Autorización o autorización (ver diferencias ortográficas ) es la función de especificar derechos/privilegios de acceso a los recursos, que está relacionada con la seguridad general de la información y la seguridad informática , y con el control de acceso en particular. [1] Más formalmente, "autorizar" es definir una política de acceso. Por ejemplo, el personal de recursos humanos normalmente está autorizado a acceder a los registros de los empleados y esta política a menudo se formaliza como reglas de control de acceso en un sistema informático. Durante la operación, el sistema utiliza las reglas de control de acceso para decidir si las solicitudes de acceso de consumidores ( autenticados ) deben aprobarse (otorgarse) o desaprobarse (rechazarse). [2] Los recursos incluyen archivos individuales o datos de un elemento , programas informáticos , dispositivos informáticos y funcionalidad proporcionada por aplicaciones informáticas . Ejemplos de consumidores son los usuarios de computadoras, software y otro hardware de la computadora.
El control de acceso en sistemas y redes informáticas se basa en políticas de acceso. El proceso de control de acceso se puede dividir en las siguientes fases: fase de definición de políticas donde se autoriza el acceso y fase de aplicación de políticas donde se aprueban o desaprueban las solicitudes de acceso. La autorización es la función de la fase de definición de políticas que precede a la fase de aplicación de políticas donde las solicitudes de acceso se aprueban o desaprueban en función de las autorizaciones definidas previamente.
La mayoría de los sistemas operativos multiusuario modernos incluyen control de acceso basado en roles (RBAC) y, por lo tanto, dependen de la autorización. El control de acceso también utiliza la autenticación para verificar la identidad de los consumidores. Cuando un consumidor intenta acceder a un recurso, el proceso de control de acceso verifica que el consumidor haya sido autorizado a utilizar ese recurso. La autorización es responsabilidad de una autoridad , como un director de departamento, dentro del dominio de la aplicación, pero a menudo se delega a un custodio, como un administrador del sistema. Las autorizaciones se expresan como políticas de acceso en algunos tipos de "aplicaciones de definición de políticas", por ejemplo, en forma de una lista de control de acceso o una capacidad , o un punto de administración de políticas, por ejemplo, XACML . Sobre la base del " principio de privilegio mínimo ": los consumidores sólo deberían estar autorizados a acceder a lo que necesiten para realizar su trabajo. Los sistemas operativos más antiguos y de usuario único a menudo tenían sistemas de control de acceso y autenticación débiles o inexistentes.
Los "consumidores anónimos" o "invitados" son consumidores a los que no se les ha requerido autenticarse. A menudo tienen autorización limitada. En un sistema distribuido, suele ser deseable conceder acceso sin requerir una identidad única. Ejemplos familiares de tokens de acceso incluyen claves, certificados y tickets: otorgan acceso sin demostrar la identidad.
Los consumidores de confianza suelen estar autorizados para acceder sin restricciones a los recursos de un sistema, pero deben ser verificados para que el sistema de control de acceso pueda tomar la decisión de aprobación de acceso. "Parcialmente confiable" y los invitados a menudo tendrán autorización restringida para proteger los recursos contra el acceso y uso inadecuados. La política de acceso en algunos sistemas operativos, de forma predeterminada, otorga a todos los consumidores acceso completo a todos los recursos. Otros hacen lo contrario, insistiendo en que el administrador autorice explícitamente al consumidor a utilizar cada recurso.
Incluso cuando el acceso se controla mediante una combinación de autenticación y listas de control de acceso , los problemas de mantener los datos de autorización no son triviales y, a menudo, representan tanta carga administrativa como la gestión de las credenciales de autenticación. A menudo es necesario cambiar o eliminar la autorización de un usuario: esto se hace cambiando o eliminando las reglas de acceso correspondientes en el sistema. El uso de la autorización atómica es una alternativa a la gestión de autorizaciones por sistema, donde un tercero de confianza distribuye de forma segura la información de autorización.
En política pública , la autorización es una característica de los sistemas confiables utilizados para seguridad o control social .
En banca , una autorización es una retención que se aplica a la cuenta de un cliente cuando se realiza una compra con una tarjeta de débito o de crédito .
En el sector editorial , a veces se publican conferencias públicas y otros textos disponibles gratuitamente sin la aprobación del autor . Estos se denominan textos no autorizados. Un ejemplo es 'La teoría del todo: el origen y el destino del universo' de 2002 , que fue recopilado de las conferencias de Stephen Hawking y publicado sin su permiso según la ley de derechos de autor. [ cita necesaria ]
