प्राधिकरण किसी को कुछ करने की अनुमति देने की प्रक्रिया है। यह यह जांचने के लिए एक दृष्टिकोण को परिभाषित करता है कि उपयोगकर्ता को संसाधन की आवश्यकता है या नहीं। यह प्रतिनिधित्व कर सकता है कि एक उपयोगकर्ता किस डेटा और जानकारी तक पहुंच सकता है।
इसे AuthZ भी कहा जाता है। प्राधिकरण आम तौर पर प्रमाणीकरण के साथ काम करता है ताकि सिस्टम यह समझ सके कि सूचना तक कौन पहुंच रहा है। प्राधिकरण एक सुरक्षा संरचना है जिसका उपयोग उपयोगकर्ता/ग्राहक विशेषाधिकार या सिस्टम संसाधनों से जुड़े एक्सेस स्तरों, जैसे कंप्यूटर प्रोग्राम, फ़ाइलें, सेवाएं, डेटा और एप्लिकेशन सुविधाओं को तय करने के लिए किया जाता है।
प्राधिकरण आमतौर पर ग्राहक पहचान सत्यापन के लिए प्रमाणीकरण से पहले होता है। सिस्टम एडमिनिस्ट्रेटर (एसए) को आम तौर पर कुछ सिस्टम और ग्राहक संसाधनों को कवर करने वाले अनुमति स्तर सौंपे जाते हैं।
प्राधिकरण के दौरान, एक सिस्टम एक प्रमाणित उपयोगकर्ता के पहुँच नियमों की जाँच करता है और या तो अनुदान देता है या संसाधन पहुँच बर्बाद करता है। एप्लिकेशन परिनियोजन और प्रशासन का समर्थन करने के लिए कुशलतापूर्वक डिज़ाइन की गई प्राधिकरण प्रक्रियाओं पर आधारित आधुनिक और बहु-उपयोगकर्ता ऑपरेटिंग सिस्टम।
उपयोगकर्ता प्रकार, संख्या और क्रेडेंशियल जैसे मुख्य कारक जिन्हें सत्यापन और संबद्ध कार्रवाइयों और भूमिकाओं की आवश्यकता होती है। उदाहरण के लिए, भूमिका-आधारित प्राधिकरण को निश्चित उपयोगकर्ता संसाधन ट्रैकिंग विशेषाधिकारों की आवश्यकता वाले उपयोगकर्ता समूहों द्वारा निर्दिष्ट किया जा सकता है।
इसके अलावा, प्राधिकरण एक उद्यम प्रमाणीकरण संरचना पर आधारित हो सकता है, जैसे कि सक्रिय निर्देशिका (एडी), निर्बाध सुरक्षा नीति एकीकरण के लिए। उदाहरण के लिए, ASP.NET इंटरनेट-आधारित .NET अनुप्रयोगों के लिए प्रमाणीकरण और प्राधिकरण सेवाओं का समर्थन करने के लिए इंटरनेट सूचना सर्वर (IIS) और Microsoft Windows के साथ काम करता है।
विंडोज कुछ संसाधनों के लिए एक्सेस कंट्रोल लिस्ट (एसीएल) का समर्थन करने के लिए नई तकनीक फाइल सिस्टम (एनटीएफएस) का उपयोग करता है। एसीएल संसाधन पहुंच पर अंतिम प्राधिकरण के रूप में कार्य करता है। .NET फ्रेमवर्क प्राधिकरण समर्थन के लिए एक वैकल्पिक भूमिका-आधारित सुरक्षा पद्धति का समर्थन करता है।
भूमिका-आधारित सुरक्षा एक गतिशील दृष्टिकोण है जो सर्वर अनुप्रयोगों के अनुकूल है और कोड एक्सेस सुरक्षा जांच के समान है, जहां अधिकृत एप्लिकेशन उपयोगकर्ता भूमिकाओं के अनुसार निर्णय लेते हैं।
एक प्राधिकरण नीति इंगित करती है कि पहचान क्या करने में सक्षम है। उदाहरण के लिए, किसी बैंक का कोई भी ग्राहक उस बैंक की ऑनलाइन सेवा में लॉग इन करने के लिए एक पहचान (जैसे, एक उपयोगकर्ता नाम) बना सकता है और उसका उपयोग कर सकता है, लेकिन बैंक की प्राधिकरण नीति को यह सुनिश्चित करना चाहिए कि पहचान होने के बाद ही वह व्यक्तिगत खाते को ऑनलाइन एक्सेस करने के लिए अधिकृत हो सकता है। सत्यापित।
प्राधिकरण का उपयोग केवल एक वेबसाइट या कंपनी इंट्रानेट की तुलना में अधिक बारीक स्तरों पर किया जा सकता है। व्यक्तिगत पहचान को उन पहचानों के समूह में समाहित किया जा सकता है जो एक सामान्य प्राधिकरण नीति साझा करते हैं।
उदाहरण के लिए, मान लें कि एक डेटाबेस जिसमें ग्राहक की खरीदारी और ग्राहक का व्यक्तिगत और क्रेडिट कार्ड डेटा दोनों शामिल हैं।
एक व्यापारी इस डेटाबेस के लिए एक प्राधिकरण नीति बना सकता है ताकि सभी ग्राहक खरीद के लिए मार्केटिंग समूह की पहुंच को सक्षम किया जा सके लेकिन सभी उपयोगकर्ता व्यक्तिगत और क्रेडिट कार्ड डेटा तक पहुंच से बचें, ताकि मार्केटिंग टीम प्रसिद्ध उत्पादों को बढ़ावा देने या बिक्री पर रखने के लिए पहचान सके।