Comercial e Empresarial
Proteja sua empresa contra criminosos cibernéticos.
Iniciar Teste GrátisA autorização é o processo de determinar se deve conceder ou negar aos usuários o direito de acessar os recursos. A autorização opera seguindo um conjunto de regras e políticas predefinidas. Essas regras são normalmente gerenciadas por um sistema de controle de acesso que estabelece permissões com base nos requisitos de conformidade da organização. Quando um usuário está tentando acessar um recurso, o sistema de autorização avaliará suas permissões e as políticas predefinidas da organização antes de permitir que o usuário acesse o recurso.
A autenticação é o processo de verificação de que um usuário é quem ele diz ser. A autorização, por outro lado, é o processo de concessão de acesso a recursos e quais ações o usuário pode realizar com esses recursos. Depois que um usuário é autenticado usando suas credenciais, o sistema passa pelo processo de autorização.
A autorização e a autenticação trabalham juntas para garantir que os usuários tenham acesso aos recursos de que precisam, mantendo a segurança e a integridade da organização.
Sem processos de autorização fortes, as organizações têm uma governança deficiente, resultando em falta de visibilidade e controle sobre as atividades dos funcionários e um risco maior de acesso não autorizado do usuário. Vamos ver como a autorização aborda esses problemas.
Aqui estão cinco tipos de modelos de autorização que as organizações usam para garantir o acesso a recursos.
O controle de acesso baseado em função é um tipo de controle de acesso que define permissões com base no papel e nas funções do usuário dentro da organização. Por exemplo, funcionários de nível inferior não terão acesso a informações ou sistemas altamente confidenciais que usuários privilegiados teriam. Quando um usuário tenta obter acesso a um recurso, o sistema inspeciona a função do usuário para determinar se o recurso está associado às suas responsabilidades de trabalho.
O controle de acesso baseado em relação é um tipo de controle de acesso que se concentra na relação entre o usuário e o recurso. Pense no Google Drive — um proprietário de um documento tem acesso para visualizar, editar e compartilhar o documento. Um membro da mesma equipe pode ter permissão apenas para visualizar o documento enquanto outro membro pode estar autorizado a visualizar e editar o documento.
O controle de acesso baseado em atributos é um tipo de controle de acesso que avalia os atributos associados a um usuário para determinar se eles podem acessar os recursos. Esse modelo de autorização é uma forma mais detalhada de controle de acesso porque avalia o assunto, o recurso, a ação e o ambiente. O ABAC autorizará o acesso a recursos específicos associados a essas características.
O controle de acesso discricionário é um tipo de controle de acesso no qual os proprietários de recursos assumem a responsabilidade de decidir como seus recursos serão compartilhados. Digamos que um usuário deseja acessar um documento específico. Em última análise, cabe ao critério do proprietário do documento autorizar o usuário e configurar suas permissões. Em alguns casos, os proprietários de recursos concederão a certos usuários privilégios maiores. Esses privilégios podem incluir a capacidade de gerenciar ou modificar direitos de acesso para outros usuários.
O controle de acesso obrigatório é um tipo de controle de acesso que gerencia permissões de acesso com base na sensibilidade do recurso e no nível de segurança do usuário. Quando um usuário está tentando acessar um recurso, o sistema irá comparar o nível de segurança do usuário com a classificação de segurança do recurso. Se o nível de segurança do usuário for igual ou maior que a classificação do recurso, ele estará autorizado a acessá-lo. O MAC é usado principalmente em ambientes governamentais ou militares que exigem segurança de alto nível.