GH GambleHub

पहचान और पहुँच प्रबंधन

संक्षिप्त सारांश

आईएएम प्रक्रियाओं, नीतियों और उपकरणों का एक संग्रह है जो प्रदान करता है कि किन परिस्थितियों में, किन परिस्थितियों में और कैसे इसे नियंत उद्देश्य: निरर्थक अधिकारों को कम करना, हमले की सतह को कम करना, ऑनबोर्डिंग और ऑडिटिंग में त्वरण, अनुपालन (पीसीआई डीएसएस, जीडीपीआर, आदि) और औसत दर्जे की पहुंच विश्वसनीयता।

बुनियादी अवधारणाएँ

पहचान: व्यक्ति (कर्मचारी, ठेकेदार), सेवा/अनुप्रयोग, उपकरण।

प्रमाणीकरण (AuthN): कौन जाँचता है (पासवर्ड → MFA → पासवर्ड-मुक्त FIDO2/passkeys योजनाएँ).

प्राधिकरण (AuthZ): निर्णय "क्या अनुमति है" (RBAC/ABAC/ReBAC, नीतियां)।

श्रेय: पासवर्ड, कुंजी, टोकन, प्रमाणपत्र (mTLS)।

गुप्त प्रबंधन: केएमएस/एचएसएम/वॉल्ट, घुमाव, छोटा टीटीएल, गतिशील रहस्य।

जीवन चक्र: जॉइनर-मूवर-लीवर (JML) - बनाएं, भूमिकाएँ बदलें, याद करें।

लक्ष्य IAM वास्तुकला

योजनाएँ और भूमिकाएँ:
  • IdP (पहचान प्रदाता): SSO, MFA, निर्देशिका, महासंघ (OIDC/SAML), जोखिम नीतियां।
  • पीडीपी/पीईपी: निर्णय/प्रवर्तन - नीति इंजन (ओपीए/देवदार) + अनुप्रयोग बिंदु (एपीआई गेटवे, प्रॉक्सी, सेवा जाल)।
  • कैटलॉग/एचआर सिस्टम: कर्मचारी और भूमिका द्वारा सत्य का स्रोत
  • प्रोविजनिंग: SCIM/स्वचालन एक्सेस बनाने/संशोधित करने/निरस्त करने के लिए।
  • ऑडिट: केंद्रीकृत लॉग, यूईबीए, भूमिका और पहुंच रिपोर्ट।
अभिगम प्रवाह (user→app):
  • SSO (+ MFA) → टोकन मुद्दा (OIDC/JWT/SAML) → PEP टोकन/संदर्भ की जांच करता है → PDP नीति (भूमिका/विशेषताओं/जोखिम) पर निर्णय लेता है → आवेदन मुद्दे/इनकार।

सत्यापन: पासवर्ड से पासकी तक

पासवर्ड: केवल पासवर्ड प्रबंधकों के साथ, कम से कम 12-14 वर्ण, रोटेशन के बिना "कैलेंडर के अनुसार", लेकिन एक घटना के मामले में अनिवार्य है।

डिफ़ॉल्ट MFA: TOTP/WebAuthn/Push; एक प्रमुख कारक के रूप में एसएमएस से बचें।

पासवर्ड-मुक्त लॉगिन: FIDO2/passkeys महत्वपूर्ण डोमेन के लिए।

अनुकूली AuthN: जोखिम संकेत (भू, एएसएन, उपकरण, विसंगतियों) पर विचार करें → अतिरिक्त कारक/ब्लॉक की आवश्यकता होती है।

प्राधिकरण: RBAC, ABAC, ReBAC

RBAC: फ़ंक्शन (समर्थन, वित्त, DevOps) के अनुरूप भूमिकाएँ। सरल और समझने योग्य, लेकिन "बढ़रहा है।"

ABAC: विशेषताओं (विभाग, जोखिम स्तर, समय, क्षेत्र, संसाधन लेबल) पर नियम। स्केलेबल।

ReBAC: "जो रिश्तों से संबंधित है" (परियोजना के मालिक, टीम के सदस्य)। बहु-किरायेदार परिदृश्यों के लिए सुविधाजनक।

सर्वोत्तम प्रथा

RBAC (बेस ग्रिड) + ABAC/ReBAC (संदर्भ/सीमा) को मिलाएं।

JIT (जस्ट-इन-टाइम): अनुरोध/ऐप, स्वचालित निरसन के माध्यम से अस्थायी विशेषाधिकार जारी करना।

JEA (जस्ट-एनफ एक्सेस): ऑपरेशन के लिए न्यूनतम पर्याप्त अधिकार।

PAM: सत्र ब्रोकर, स्क्रीन/कमांड रिकॉर्डिंग और अल्पकालिक क्रेडिट जारी करने के साथ अलग-थलग "मजबूत" एक्सेस (DB/क्लाउड एडवांस)।

फेडरेशन और एसएसओ

प्रोटोकॉल: OIDC (JWT टोकन), SAML 2। 0 (एक्सएमएल दावे) - बाहरी प्रदाताओं/भागीदारों के लिए।

एसएसओ: एमएफए के साथ प्रवेश का एकल बिंदु, फ़िशिंग में कमी, केंद्रीकृत रिकॉल।

B2B/B2C: भागीदारों के साथ महासंघ, डोमेन प्रतिबंध, डोमेन-आधारित नीतियां।

mTLS/m2m: सेवाओं के लिए, अल्पकालिक x.509 (SPIFFE/SVID) या OAuth2 क्लाइंट क्रेडेंशियल्स का उपयोग करें।

जीवन चक्र (JML) और प्रावधान

जॉइनर: एचआर/निर्देशिका से खातों और बुनियादी भूमिकाओं का स्वचालित SCIM प्रावधान।

मूवर: भूमिकाएं विशेषताओं (विभाग, परियोजना, स्थान) द्वारा स्वचालित रूप से बदलती

लीवर: एसएसओ, कुंजी, टोकन, भंडार/क्लाउड/सीआई/सीडी एक्सेस की तत्काल याद।

प्रक्रियाएं: एक्सेस अनुरोध (ITSM), SoD मैट्रिक्स (कर्तव्यों का विभाजन), आवधिक पहुंच समीक्षा।

रहस्य, कुंजी और घूर्णन

केएमएस/एचएसएम: रूट/क्रिटिकल कुंजियाँ भंडारित करें, ऑपरेशन ऑडिटिंग सक्षम करें।

तिजोरी/रहस्य प्रबंधक: गतिशील क्रेडिट (डीबी, बादल), टीटीएल पूरा होने पर ऑटो-रिवोक।

घुमाव: OAuth टोकन, JWT हस्ताक्षर कुंजी, सेवा पासवर्ड - समय पर और घटनाओं के मामले में।

mTLS: अल्पकालिक प्रमाणपत्र (घंटे/दिन), स्वचालित पुनर्जागरण।

नीतियाँ और समाधान इंजन

घोषणापत्र: गीत में नीतियों को संग्रहीत करें; सीआई (नीति-परीक्षण) में जांच करें।

संदर्भ: समय/स्थान/एएसएन/जोखिम स्तर/उपकरण स्थिति (एमडीएम/ईडीआर)।

उदाहरण (रेगो, सरलीकृत): 
rego package authz. payments default allow = false

allow {
input. user. role == "finance"
input. device. compliant == true input. action == "read"
input. resource. type == "report"
time. now_hh >= 8 time. now_hh <= 20
}

निगरानी, एसएलओ और लेखा परीक्षा

मेट्रिक्स:
  • AuthN/AuthZ (%) की सफलता, p95 लॉगिन/निर्णय समय, MFA/पासवर्ड-मुक्त इनपुट का हिस्सा।
  • जेआईटी/पीएएम वृद्धि की संख्या, औसत विशेषाधिकार अवधि।
  • आज्ञाकारी उपकरणों का कवरेज, अल्पकालिक रहस्यों का हिस्सा।
एसएलओ (उदाहरण):
  • एसएसओ/आईडीपी ≥ 99 की उपलब्धता। 95% प्रति माह।
  • p95 AuthZ निर्णय ≤ 50 мс।
  • ऑफबोर्डिंग के 100% बंद ≤ 15 मिनट बाद।
  • ऑडिट और यूईबीए: केंद्रीकृत अपरिवर्तनीय लॉग (एक्सेस, भूमिका परिवर्तन, असफल इनपुट, पीडीपी समाधान), व्यवहार विश्लेषण और विसंगति अलार्म।

आईएएम में हादसा-अनुक्रिया

टोकन/कुंजियों का समझौता: तत्काल निरसन, मजबूर लॉगआउट, हस्ताक्षर कुंजियों का रोटेशन, अल्पकालिक रहस्यों का पुन: जारी।

अधिकारों का दुरुपयोग: खाते को निलंबित करें, JIT/JEA को अवरुद्ध करें, पड़ोसी संस्थाओं की पहुंच की समीक्षा करें।

IdP उपलब्ध नहीं है: ऑफ़ लाइन मोड (छोटे TTL के साथ टोकन का अस्थायी कैश सत्यापन), प्राथमिकता वसूली प्रक्रिया।

फ़िशिंग: अनिवार्य एमएफए, सत्रों की जोखिम जाँच, उपयोगकर्ताओं को सूचनाएँ, प्रशिक्षण।

बादल और कुबेरनेट्स (पैटर्न)

पब्लिक क्लाउड IAM: कम से कम विशेषाधिकार के साथ देशी भूमिकाओं का उपयोग करें "अनन्त" कुंजियों के बजाय - क्लाउड (IRSA/वर्कलोड पहचान) के लिए OIDC महासंघ के साथ कार्यभार।

Kubernetes: neimspaces/भूमिकाओं द्वारा RBAC, 'क्लस्टर-एडमिन' को सीमित करें; रहस्य - बाहरी प्रबंधकों के माध्यम से; L7 नीतियों के लिए सेवा जाल + OPA; प्रवेश नियंत्रक (हस्ताक्षरित चित्र, निषेध ": नवीनतम")।

एपीआई गेटवे: संवेदनशील समापन बिंदुओं के लिए जेडब्ल्यूटी/एमटीएलएस की जांच, दर सीमा, अनुरोध हस्ताक्षर (एचएमएसी)।

iGaming/fintech के लिए अभ्यास करें

एक्सेस डोमेन: भुगतान, धोखाधड़ी-विरोधी, पीआईआई, सामग्री प्रदाता - भूमिकाओं और नेटवर्क खंडों के साथ अलग-थलग।

SoD: परस्पर विरोधी भूमिकाओं को संयोजित न करें (जैसे। प्रोमो + अनुमोदन भुगतान बनाएं)।

पीएएम और जेआईटी: पीएसपी/बैंकों और प्रोड-डीबी तक पहुंच के लिए - केवल एक सत्र ब्रोकर के माध्यम से, रिकॉर्डिंग और ऑटो-रिकॉल के साथ।

अनुपालन: पीसीआई डीएसएस - एमएफए, न्यूनतम विशेषाधिकार, सीएचडी ज़ोन विभाजन; जीडीपीआर - पीआईआई तक पहुंच के डेटा न्यूनतम और बिंदु लॉग का सिद्धांत।

भागीदार और सामग्री प्रदाता: महासंघ और प्रति-किरायेदार नीतियां; अल्पकालिक टोकन और आईपी/एएसएन अनुमति-सूची।

सामान्य त्रुटियाँ

"अनन्त" कुंजी और टोकन: कोई घुमाव नहीं हैं और टीटीएल - लीक का एक उच्च जोखिम है।

मैनुअल ऑफबोर्डिंग: अधिकारों के निरसन में देरी - "भूतिया" पहुंच।

मोनोलिथ भूमिकाएँ: रचना और विशेषताओं के बजाय एक "सुपर भूमिका"।

एमएफए केवल व्यवस्थापक पैनल में: एमएफए सभी इनपुट और महत्वपूर्ण संचालन के लिए होना चाहिए।

लॉग "कहीं नहीं": कोई केंद्रीकरण नहीं है और यूईबीए - बाद में घटनाओं का पता लगाने के लिए।

आईएएम कार्यान्वयन रोडमैप

1. उपयोगकर्ताओं/सेवाओं/संसाधनों की सूची; डेटा और संवेदनशीलता मानचित्र

2. सभी के लिए एसएसओ + एमएफए, फ़िशिंग-प्रतिरोधी कारक शामिल हैं।

3. रोल मॉडल: संदर्भ के लिए मूल आरबीएसी + विशेषताएं (एबीएसी); SoD मैट्रिक्स।

4. SCIM प्रावधान: एचआर/कैटलॉग से अधिकारों का ऑटो-निर्माण/परिवर्तन/निरसन; ITSM में एप्लिकेशन और अपडेट।

5. पीएएम और जेआईटी/जेईए: विशेषाधिकार प्राप्त पहुंच के लिए; रिकॉर्डिंग सत्र, लघु टीटीएल।

6. गुप्त प्रबंधन: स्थिर कुंजियों की अस्वीकृति; लघु प्रमाणपत्रों के साथ गतिशील रहस्य, घूर्णन, mTLS।

7. Git + CI में नीतियां: नियम परीक्षण, नियंत्रण बदलें, कैनरी नीति तैनाती।

8. अवलोकन और SLO: AuthN/AuthZ डैशबोर्ड, अलर्ट, नियमित पहुंच समीक्षा।

कलाकृतियों के उदाहरण

AWS IAM पॉलिसी (S3 रिपोर्ट पढ़ ने के लिए न्यूनतम)

json
{
"Version": "2012-10-17",
"Statement": [{
"Sid": "ReadOnlyReports",
"Effect": "Allow",
"Action": ["s3:GetObject","s3:ListBucket"],
"Resource": [
"arn:aws:s3:::reports-bucket",
"arn:aws:s3:::reports-bucket/"
],
"Condition": {
"IpAddress": { "aws:SourceIp": "203. 0. 113. 0/24" }
}
}]
}

Kubernetes RBAC (namespace-scoped डेवलपर)

yaml apiVersion: rbac. authorization. k8s. io/v1 kind: Role metadata:
name: dev-read-write namespace: app-prod rules:
- apiGroups: ["","apps"]
resources: ["pods","deployments","services","configmaps"]
verbs: ["get","list","watch","create","update","patch","delete"]
apiVersion: rbac. authorization. k8s. io/v1 kind: RoleBinding metadata:
name: dev-bind namespace: app-prod subjects:
- kind: User name: alice@example. com roleRef:
kind: Role name: dev-read-write apiGroup: rbac. authorization. k8s. io

OIDC: ABAC के लिए अनुमोदन (उदाहरण)

json
{
"sub": "d81f0b5c-...",
"email": "bob@example. com",
"dept": "finance",
"role": "analyst",
"device_compliant": true,
"tenant": "casino-eu"
}

संसाधन से मेल खाने के लिए नीति में 'युक्ति _ अनुपालन = सही' और 'किरायेदार' की आवश्यकता हो सकती है।

जाँच सूची

  • एसएसओ सभी अनुप्रयोगों के लिए सक्षम है; एमएफए डिफ़ॉल्ट रूप से, प्राथमिकता में पासकी।
  • आरबीएसी परिभाषित; ABAC/ReBAC संदर्भ जोड़ें; JIT/JEA द्वारा कार्यान्वित।
  • पीएएम विशेषाधिकार प्राप्त पहुँच की रक्षा करता है; सत्र रिकॉर्ड किए जा रहे हैं
  • एचआर से SCIM प्रावधान; ऑफबोर्डिंग पूरी तरह से स्वचालित है।
  • रहस्य गतिशील हैं, एक छोटे टीटीएल के साथ; घुमाव स्वचालित हैं।
  • Git में नीतियों का परीक्षण किया जाता है, CI में परीक्षण किया जाता है; कैनरी गणना कर रहे हैं।
  • AuthN/AuthZ के अनुसार डैशबोर्ड और SLO; केंद्रीकृत लॉग और यूईबीए।
  • आवधिक अभिगम समीक्षा और SoD जाँच; अनुपालन के लिए रिपोर्ट।

FAQ

क्या ReBAC को सभी की जरूरत है?

नहीं, यह नहीं है। RBAC + ABAC सरल वातावरण के लिए पर्याप्त है। ReBAC संसाधन स्वामित्व और बहु-किरायेदारी के एक जटिल पदानुक्रम में उपयोगी है।

क्या मैं स्थानीय खातों को छोड़ सकता हूं

केवल ब्रेक-ग्लास और ऑफ़ लाइन परिदृश्यों के लिए, सख्त प्रतिबंध और आवधिक सत्यापन के साथ।

"भूमिकाओं के विस्फोट" को कैसे कम करें?

संसाधन दानेदारी बढ़ाएं, ABAC/टेम्पलेट का उपयोग करें, स्वचालित समीक्षा करें और अप्रयुक्त भूमिकाओं को त्यागें।

कुल

परिपक्व IAM वास्तुकला SSO + MFA, न्यूनतम आवश्यक अधिकार, स्वचालित JML, केंद्रीकृत नीतियां और अवलोकन है। RBAC को विशेषता और संबंधपरक मॉडल के साथ जोड़ कर, JIT/JEA और PAM को लागू करके, प्रावधान और गुप्त घूर्णन को स्वचालित करके, आप सुरक्षा और व्यावसायिक आवश्यकताओं को पूरा करते हैं।

Contact

हमसे संपर्क करें

किसी भी प्रश्न या सहायता के लिए हमसे संपर्क करें।हम हमेशा मदद के लिए तैयार हैं!

Telegram
@Gamble_GC
इंटीग्रेशन शुरू करें

Email — अनिवार्य है। Telegram या WhatsApp — वैकल्पिक हैं।

आपका नाम वैकल्पिक
Email वैकल्पिक
विषय वैकल्पिक
संदेश वैकल्पिक
Telegram वैकल्पिक
@
अगर आप Telegram डालते हैं — तो हम Email के साथ-साथ वहीं भी जवाब देंगे।
WhatsApp वैकल्पिक
फॉर्मैट: देश कोड और नंबर (उदा. +91XXXXXXXXXX)।

बटन दबाकर आप अपने डेटा की प्रोसेसिंग के लिए सहमति देते हैं।