I informasjonsteknologi er autorisasjon funksjonen som spesifiserer tilgangsprivilegier til ressurser knyttet til informasjonssikkerhet , informasjonssikkerhet generelt og tilgangskontroll spesielt . Mer formelt betyr å autorisere å definere en tilgangspolicy. For eksempel er personalpersonell normalt autorisert til å få tilgang til ansattes registre , og denne policyen er vanligvis formalisert som tilgangskontrollregler i et datasystem. Under drift bruker systemet tilgangskontrollregler for å avgjøre om brukernes tilgangsforespørsler ( autentisert) må godkjennes (innvilges) eller ikke (avvises). Ressursene som skal aksesseres kan inkludere individuelle filer, elementdata , programmer , dataenheter og ulike spesifikke funksjoner levert av applikasjoner .
Tilgangskontroll i datasystemer og nettverk er basert på tilgangspolicyer . Tilgangskontrollprosessen kan deles inn i følgende faser: policydefinisjonsfasen der tilgang er autorisert og policyutførelsesfasen der tilgangsforespørsler godkjennes eller nektes. Autorisasjon er funksjonen til policydefinisjonsfasen som går foran policyimplementeringsfasen der tilgangsforespørsler godkjennes eller avvises basert på tidligere definerte autorisasjoner.
De fleste moderne flerbrukeroperativsystemer inkluderer tilgangskontroll og er derfor avhengige av autorisasjon. Tilgangskontroll bruker også autentisering for å bekrefte identiteten til brukeren. Når en bruker prøver å få tilgang til en ressurs, bekrefter tilgangskontrollprosessen at brukeren er autorisert til å bruke den ressursen. Autorisasjon er ansvaret til en myndighet, for eksempel en avdelingsleder, innenfor applikasjonsdomenet, men den er ofte delegert til en depotmottaker som systemadministratoren . Tillatelser uttrykkes som tilgangskriterier i noen typer "policydefinisjonsapplikasjoner", for eksempel i form av en tilgangskontrollliste eller en funksjon , i henhold til " prinsippet om minste privilegium ": brukere bør ha tillatelse til å få tilgang til alt som er strengt nødvendig for å utføre sitt arbeid. Eldre enkeltbrukeroperativsystemer hadde ofte svært svake eller ikke-eksisterende autentiserings- og tilgangskontrollsystemer.
Anonyme eller gjestebrukere (gjest) er brukere som det ikke var nødvendig å sette opp en autentiseringsprosess for. De har ofte begrenset autorisasjon. På et distribuert system kan det være nyttig å gi tilgang uten å kreve en unik identitet. Kjente eksempler vil være tilgangssymboler som inkluderer nøkler og billetter, som gir tilgang uten å måtte bevise identitet.
Betrodde brukere får ofte ubegrenset tilgang til et systems ressurser, men de må autentiseres slik at tilgangskontrollsystemet kan ta godkjenningsbeslutningen. "Delvis" pålitelige brukere og gjester har begrenset tillatelse til å beskytte ressurser mot misbruk. Tilgangspolicyen i enkelte operativsystemer gir som standard alle brukere full tilgang til alle ressurser. Andre operativsystemer, på den annen side, gjør det motsatte, og insisterer på at administratoren eksplisitt autoriserer en bruker til å bruke ressursene.
Selv når tilgangen kontrolleres gjennom en kombinasjon av autentisering og ACL , er problemene med å vedlikeholde autorisasjonsdata ikke trivielle og representerer ofte like mye administrasjonskostnader som autentiseringslegitimasjon. Ofte er det nødvendig å endre eller fjerne en brukers autorisasjon: Dette gjøres ved å endre eller slette de relevante tilgangsreglene på systemet. Å bruke atomautorisasjon er et alternativ til å administrere autorisasjoner for hvert system, der en pålitelig tredjepart distribuerer autorisasjonsinformasjon på en sikker måte.
Offentlig politikk
I offentlig politikk er autorisasjon en funksjon av pålitelige systemer som brukes for sosial sikkerhet eller kontroll.
Banksektoren
I banktjenester er autorisasjon en debet til en kundes konto når et kjøp gjøres med et debet- eller kredittkort.
Forlagssektoren
I forlagsbransjen publiseres noen ganger foredrag og andre fritt tilgjengelige tekster uten forfatterens godkjenning. Dette kalles uautoriserte tekster. Et eksempel er "The Theory of Everything: Origin and Destiny of the Universe", en samling av Stephen Hawkings forelesninger og publisert uten hans tillatelse under lov om opphavsrett.