Autorização

Origem: Wikipédia, a enciclopédia livre.
Ir para: navegação, pesquisa

Autorização, em segurança da informação, é o mecanismo responsável por garantir que apenas usuários autorizados consumam os recursos protegidos de um sistema computacional. Os recursos incluem arquivos, programas de computador, dispositivos de hardware e funcionalidades disponibilizadas por aplicações instaladas em um sistema. Podem ser considerados consumidores de recursos, as pessoas que utilizam um sistema através de uma interface, programas e outros dispositivos de um computador.

Ciência da computação[editar | editar código-fonte]

O processo de autorização decide se uma pessoa, programa ou dispositivo X tem permissão para acessar determinado dado, programa de computador ou serviço Y. A maioria dos sistemas operacionais modernos possuem processos de autorização. Após um usuário ser autenticado o sistema de autorização verifica se foi concedida permissão para o uso de determinado recurso. As permissões são normalmente definidas por um administrador do sistema na forma de "políticas de aplicação de segurança", como as ACLs (listas de controle de acesso) ou uma "capacidade", com base no "princípio do privilégio mínimo": os consumidores terão permissão apenas para acessar os recursos necessários para realizar a sua tarefa.

Os consumidores anônimos ou visitantes (guests) não precisam passar pelo processo de autenticação. Normalmente, este tipo de usuário possui poucas permissões. Em sistemas distribuídos é conveniente que o acesso seja dado sem a requisição de uma identidade única por parte do consumidor. Exemplos de "tokens de autorização" são as chaves e tickets: eles concedem acesso sem a necessidade de uma identidade.

Existe também o conceito de consumidores "confiáveis". Os consumidores previamente autenticados e que são indicados como confiáveis têm acesso irrestrito aos recursos. Os usuários "parcialmente confiáveis" e os visitantes estão sujeitos à autorização para uso de recursos protegidos. Alguns sistemas operacionais têm a política de segurança, por padrão, de dar acesso irrestrito a todos os usuários em todos os recursos. Outros sistemas, ao contrário, atribuem ao administrador do sistema a tarefa de habilitar o acesso aos usuários para cada um dos recursos.

Mesmo quanto a autorização é realizada através da combinação de autenticação e listas de controle de acesso (ACLs), o gerenciamento da política de segurança de dados não é trivial e frequentemente representa um grande esforço de administração.

Sistema bancário[editar | editar código-fonte]

No contexto de um banco ou operadora de cartões, a autorização pode ser uma referência à permissão dada ao cliente para realizar uma compra através de um cartão de débito ou crédito.

Ver também[editar | editar código-fonte]

Ligações externas[editar | editar código-fonte]

  • RFC 2904 AAA Authorization Framework
  • RFC 2905 AAA Authorization Application Examples
  • RFC 2906 AAA Authorization Requirements