Autoryzacja czy identyfikacja, a może po prostu to wszystko to uwierzytelnianie? Ja bym powiedział autentykacja lub , ale zaraz, zaraz coś z tymi słowami jest nie tak. Dziś w ringu autoryzacja kontra uwierzytelnianie, pojedynek słów często używanych i równie często mylonych ze sobą.autentyfikacja
Na ringu pojawiają się zawodnicy. Publiczność głośno skanduje z trybun: „autentykacja, autentyfikacja”. Jest to niepoprawny przydomek zawodnika uwierzytelnianie, za który on sam bywa często obrażony i prosi by go nie używać. Zdarza się mu często, w dość cięty sposób odgrażać się, że nie ma takiego słowa w języku polskim, a przydomek zyskał przez błędne tłumaczenie angielskiego słowa authentication, co oznacza uwierzytelnianie.
Konferansjer przedstawia publiczności zawodników. Opisuje w jakimi barwach będą walczyć i którego narożnika będą bronić. Można powiedzieć, że dokonuje identyfikacji zawodników dla zgromadzonej w hali publiczności. Identyfikacja (ang. identification) to deklarowanie danych tożsamości (ang. identity) przez użytkownika systemu.
Nadeszła pora opowiedzieć o głównych bohaterach spektaklu. W lewym narożniku uwierzytelnianie vel proces identyfikacji użytkownika, próbującego uzyskać dostęp do zasobów, przez weryfikację jego danych potwierdzających tożsamość. Zawodnik/użytkownik jeszcze nie jest znany, ale posiada dobre referencje/dane i to ring/system – zweryfikuje/zidentyfikuje – jego dzisiejszą dyspozycję i czy zaistnieje w świecie boksu.
W prawym narożniku znany świecie informatyki i nie tylko Autoryzacja (ang. authorisation) alias proces określenia poziomów dostępu do zasobów jakie mogą zostać nadane poszczególnym użytkownikom lub ich grupom na podstawie zestawu reguł formułowanych przez administratora sytemu. Pięściarz/użytkownik znany bardzo dobrze publiczności i federacji/systemowi. Dzisiejsze zwycięstwo może dać mu dostęp do walki o mistrzostwo świata/zasób.
Słyszymy gong, pojedynek się rozpoczął…
Oprócz znajomości powyższych definicji warto też pamiętać czym się przejawiają i w jakiej kolejności występują podczas procesu pozyskiwanie dostępu do zasobów:
- Identyfikacja – użytkownik/klient deklaruje swoje dane. Na przykład:
- w procesie logowania na stronę administracji serwisu (strona ufająca) użytkownik wpisuje nazwę (login) w formularzu logowania;
- podczas rozmowy telefonicznej z centrum obsługi banku (strona ufająca), klient deklaruje swoje imię i nazwisko;
- Uwierzytelnianie – strona ufająca stosuje odpowiednie mechanizmy w celu weryfikacji podanych przez użytkownika/klienta danych tożsamości. Na przykład:
- formularz logowania prosi użytkownika o wpisanie hasła i weryfikuje jego zgodność z tym zapisanym wcześniej w bazie danych;
- pracownik obsługi wyszukuje dane klienta. Następnie prosi klienta o podanie wybranych informacji takich jak data urodzenia czy nazwisko panieńskie matki w celu weryfikacji. Gdy odpowiedzi są prawidłowe pracownik banku może uznać, że klient jest osobą, za którą się podaje;
- Autoryzacja – strona ufająca potwierdza lub nie, czy użytkownik/klient ma prawo dostępu do żądanego zasobu. W tym kroku tożsamość użytkownika/klienta jest już znana i potwierdzona. Na przykład:
- serwer weryfikuje czy użytkownik jest administratorem systemu i do jakich opcji strony administracyjnej ma dostęp;
- pracownik banku potwierdza, że klient ma dostęp do konta i do informacji z nim związanych oraz, że może założyć nowe konto oszczędnościowe.
Podsumowując, trzeba zapamiętać następujące fakty. Uwierzytelnianie zachodzi gdy system chce poznać kim jesteśmy, natomiast autoryzacja decyduje czy mamy dostęp do danego zasobu w momencie gdy już jesteśmy znani systemowi który udostępnia nam ten zasób.