比較表
| 比較基準 | 認証 | 認可 |
|---|---|---|
| 基本 | システムへのアクセスを許可するために個人の身元を確認します。 | リソースにアクセスするための個人の特権または許可を確認します。 |
| のプロセスを含みます | ユーザーの資格情報を確認しています。 | ユーザー権限を検証します。 |
| プロセスの順序 | 認証は最初のステップで実行されます。 | 認証は通常、認証後に実行されます。 |
| 例 | オンラインバンキングアプリケーションでは、まず、ユーザーIDとパスワードを使用して個人の身元が確認されます。 | マルチユーザーシステムでは、管理者が各ユーザーの特権またはアクセス権を決定します。 |
認証の定義
認証メカニズムは、機密情報を明らかにする前にユーザーの身元を確認します。 ユーザーの優先事項が機密情報を保護することであるシステムまたはインターフェースにとって非常に重要です。 このプロセスでは、ユーザーは個人の身元(自分の身元)またはエンティティの身元について証明可能な主張をします。
認証情報またはクレームは、ユーザー名、パスワード、指紋などです。認証および否認防止、問題の種類はアプリケーション層で処理されます。 非効率な認証メカニズムは、サービスの可用性に大きな影響を与える可能性があります。
例:
例えば、インターネットを介して電子文書を受信者Bに送信する送信者Aがいる。 送信者Aが受信者Bに専用のメッセージを送信したことをシステムはどのようにして識別しますか。
与えられた状況で認証メカニズムは2つのことを保証します。 まず、送信者と受信者が正当な人物であることを保証します。これはデータ発信元認証として知られています 。 第二に、それは推論できないように秘密のセッションキーの助けを借りて送信者と受信者の間に確立された接続のセキュリティを保証し、それはピアエンティティ認証と呼ばれます。
認可の定義
認証技術は、認証されたユーザーに付与されている権限を決定するために使用されます。 簡単に言うと、ユーザーが特定のリソースへのアクセスを許可されているかどうかをチェックします。 認証は認証後に行われます。この場合、ユーザの身元は事前に保証されているため、ユーザのアクセスリストはテーブルとデータベースに格納されているエントリを調べることによって決定されます。
例:
たとえば、ユーザーXがサーバーから特定のファイルにアクセスしたいとします。 ユーザーがサーバーにリクエストを送信します。 サーバーはユーザーの身元を確認します。 次に、認証されたユーザーが持っている対応する特権、またはそのユーザーがその特定のファイルへのアクセスを許可されているかどうかを調べます。 次の場合、ユーザーに次の操作を実行する権限がある場合、アクセス権にはファイルの表示、変更、削除が含まれます。
認証と承認の主な違い
- 認証は、システムへのアクセスを許可するためにユーザーの身元を確認するために使用されます。 一方、承認によって、誰が何にアクセスできるかが決まります。
- 認証プロセスでは、ユーザーの資格情報が検証されますが、承認プロセスでは、認証されたユーザーのアクセスリストが検証されます。
- 前者のプロセスは認証であり、承認が行われます。
- オンラインバンキングサービスの例を見てみましょう。 ユーザがサービスにアクセスしたいとき、ユーザが本人であると主張する正当な人物であることを保証するために、ユーザの身元が決定されます。 ユーザが識別されると、認証によってユーザが何をすることを許可されているかを決定する認証が有効になります。 ここでは、ユーザーは認証後に自分のアカウントにオンラインでアクセスすることを許可されています。
結論
認証および許可は、情報システム内のデータを保護するために取られるセキュリティ対策です。 認証は、システムに近づいている個人の身元を確認するプロセスです。 一方、許可は、その人が許可されている特権またはアクセスリストをチェックするプロセスです。
