許可
(
許容
;
authorization
)란 리소스에 對한 接近 權限 및 政策을 指定하는 機能이다.
情報 保安
및
컴퓨터 保安
, 特히
接近 制御
分野와 關聯이 있다.
[1]
例를 들어
人事部署
職員들은 普通 職員 데이터를 閱覽할 수 있도록 許容되어 있다. 하지만 이러한 政策은 一般的으로 컴퓨터 시스템에 接近 制御 規則들로 貯藏된다. 컴퓨터 시스템은 어떤 (
引證
된) 리소스 需要者가 리소스에 對한 要請을 하면, 貯藏된 接近 制御 規則들을 適用해 要請을 許可할지 拒否할지를 決定한다. 여기서 리소스는 個個의 파일 또는
데이터
,
컴퓨터 프로그램
이나 프로그램의 一部 機能,
컴퓨터 하드웨어
및 裝置 等을 包含한다. 그리고 리소스 需要者는 컴퓨터 使用者뿐만 아니라 컴퓨터 프로그램이나 다른 裝置들이 될 수도 있다.
槪要
[
編輯
]
컴퓨터 시스템이나 네트워크에서 接近 制御는 接近 政策을 基盤으로 한다. 接近 制御는 두 段階로 나뉘는데, 첫 番째는 接近 制御 政策을 定義하는 段階고, 두 番째는 政策에 따라 接近 要請을 許可하거나 拒否하는 段階다. 許可 機能은 이 앞段階에 該當한다.
大部分의 現代 멀티유저 運營體制들은 接近 制御를 支援하고, 따라서 許可 機能을 必要로한다. 接近 制御 프로그램은 먼저
引證
機能을 통해 使用者의
身元
을 確認한다. 使用者가 리소스에 接近하려하면, 接近 制御 프로그램은 接近 制御 政策을 參考해 이를 許可할지 拒否할지를 決定한다. 政策을 定하는 것은 普通 該當 部署의 部署長의 役割이지만, 많은 境遇
시스템 管理者
가 代理한다. 이러한 政策은 普通
接近 制御 目錄
과 같은 形式으로 貯藏된다. 이때 政策은 되도록
最小 權限의 原則
을 바탕으로 만들어져야 한다. 다시 말하면 使用者는 作業을 하기 위해 반드시 必要한 리소스에만 接近이 許容되어야 한다. 오래된 시스템 或은 單獨 使用者 시스템들의 境遇 認證과 接近 制御 機能이 없거나 宏壯히 弱한 境遇가 많다.
"匿名 使用者" 或은 "손님"은 認證을 하지 않아도 되는 使用者를 의미한다. 普通 이들에겐 宏壯히 制限된 資源만이 許可된다. 하지만 分散 시스템에서는 確實하게 引證된 身元없이 키나 티켓과 같은 接近 토큰으로 리소스 接近을 許容해야 하는 境遇들이 種種 있다.
信賴할 수 있는 使用者들은 普通 시스템 리소스에 無制限的인 接近이 許容되기 때문에 반드시 認證을 통해 身元이 確認되어야 한다. 시스템 리소스가 願치 않은 用途로 使用되는 것을 避하기 위해선 "部分的으로 信賴할 수 있는" 使用者나 손님들은 制限된 리소스만 許可되어야 한다. 一部 運營體制에선 基本的으로 모든 使用者에게 모든 리소스에 對한 無制限 接近을 許容한다. 反對로 다른 運營體制들에서는 반드시 시스템 運營者가 直接 許可를 해야만 리소스를 接近할 수 있는 境遇도 있다.
같이 보기
[
編輯
]
各州
[
編輯
]
