Identité et accès
Autorisation
Aussi appelé: AuthZ, Contrôle d'accès
Définition
Processus qui détermine ce qu'une identité déjà authentifiée a le droit de faire : quelles ressources, quelles actions et dans quelles conditions.
Exemples
- Donner à un agent de support un accès en lecture aux tickets clients mais pas à la facturation.
- Jetons OAuth 2.0 émis avec des scopes restreints comme "orders:read".
Termes liés
Authentification
Processus consistant à vérifier qu'une entité — utilisateur, appareil ou service — est bien celle qu'elle prétend être avant de lui accorder un accès.
Contrôle d'accès basé sur les rôles (RBAC)
Modèle d'autorisation qui attribue les permissions à des rôles plutôt que directement aux utilisateurs, ces derniers héritant des accès via l'attribution de rôles.
Contrôle d'accès basé sur les attributs (ABAC)
Modèle d'autorisation qui évalue des politiques sur des attributs du sujet, de la ressource, de l'action et de l'environnement pour décider d'autoriser une requête d'accès.
Principe du moindre privilège
Principe de sécurité accordant à chaque utilisateur, processus ou service uniquement les privilèges strictement nécessaires à sa fonction, et rien de plus.
Modèle AAA
Modèle fondamental de contrôle d'accès articulé autour de trois fonctions enchaînées : authentification, autorisation et traçabilité.
OAuth 2.0
Cadre ouvert d'autorisation permettant au propriétaire d'une ressource d'accorder à une application tierce un accès limité à une API sans partager d'identifiants.