Delegering (datorsäkerhet)

Delegering är processen där en datoranvändare lämnar över sina autentiseringsuppgifter till en annan användare. I rollbaserade åtkomstkontrollmodeller innebär delegering av behörighet att delegera roller som en användare kan anta eller den uppsättning behörigheter som användaren kan förvärva, till andra användare.

Typer av delegering i IT-nätverk

Det finns i huvudsak två klasser av delegering: delegering på autentiserings- /identitetsnivå och delegering på behörighets- / åtkomstkontrollnivå .

Delegering på autentiserings-/identitetsnivå

Det definieras enligt följande: Om en autentiseringsmekanism tillhandahåller en effektiv identitet som skiljer sig från användarens validerade identitet kallas det identitetsdelegering på autentiseringsnivå, förutsatt att ägaren av den effektiva identiteten tidigare har auktoriserat ägaren av den validerade identiteten att använda sin identitet.

De befintliga teknikerna för identitetsdelegering med sudo- eller su -kommandon i UNIX är mycket populära. [ citat behövs ] För att använda sudo- kommandot måste en person först starta sin session med sin egen ursprungliga identitet. Det kräver det delegerade kontolösenordet eller explicita auktoriseringar som beviljats ​​av systemadministratören. Användarinloggningsdelegationen som beskrivs i patentet av Mercredi och Frey är också en identitetsdelegering.

Delegering på behörighets-/åtkomstkontrollnivå

Det vanligaste sättet att säkerställa datorsäkerhet är åtkomstkontrollmekanismer som tillhandahålls av operativsystem som UNIX, Linux, Windows, Mac OS, etc.

Om delegeringen avser mycket specifika rättigheter, även känd som finkornig, som till exempel med delegering av rollbaserad åtkomstkontroll (RBAC), finns det alltid en risk för underdelegering, dvs. delegatorn delegerar inte allt som behövs behörigheter att utföra ett delegerat jobb. Detta kan orsaka överbelastning, vilket är mycket oönskat i vissa miljöer, till exempel i säkerhetskritiska system eller inom hälso- och sjukvården. I RBAC-baserad delegering är ett alternativ för att uppnå delegering genom att omtilldela en uppsättning behörigheter till rollen som en delegat; att hitta relevanta behörigheter för ett visst jobb är dock inte en lätt uppgift för stora och komplexa system. Dessutom, genom att tilldela dessa behörigheter till en delegatroll, får alla andra användare som är associerade med just den rollen de delegerade rättigheterna.

Om delegeringen uppnås genom att tilldela rollerna som en delegator till en delegat skulle det inte bara vara ett fall av överdelegering utan också problemet att delegatorn måste ta reda på vilka roller, i den komplexa hierarkin av RBAC, som är nödvändiga att utföra ett visst jobb. Dessa typer av problem finns inte i identitetsdelegeringsmekanismer och normalt är användargränssnittet enklare.

Mer information finns på RBAC .

Hämtad från " https://en.wikipedia.org/w/index.php?title=Delegation_(computer_security)&oldid=1128490017 "