تفاوت Authentication و Authorization
برای بررسی تفاوتهای میان مفاهیم Authentication و Authorization ، ابتدا باید معنای این دو اصطلاح را بررسی کنیم. Authorization به معنای تعیین مجوز دسترسی به منابع است در حالی که authentication به معنای تصدیق هویت کاربر میباشد. برای روشنتر شدن موضوع، به مثال سادهای میپردازیم.
شما بهعنوان کارمند یک اداره استخدام شدهاید. برای ورود به ساختمان اداره بایستی توسط حراست سازمان بهعنوان کاربر، ابتدا احراز هویت یا authenticate شوید.
این احراز هویت یا همان authentication توسط حراست اداره با بررسی چهره شما بهصورت انسانی، یا بهوسیله کارت دسترسی شما، یا تصویر شما در سیستم ساعتزنی و … انجام میشود، و شما میتوانید به ساختمان اداره وارد شده و به بخشهایی از ساختمان ورود کنید.
در مرحله بعد، حد و حدود شما در اداره مشخص میشود. این حد و حدود که در قرارداد شما آورده شده است نشان میدهد شما بهعنوان کارمند بخش فناوری اطلاعات اجازه ورود به چه بخشهایی از شرکت را دارید و نقش شما در این شرکت چیست. درصورتیکه شما بخواهید وارد اتاقی مثل اتاق بایگانی شوید، به شما اجازه ورود داده نخواهد شد. زیرا شما برای ورود به این اتاق authorize نشدهاید و مجوز ورود به این اتاق را ندارید. یا بهعنوان مثالی دیگر، فقط چند نفر از تمامی پرسنل یک سازمان، حق ورود به اتاق سرور را دارند.
سادهترین و رایجترین روش تصدیق هویت در سیستمهای کامپیوتری، ورود نام کاربری و کلمه عبور وجود دارد. بعد از زدن نام کاربری و کلمه عبور چه اتفاقی میافتد؟ نام کاربری در سیستم احراز هویت میشود. پس از آن اجازه دسترسیها نیز بررسی میشود. پس از ورود به سیستم شما نمیتوانید به قسمتهایی که حق دسترسی آنجا را ندارید ورود کنید.
در تمامی سیستمهای کامپیوتری فایلی به نام SAM file (Security Account Management) وجود دارد. این فایل وظیفه ذخیرهسازی نامهای کاربری و کلمات عبور را دارد. یک سیستم کامپیوتری تا زمانی که به دامنهای متصل نباشد join to domain نباشد، احراز هویتهای کاربران خود را از طریق SAM file خود انجام میدهد. پس از اتصال به دامنه، سیستم متوجه میشود مکان دیگری نیز برای احراز هویت وجود دارد و باید برای احراز هویت به آنجا مراجعه کند.
با فرض ادمین بودن هر کاربر روی سیستم خود (LOCAL SYSTEM)، در صورت اتصال به شبکه، کاربران میتوانند روی سرور بهعنوان ادمین وارد شوند؟
خیر. تمامی مجوزها در کامپیوتر در قالب سیاستهای دسترسی (access policy) مشخص میشوند. اگر کاربر، یک کاربر local user باشد، با هر محدوده اختیار (privilege)، محدوده SAM file آن فقط در همان سیستمی است که روی آن تعریف شده است و نمیتواند بهعنوان ادمین روی سرور وارد شود.