هما مفهومين أساسيين في مجال أمن المعلومات بشكل عام ، وغالبًا ما يتم استخدامهما معًا لتحقيق الأمان الشامل للنظام ، إلا أن لكل منهما وظيفة متميزة عن الاخرى .
المصادقة (Authentication): هي عملية التحقق من هوية المستخدم أو النظام الذي يحاول الوصول إلى الموارد أو الخدمات. بمعنى آخر، هي الخطوة التي يتم فيها التأكد من أن المستخدم هو الشخص الذي يدعي أنه هو .
ويتم تحقيقها عادةً من خلال طلب بيانات اعتماد مثل اسم المستخدم وكلمة المرور أو الاعتماد على تقنيات بيومترية مثل بصمة الإصبع أو بصمة العين أو شهادات رقمية.
مثال : عند محاولتك لتسجيل الدخول إلى حساب إلكتروني باستخدام اسم المستخدم وكلمة المرور، يتم تنفيذ عملية المصادقة للتأكد من أن الشخص الذي يحاول الدخول هو صاحب الحساب الفعلي وانهُ ليس جهة خارجية.
التفويض (Authorization): هو العملية التي تلي المصادقة ، والتي يتم من خلالها تحديد صلاحيات المستخدم أو النظام الذي تم التحقق من هويته. وهي تحدد ما إذا كان الشخص المصرح له يمكنه الوصول إلى موارد معينة أو القيام بإجراءات محددة داخل النظام .
أي أن التفويض يحدد نطاق العمليات المسموح بها للمستخدم داخل النظام بعد التأكد من هويته .
مثال : بعد تسجيل الدخول بنجاح إلى النظام ، قد يتم السماح للمستخدم بالوصول إلى ملفات محددة (تفويض من قبل إدارة النظام ) ولكن قد لا يتم السماح له بتحرير أو حذف تلك الملفات بناءً على سياسات الوصول المعمول بها من إدارة النظام .
بإختصار شديد :
المصادقة هي العملية التي تجيب على السؤال : “من أنت؟” .
التفويض هو العملية التي تجيب على السؤال: “ما الذي يُسمح لك القيام به؟” .