IAM — tashkilotdagi user, service, application va qurilmalar identity’sini boshqarish hamda ularga kerakli resource’larga nazoratli access berish jarayonlari va texnologiyalari majmuasi. To‘liq nomi Identity and Access Management.
IAM authentication, authorization, account lifecycle, role, policy, federation va auditni birlashtiradi.
Identity
Identity tizimdagi principalni ifodalaydi.
Principal:
bo‘lishi mumkin.
Har identity barqaror unique identifierga ega bo‘ladi.
Authentication
Authentication principal kim ekanini tekshiradi.
Usullar:
- parol;
- passkey;
- hardware key;
- certificate;
- OTP;
- biometric;
- federated login.
Kuchli authentication identity’ni tasdiqlaydi, ammo qanday resource’ga kirishini authorization belgilaydi.
Authorization
Authorization authenticated principal qaysi amalni bajarishi mumkinligini tekshiradi.
Modellar:
Qaror resource, action, tenant va contextga bog‘liq bo‘lishi mumkin.
Identity lifecycle
Xodim yoki user lifecycle’i:
- identity yaratish;
- initial access;
- role va group berish;
- vazifa o‘zgarishi;
- vaqtinchalik access;
- review;
- offboarding;
- account delete yoki archive.
Ketgan xodim accessi tez bekor qilinadi.
Joiner, Mover, Leaver
IAM jarayoni ko‘pincha:
- Joiner — yangi xodim;
- Mover — rol yoki bo‘lim o‘zgardi;
- Leaver — tashkilotni tark etdi
holatlariga ajratiladi.
Mover holatida yangi access qo‘shilib, eski access olib tashlanishi kerak.
Provisioning
Account va permissionlar target systemlarga avtomatik yaratiladi.
Manba HR yoki identity directory bo‘lishi mumkin.
ni boshqaradi.
Deprovisioning
Identity o‘chirilganda barcha target systemdagi access bekor qilinadi.
Faqat central accountni disable qilish yetarli emas, agar:
mavjud bo‘lsa.
Directory
Directory user, group va organization metadata’sini saqlaydi.
Applicationlar central identity provider bilan integratsiya qilsa har birida alohida parol saqlash kamayadi.
Directory availability va replication muhim infratuzilma hisoblanadi.
Single Sign-On
SSO userga bir marta authentication qilib bir nechta applicationga kirish imkonini beradi.
Afzalligi:
- kam parol;
- central policy;
- tez offboarding;
- MFAni markazlashtirish;
- audit.
Identity provider compromise bo‘lsa ko‘p applicationga ta’sir qilishi mumkin.
Federation
Bir tashkilot boshqa identity provider bergan identity’ga ishonadi.
Protocol va formatlar:
- SAML;
- OpenID Connect;
- OAuth bilan bog‘liq flow;
- certificate-based federation.
Trust, audience, issuer va signature to‘g‘ri tekshiriladi.
MFA
Multi-factor authentication turli factor kategoriyalaridan foydalanadi:
- biladigan narsa;
- ega bo‘lgan narsa;
- biologik xususiyat.
Ikki xil parol ikki factor emas.
Phishingga chidamli factor privileged va sensitive access uchun afzal.
Conditional access
Access qarori contextga qarab o‘zgaradi:
- device managedmi;
- location;
- risk;
- network;
- user role;
- application sensitivity;
- authentication strength.
Shubhali login qo‘shimcha verification talab qilishi yoki bloklanishi mumkin.
Service identity
Machine-to-machine communication ham identity talab qiladi.
Service account:
- human accountdan ajratiladi;
- interaktiv login qilmaydi;
- minimal permission;
- short-lived credential;
- rotation;
- owner;
- workloadga bog‘lash
bilan boshqariladi.
Access review
Davriy review manager yoki resource ownerga user accesslarini tasdiqlash imkonini beradi.
Tekshiriladi:
- role mosmi;
- dormant account;
- admin access;
- contractor muddati;
- group membership;
- conflicting duty.
Review formal belgi qo‘yish emas, real cleanupga olib kelishi kerak.
Identity governance
Governance policy, approval, separation of duties, review va compliance’ni boshqaradi.
Kim access so‘raydi, kim tasdiqlaydi va kim audit qiladi — rollar ajratiladi.
High-risk permission uchun ikki bosqichli approval bo‘lishi mumkin.
IAM va PAM
IAM barcha identity va accessni boshqaradi.
PAM esa yuqori privilege’li account va sessionlarga alohida chuqur nazorat beradi.
PAM IAM ekotizimining specialized qismi sifatida qaralishi mumkin.
Audit
IAM loglari:
- login;
- MFA;
- token;
- role change;
- failed access;
- provisioning;
- deprovisioning;
- admin action;
- federation
hodisalarini saqlaydi.
SIEM bu loglarni boshqa security signal bilan birlashtiradi.
Identity proofing
Account yaratishda da’vo qilinayotgan inson yoki tashkilot haqiqiyligi ma’lum assurance darajasida tekshiriladi. Consumer, employee va privileged administrator uchun proofing darajasi farq qilishi mumkin. Zaif enrollment keyingi kuchli MFAni ham noto‘g‘ri shaxsga beradi.
Token lifecycle
IAM authenticationdan keyin token chiqarishi mumkin. Token:
bilan tekshiriladi. Uzoq yashaydigan refresh token secure storage, rotation va reuse detection talab qiladi.
Dormant account
Uzoq vaqt ishlatilmagan account attacker uchun yashirin access bo‘lishi mumkin. Dormant identity avtomatik disable yoki review qilinadi. Service account uchun “login bo‘lmagan” mezon emas, haqiqiy workload usage kuzatiladi.
Identity source
HR yoki customer database identity ma’lumotining source of truth bo‘lishi mumkin. Bir xil inson uchun duplicate identity yaratilsa permission va offboarding bo‘linib ketadi. Identity correlation ehtiyotkor va privacy talabiga mos bajariladi.
Account linking
User email yoki boshqa identifier o‘zgarganda yangi identity yaratish o‘rniga mavjud account bilan xavfsiz bog‘lash kerak bo‘lishi mumkin. Noto‘g‘ri linking boshqa inson accountini egallashga olib keladi. Linking oldingi trusted session yoki kuchli qayta verification talab qiladi.
Identity recovery
MFA qurilmasi yo‘qolsa recovery jarayoni ishlaydi. Support faqat oson topiladigan shaxsiy ma’lumotga tayanmaydi. Recovery hodisasi riskli event sifatida log qilinadi, eski authenticatorlar revoke qilinadi va userga xabar beriladi.
Bog‘liq tushunchalar
Identity and Access Management, Identity, Authentication, Authorization, SSO, Federation, MFA, Provisioning, RBAC, ABAC, PAM, Identity provider