İçeriğe atla

Yetkilendirme

Vikipedi, özgür ansiklopedi

Yetkilendirme, genel bilgi güvenliği ve bilgisayar güvenliği ve özellikle erişim kontrolü ile ilgili kaynaklara erişim haklarını / ayrıcalıklarını belirleme işlevidir.[1] Daha resmi olarak, "yetkilendirmek" bir erişim politikası tanımlamaktır. Örneğin, insan kaynakları personeli normalde çalışan kayıtlarına erişim yetkisine sahiptir ve bu politika genellikle bir bilgisayar sisteminde erişim kontrol kuralları olarak resmîleştirilir. İşletim sırasında, sistem, (doğrulanmış) tüketicilerden gelen erişim taleplerinin onaylanmasına (verileceğine) veya reddedileceğine (reddedileceğine) karar vermek için erişim kontrol kurallarını kullanır.[2] Kaynaklar, tek tek dosyaları veya bir öğenin verilerini, bilgisayar programlarını, bilgisayar aygıtlarını ve bilgisayar uygulamaları tarafından sağlanan işlevleri içerir. Tüketici örnekleri bilgisayar kullanıcıları, bilgisayar yazılımı ve bilgisayardaki diğer donanımlardır .

Bilgisayar sistemlerinde ve ağlarda erişim kontrolü, erişim politikalarına dayanır. Erişim kontrol süreci şu aşamalara bölünebilir: erişimin yetkilendirildiği politika tanımlama aşaması ve erişim taleplerinin onaylandığı veya reddedildiği politika uygulama aşaması. Yetkilendirme, erişim taleplerinin önceden tanımlanmış yetkilere göre onaylandığı veya reddedildiği politika uygulama aşamasından önce gelen politika tanımlama aşamasının işlevidir.

Çoğu modern, çok kullanıcılı işletim sistemleri, rol tabanlı erişim denetimi (RBAC) içerir ve bu nedenle yetkilendirmeye dayanır. Erişim kontrolü de müşterilerin kimliklerini doğrulamak için yetkilendirme kullanır. Bir tüketici bir kaynağa erişmeye çalıştığında, erişim kontrol süreci, tüketicinin o kaynağı kullanmak için yetkilendirilip yetkilendirilmediğini kontrol eder. Yetkilendirme, uygulama etki alanındaki bir departman yöneticisi gibi bir yetkilinin sorumluluğundadır, ancak genellikle sistem yöneticisi gibi bir sorumlunun yetkisine atanır. Yetkiler, bazı "politika tanımlama uygulaması" türlerinde, örneğin bir erişim kontrol listesi veya bir kabiliyet veya bir politika yönetim noktası biçiminde, erişim politikaları olarak ifade edilir örneğin: XACML . "En az ayrıcalık ilkesi " temelinde: tüketiciler, yalnızca işlerini yapmak için ihtiyaç duydukları her şeye erişme yetkisine sahip olmalıdır. Daha eski ve tek kullanıcılı işletim sistemleri genellikle zayıf veya var olmayan kimlik doğrulama ve erişim kontrol sistemlerine sahipti.

"Anonim tüketiciler" veya "misafirler", kimlik doğrulaması zorunlu olmayan tüketicilerdir. Genellikle sınırlı yetkiye sahiptirler. Dağıtılmış bir sistemde, genellikle kişinin kimliği gerektirmeden erişim verilmesi arzu edilir. Bilinen erişim belirteçleri örnekleri arasında anahtarlar, sertifikalar ve biletler bulunur: kimlik kanıtlamadan erişim sağlarlar.

Güvenilir tüketiciler genellikle bir sistemdeki kaynaklara sınırsız erişim için yetkilidir, ancak erişim kontrol sisteminin erişim onayı kararını verebilmesi için doğrulanması gerekir. "Kısmen güvenilir" ve misafirler, kaynakları uygunsuz erişim ve kullanıma karşı korumak için genellikle kısıtlanmış yetkiye sahip olacaktır. Bazı işletim sistemlerindeki erişim politikası, varsayılan olarak tüm tüketicilere tüm kaynaklara tam erişim sağlar. Diğerleri ise, yöneticinin bir tüketiciye her bir kaynağı kullanabilmesi için açıkça yetki vermesi konusunda ısrar ederek bunun tersini yapar.

Erişim, kimlik doğrulama ve erişim kontrol listelerinin bir kombinasyonu yoluyla kontrol edildiğinde bile, yetkilendirme verilerinin muhafaza edilmesine ilişkin sorunlar önemsiz değildir ve çoğu zaman kimlik doğrulama bilgilerini yönetmek kadar idari yükü temsil eder. Genellikle bir kullanıcının yetkisini değiştirmek veya kaldırmak gerekir: bu, sistemdeki ilgili erişim kurallarını değiştirerek veya silerek yapılır. Atomik yetkilendirmeyi kullanmak, güvenilir bir üçüncü tarafın yetkilendirme bilgilerini güvenli bir şekilde dağıttığı sistem başına yetkilendirme yönetimine bir alternatiftir.

İlgili yorumlar

[değiştir | kaynağı değiştir]

Kamu politikası

[değiştir | kaynağı değiştir]

Kamu politikasında yetkilendirme, güvenlik veya sosyal kontrol için kullanılan güvenilir sistemlerin bir özelliğidir.

Bankacılıkta, yetkilendirme, bir banka kartı veya kredi kartı kullanılarak bir satın alma yapıldığında bir müşterinin hesabına uygulanan bir bekletmedir.

Yayıncılıkta, bazen halka açık konferanslar ve diğer ücretsiz metinler yazarın onayı olmadan yayınlanır. Bunlara yetkisiz metinler denir. Buna bir örnek, Stephen Hawking'in konferanslarından toplanan ve telif hakkı yasası uyarınca izni olmadan yayınlanan 2002 'The Theory of Everything: The Origin and Fate of the Universe' .

Ayrıca bakınız

[değiştir | kaynağı değiştir]
  1. ^ RFC 2196 – Site Security Handbook, IETF, 1997 
  2. ^ A Consistent Definition of Authorization, Proceedings of the 13th International Workshop on Security and Trust Management (STM 2017), 2017