Autorización

La autorización es el tercer paso de los cuatro que componen el proceso del control de accesos: identificación, autenticación, autorización y registro de incidencias. En la autorización, una vez identificado y autenticado el usuario, el sistema comprueba sus permisos y verifica si puede acceder a los recursos que solicita o realizar las funciones que pretende.

Autorizacion

Qué es la autorización

La autorización es el tercer paso de los cuatro que componen el proceso del control de accesos: identificación, autenticación, autorización y registro de incidencias. El control de accesos consta de los siguientes pasos:

  • Identificación: el usuario solicita acceso al sistema, el cual requiere al individuo algún tipo de credencial que le identifique, como puede ser un password, nombre de usuario, tarjeta o huella dactilar, que posteriormente será validada o no en el proceso de autenticación.
  • Autenticación o autentificación: el sistema verifica la identidad del usuario, es decir, comprueba si el usuario es quien dice ser, comprobando las credenciales aportadas por el usuario en la identificación.
  • Autorización: el sistema comprueba los permisos del usuario y verifica si está autorizado a acceder a los recursos que solicita o realizar las funciones que pretende.
  • Registro o contabilización: los controles de acceso permiten saber quién, a qué y cuándo accede, así como quién lo intenta, por lo que deben guardar un registro completo de todas las incidencias para poder controlar su actividad en todo momento.

En la fase de autorización de los de controles de acceso, el sistema examina las solicitudes de los usuarios y, aplicando unas reglas predefinidas, las acepta o rechaza.

Así pues, la autorización es el proceso por el cual el sistema de seguridad autoriza al usuario identificado y autenticado a acceder a determinados recursos.

En el proceso de autorización se conceden privilegios específicos (incluyendo "ninguno") a un usuario basándose en su identidad autenticada, los privilegios que solicita y el estado actual del sistema.

Las autorizaciones también pueden estar basadas en restricciones, tales como restricciones horarias, restricciones sobre la localización del usuario solicitante o la prohibición de realizar logins múltiples simultáneos del mismo usuario.

De esta manera, la autorización protege los recursos del sistema permitiendo que sean usados sólo por aquellos usuarios a los que se les ha concedido permiso para ello.

Los permisos son generalmente definidos por el administrador del sistema, en aplicación de algún tipo de política de seguridad. Existen numerosos enfoques posibles en las políticas de seguridad, como MAC, DAC, RBAC, ABAC, ACL, MLS, Todo denegado, Todo autorizado o Privilegio mínimo.