什么’自适应授权和自适应身份验证之间的区别? And does it matter?

定义: 适应性的:服务或能够适应的;显示或促进适应。

本质上,自适应身份验证是IAM(身份和访问管理)产品应用的过程,而自适应授权是PAM(特权访问管理)产品所应用的过程。这里’s a quick 概要:

• 自适应身份验证 这是基于‘posture’传入用户。他们是在不同的位置使用不同的设备,还是使用不同的打字节奏?在这些情况下,假设风险较高,自适应身份验证将要求另一个因素进行身份验证。这就是为什么它通常在IAM领域中的原因。

• 自适应授权 这基于用户正在执行的任务或过程。它基于动态风险评估。如果任务在执行时会产生后果,例如终止用户会话,则“自适应授权”将要求认证因素。动态的风险和特权知识使之进入了PAS领域。

定义: 适应性的:服务或能够适应的;显示或促进适应。

本质上,自适应身份验证是IAM(身份和访问管理)产品应用的过程,而自适应授权是PAM(特权访问管理)产品所应用的过程。这里’s a quick 概要:

• 自适应身份验证 这是基于‘posture’传入用户。他们是在不同的位置使用不同的设备,还是使用不同的打字节奏?在这些情况下,假设风险较高,自适应身份验证将要求另一个因素进行身份验证。这就是为什么它通常在IAM领域中的原因。

• 自适应授权 这基于用户正在执行的任务或过程。它基于动态风险评估。如果任务在执行时会产生后果,例如终止用户会话,则“自适应授权”将要求认证因素。动态的风险和特权知识使之进入了PAS领域。

您可以将自适应授权视为智能授权的‘sudo’命令是根据过程的结果而不是构成该过程的单个命令来请求授权的。

授权工作流程

授权工作流是另一主题!必须仔细设计它,否则它可能会妨碍您,并且通常是毫无意义的。这是因为它是预先定义的,并且倾向于应用于可能产生后果的任何过程。工作流程会考虑所有结果。我们相信特权流程中内置的动态风险评估会带来简化。

我们为什么要在所有供应商中这样说?好,‘Real World’授权工作流程看起来像这样:

•您的工作是保持这些服务的运行’在各种条件下我们需要做的–如果发生这种情况,请进行补救。工作流程是隐式的:有人经过培训并理解工作。在问题发生和处理该问题的人员之间不应存在任何延迟。

•升级和更改。工作人员将告诉管理层,排五走势图和服务要么容量不足,要么出于安全原因需要升级。升级和更改已与管理层达成协议。在大型组织或金融组织中,工作将被开具罚单。这里的工作又是隐性的–管理层已经期望他们的员工完成这项工作。为了提高安全性,票证可用于授权访问权限,即 没有门票,没有通行证。唯一的延迟是使用票务排五走势图,甚至可以通过使用 特权访问管理 与票务排五走势图集成的排五走势图(例如ServiceNow或Remedy)。

•解决问题。管理层请员工“什么是最好的方式‘x’ achieved with ‘y’ budget?”同样,工作流是隐式的。管理层希望员工能够测试和试用各种排五走势图,直到他们解决问题为止。

•敏感排五走势图这些似乎是工作流程的理想人选。但是,更高级别的授权和监视对于治理和合规性更好。

授权工作流的一个关键假设是管理者需要知道发生了什么。实际上,同事需要了解的情况要普遍得多。例如,如果更改了应用程序的版本或修改了服务器的启动顺序,则很可能会影响同事并需要采取措施。

这就是为什么可以配置我们的特权访问管理配置文件,以便该配置文件的成员还可以通过该配置文件授权访问。这是基于您的同事更有可能了解您为什么需要访问权限以及您打算使用该访问权限的后果。

有一个细节金字塔

在任何规模较大的组织中,都有很多细节。员工团队了解细节,团队经理了解大多数细节以及组织运作的某些细节。经理通常是团队之间的纽带。让经理授权个人访问排五走势图通常是不切实际的,因为不能期望经理跟踪每个员工工作量的所有细节。如果这样做的话,那将意味着微管理和过多的时间消耗,而产出却很少。

当然也有一些极端的情况。人力资源和财务排五走势图往往非常敏感,这种每一步管理都是有意义的。不受限制地访问排五走势图不是一个好主意,而且我们都知道人为错误代价高昂。需要一种平衡业务和安全要求的方案。

关于自适应身份验证的说明

这是不同的,如果用户的姿势异常,则需要额外的身份验证过程。例如,如果用户使用VPN或具有不同的键入节奏。自适应身份验证是一个使人们在需要快速登录并不断要求其他步骤时感到沮丧的过程。

增强安全性,减少所有人的工作量

经理需要管理,同事需要知道发生了什么, 特权访问安全 对于人员来说,应该是一个轻松的接触,对于人为错误,应该是一个安全网,对于攻击者来说,它是不可穿透的墙。这是组合的地方 特权过程自动化(PPA)  和自适应授权(AKA“逐步授权”)在多个方面取得胜利:

•自动化流程将人工操作员与排五走势图,特权和凭证分开。这一步是对安全性的重要贡献。

•自动化确保始终以一致且安全的方式完成任务。这实际上消除了人为错误。

•自动化可以在运行任务之前测试排五走势图,设备和应用程序处于正确的状态。这将有助于保持一致性。

•自动化可以交流!它可以举起和关闭票证,可以有条件地向可能受到影响的同事发送电子邮件和警报。

•自动化往往比手动操作快至少二十倍。

•自动化可以要求自己。

有时,排五走势图并非处于任务的首选状态。例如,运行任务的结果可能意味着用户与排五走势图断开连接,或者重置了电子商务篮子。这些任务经常在几个小时内发生,并且业务目标是尽快恢​​复正常运行。

在这些情况下,经理将仍然授权任务–但至少他们会知道。通过自适应授权,我们可以预料到该事件。自动化(PPA)可以检查实时用户,并向操作员要求额外的授权级别,以作为有关运行任务后果的警告,并让操作员知道经理和同事将收到电子邮件和警报。由于动态评估仅在需要时才介入,因此简化了整个工作流程。因此,定义所需的工作较少,而操作所需的工作较少。

计划成功

自动化始终需要前期工作。当然,我们可以在此方面提供帮助。以下是一些如何从任何特权流程自动化项目中获得最大收益的典型准则:

•确定员工需要执行的常规高影响力任务。在存在人为错误的情况下,这些操作可能会耗费时间或成本很高。

•确定需要这些任务的条件。是否可以在自动化下监视和处理这些问题?

•确定边缘情况。什么时候绝对不应该运行此任务?–例如在备份,维护和升级过程中。

•确定谁需要知道任务已运行。它会影响谁以及如何影响?这是出站通信的输入。

•确定所需的报告。是否应该提高和关闭门票?这张票已经开放了吗?等等

•确定何时需要自适应授权。例如具有当前用户呼叫和会话的排五走势图,处于特定状态的排五走势图等。

一旦有了这些因素,就可以决定在哪里委托自动化流程的最佳位置。因为它非常安全,所以它可以更接近第一线,而Adaptive Authorization则使您可以为那些尴尬的状态和条件委派一个步骤。

希望您现在可以看到自适应身份验证和自适应授权既有价值,又可以在非常不同的时间和地点应用。对于IT运营及其他方面,自动化将始终提供最佳的安全性。只要稍作计划,它就可以为企业带来很多好处。

Source : //www.osirium.com/blog/adaptive-authorisation-vs-adaptive-authentication