatelsessystemet,
ofte
ved
hjelp
av
policy-språk
og
identitetsleverandører.
Vanlige
standarder
og
verktøy
inkluderer
XACML
for
policybeskrivelser,
OAuth
2.0
og
OpenID
Connect
for
delegert
autorisasjon,
samt
SAML
i
sikker
innloggingssammenheng.
Logging
og
revisjon
er
sentrale.
provisioning
er
viktig.
Utfordringer
inkluderer
kompleks
policyadministrasjon,
behov
for
kontinuerlig
oppdatering
av
rettigheter
og
balansering
mellom
brukeropplevelse
og
sikkerhet.
Et
velfungerende
tillatelsessystem
gjør
policyen
håndterbar,
sikker
og
revisjonbar.