> For the complete documentation index, see [llms.txt](https://utm-1.gitbook.io/utm-docs/llms.txt). Markdown versions of documentation pages are available by appending `.md` to page URLs; this page is available as [Markdown](https://utm-1.gitbook.io/utm-docs/dokumentaciya/utm-it/resheniya/organizaciya-dostupov/spravochnaya-informaciya/identifikaciya-autentifikaciya-avtorizaciya.md).

# Идентификация, аутентификация, авторизация

#### Основные понятия: идентификация, аутентификация, авторизация

Эти три процесса образуют **цепочку доступа** к IT‑системе и всегда идут в строго определённой последовательности:

1. **Идентификация** → 2. **Аутентификация** → 3. **Авторизация**.

Разберём каждое понятие подробно.

**1. Идентификация**

* **Суть**: субъект (пользователь, устройство, сервис) *сообщает системе, кто он*.
* **Что происходит**: система принимает уникальный идентификатор, но *не проверяет его подлинность*.
* **Примеры идентификаторов**:
  * логин;
  * email;
  * номер телефона;
  * ID‑ключ или токен;
  * номер карты или пропуска;
  * имя устройства в сети.

**2. Аутентификация**

* **Суть**: проверка *подлинности* субъекта, который прошёл идентификацию.
* **Цель**: убедиться, что субъект — действительно тот, за кого себя выдаёт.
* **Факторы аутентификации** (могут комбинироваться):
  * **Знание** (то, что субъект знает): пароль, PIN‑код, ответ на секретный вопрос.
  * **Владение** (то, чем субъект владеет): смартфон для SMS‑кода, аппаратный токен, пропуск.
  * **Неотъемлемость** (то, чем субъект является): отпечаток пальца, лицо, голос, радужная оболочка.
* **Виды по количеству факторов**:
  * *Однофакторная* (например, только пароль).
  * *Двухфакторная* (пароль + SMS‑код).
  * *Многофакторная* (пароль + токен + биометрия).

**3. Авторизация**

* **Суть**: определение *прав* субъекта внутри системы.
* **Когда происходит**: только после успешной аутентификации.
* **Что проверяет система**:
  * какие данные можно просматривать;
  * какие функции доступны;
  * какие действия можно выполнять;
  * к каким разделам системы разрешён доступ.
* **Основные модели авторизации**:
  * **Дискреционная (DAC)**: владелец ресурса сам назначает права.
  * **Мандатная (MAC)**: централизованная политика с метками конфиденциальности (характерно для госструктур).
  * **Ролевая (RBAC)**: доступ по ролям (например, «бухгалтер», «менеджер»).
  * **Атрибутивная (ABAC)**: доступ на основе атрибутов (отдел, время суток, местоположение).
  * **Контекстно‑ориентированная (CBAC)**: учитывает контекст запроса (время, место, поведение).

#### Ключевые различия между аутентификацией и авторизацией

| Параметр                       | Аутентификация              | Авторизация                    |
| ------------------------------ | --------------------------- | ------------------------------ |
| **Основной вопрос**            | «Кто вы?»                   | «Что вам разрешено?»           |
| **Когда происходит**           | Перед авторизацией          | После аутентификации           |
| **Видимость для пользователя** | Заметна, требует действий   | Часто невидима                 |
| **Изменяемость**               | Обычно самим пользователем  | Настраивается администратором  |
| **Данные для проверки**        | Учётные данные пользователя | Политики и правила доступа     |
| **Частота выполнения**         | Один раз при входе          | При каждом обращении к ресурсу |

#### Связанные понятия и технологии

1. **SSO (Single Sign‑On)**
   * Единая система аутентификации для нескольких приложений (например, вход через Google/GitHub).
   * Упрощает процесс, но требует надёжной защиты главного аккаунта.
2. **MFA (Multi‑Factor Authentication)**
   * Многофакторная аутентификация: комбинация двух и более факторов (пароль + биометрия + токен).
3. **IdM/IGA‑системы**
   * Решения для управления идентификацией и доступом (например, Solar inRights, Azure AD).
   * Автоматизируют процессы аутентификации и авторизации.
4. **Zero Trust**
   * Модель безопасности, где *каждый запрос* проверяется заново, даже внутри сети.
   * Комбинирует непрерывную аутентификацию и контекстную авторизацию.
5. **Принцип наименьших привилегий (PoLP)**
   * Пользователь получает только те права, которые строго необходимы для работы.
   * Снижает риски при компрометации аккаунта.
6. **Логирование доступа**
   * Фиксация всех попыток аутентификации и авторизации.
   * Помогает расследовать инциденты и выявлять аномалии.
7. **Сессии и токены**
   * После успешной аутентификации система выдаёт токен (например, JWT), который используется для последующих авторизационных проверок.
   * Токены могут иметь срок действия и ограничения по области применения.

#### Почему важно различать эти понятия?

Ошибки в понимании ведут к уязвимостям:

* **Перекос в сторону аутентификации** (например, сложная MFA, но слабая авторизация) — пользователь получает доступ к чужим данным.
* **Слабая идентификация** — система принимает поддельные идентификаторы.
* **Неправильная авторизация** — избыточные права у пользователей, риск утечек.

**Итог**:

* **Идентификация** — «я говорю, кто я».
* **Аутентификация** — «докажи, что ты это ты».
* **Авторизация** — «вот что тебе можно делать».
