La autorización o autorización (ver diferencias ortográficas ) es la función de especificar derechos/privilegios para acceder a recursos, que está relacionada con la seguridad general de la información y la seguridad informática , y con IAM (Gestión de identidad y acceso) en particular. [1] De manera más formal, "autorizar" es definir una política de acceso durante la configuración de sistemas y cuentas de usuario. Por ejemplo, las cuentas de usuario para el personal de recursos humanos suelen configurarse con autorización para acceder a los registros de los empleados, y esta política se formaliza como reglas de control de acceso en un sistema informático. La autorización no debe confundirse con el control de acceso. Durante el uso, el control de acceso hace cumplir la política de autorización al decidir si las solicitudes de acceso a los recursos de los consumidores ( autenticados ) se aprobarán (concederán) o rechazarán (rechazarán). [2] Los recursos incluyen archivos individuales o datos de un elemento , programas informáticos , dispositivos informáticos y funcionalidad proporcionada por aplicaciones informáticas . Ejemplos de consumidores son los usuarios de computadoras, el software de computadoras y otro hardware en la computadora.
La IAM consta de dos fases: la fase de configuración, en la que se crea una cuenta de usuario y se define su correspondiente política de autorización de acceso, y la fase de uso, en la que se lleva a cabo la autenticación del usuario seguida del control de acceso para garantizar que el usuario/consumidor solo tenga acceso a los recursos para los que está autorizado. Por lo tanto, el control de acceso en los sistemas informáticos y las redes se basa en la autorización de acceso especificada durante la configuración.
La mayoría de los sistemas operativos multiusuario modernos incluyen control de acceso basado en roles (RBAC) donde la autorización está definida implícitamente por los roles. La autenticación de usuarios es el proceso de verificar la identidad de los consumidores. Cuando un consumidor autenticado intenta acceder a un recurso, el proceso de control de acceso verifica que el consumidor haya sido autorizado para usar ese recurso. La autorización es responsabilidad de una autoridad , como un gerente de departamento, dentro del dominio de la aplicación, pero a menudo se delega a un custodio como un administrador del sistema. Las autorizaciones se expresan como políticas de acceso en algunos tipos de "aplicación de definición de políticas", por ejemplo, en forma de una lista de control de acceso o una capacidad , o un punto de administración de políticas, por ejemplo, XACML . Sobre la base del " principio del mínimo privilegio ": los consumidores solo deberían estar autorizados a acceder a lo que necesiten para hacer su trabajo. Los sistemas operativos más antiguos y de un solo usuario a menudo tenían sistemas de autenticación y control de acceso débiles o inexistentes.
Los "consumidores anónimos" o "invitados" son consumidores a los que no se les ha exigido que se autentiquen. Suelen tener una autorización limitada. En un sistema distribuido, suele ser conveniente conceder acceso sin exigir una identidad única. Algunos ejemplos conocidos de tokens de acceso son las claves, los certificados y los tickets: conceden acceso sin demostrar la identidad.
Los consumidores de confianza suelen estar autorizados a acceder sin restricciones a los recursos de un sistema, pero deben ser verificados para que el sistema de control de acceso pueda tomar la decisión de aprobar el acceso. Los "parcialmente confiables" y los invitados suelen tener una autorización restringida para proteger los recursos contra el acceso y el uso indebidos. La política de acceso de algunos sistemas operativos, de forma predeterminada, otorga a todos los consumidores acceso total a todos los recursos. Otros hacen lo contrario e insisten en que el administrador autorice explícitamente a un consumidor a utilizar cada recurso.
Incluso cuando el acceso se controla mediante una combinación de autenticación y listas de control de acceso , los problemas de mantenimiento de los datos de autorización no son triviales y, a menudo, representan una carga administrativa tan grande como la gestión de credenciales de autenticación. A menudo es necesario cambiar o eliminar la autorización de un usuario: esto se hace modificando o eliminando las reglas de acceso correspondientes en el sistema. El uso de la autorización atómica es una alternativa a la gestión de autorizaciones por sistema, donde un tercero de confianza distribuye de forma segura la información de autorización.
En las políticas públicas , la autorización es una característica de los sistemas confiables utilizados para la seguridad o el control social .
En el ámbito bancario , una autorización es una retención que se coloca en la cuenta de un cliente cuando se realiza una compra con una tarjeta de débito o de crédito .
En el ámbito editorial , a veces se publican conferencias públicas y otros textos de libre acceso sin la aprobación del autor . Estos se denominan textos no autorizados. Un ejemplo es "La teoría del todo: el origen y el destino del universo" de 2002 , que se recopiló a partir de las conferencias de Stephen Hawking y se publicó sin su permiso de conformidad con la ley de derechos de autor. [ cita requerida ]