En autorisasjon er funksjonen som spesifiserer tilgangsrettigheter til ressurser knyttet til informasjonssikkerhet og sikkerheten til informasjonssystemer generelt og tilgangskontroll spesielt. Mer formelt består "autorisering" i å definere en tilgangspolicy. For eksempel menneskelige ressurser personell er normalt autorisert tilgang til informasjon om ansatte og denne politikken er vanligvis formalisert i adgangskontroll regler i et datasystem. Under utførelsen bruker systemet tilgangskontrollregler for å avgjøre om en tilgangsforespørsel fra en klient ( godkjent ) skal godkjennes (innvilges) eller ikke godkjennes (avvises). Ressurser inkluderer filer , de data , det programmet de enhetene og annen funksjonalitet som tilbys av programmer på en datamaskin. Klienten kan være brukere, programmer og andre enheter på datamaskinen.
I datasystemer er tilgangskontroll basert på tilgangsregler. Adgangskontrollprosessen kan deles inn i to faser: 1) definisjonsfasen der tilgang er tillatt og 2) utførelsesfasen der tilgangsforespørsler er godkjent eller ikke godkjent.
Moderne systemer for flere brukere inkluderer tilgangskontroll og er derfor avhengige av tillatelser. Adgangskontroll bruker også ( autentisering ) for å verifisere identiteten til klienter. Når en klient prøver å få tilgang til en ressurs, verifiserer tilgangskontrollprosessen at klienten har fått autorisasjon til å få tilgang til den ressursen. Autorisasjon er ansvaret for en autoritet, som avdelingsleder, i applikasjonsdomenet, men blir ofte delegert til en depot som for eksempel en systemadministrator . Autorisasjoner uttrykkes som en tilgangspolicy i et dedikert system, i henhold til en sikkerhetsmodell ( MAC , DAC , RBAC ), for eksempel i form av tilgangskontrolliste eller kapasitet , i henhold til prinsippet om minst privilegium : kunder skal bare få lov for å få tilgang til det de trenger for å gjøre jobbene sine, og ingenting mer. Eldre eller enbruker-operativsystemer har ofte et svakt eller ikke-eksisterende autentiserings- eller tilgangskontrollsystem.
"Anonyme kunder" eller "gjester" er kunder som ikke måtte autentisere. De har ofte begrensede tillatelser. På et distribuert system er det ofte bedre å gi tilgang uten å be om en unik identitet. Et kjent eksempel på en tilgang token er nøkler og billetter: de gir tilgang uten å måtte bevise sin identitet.
Betrodde kunder får ofte ubegrenset tilgang til systemets ressurser, men må godkjennes før tilgangskontrollsystemet kan ta beslutningen om å godkjenne tilgang. Delvis pålitelige kunder og gjester får ofte begrensede tillatelser for å beskytte ressurser mot feil tilgang og bruk. Som standard gir tilgangspolitikken til noen operativsystemer alle klienter ubegrenset tilgang til alle ressurser. Andre systemer gjør det motsatte, og krever at administratoren eksplisitt tillater en klient å bruke hver ressurs.
Selv når tilgang kontrolleres av en kombinasjon av autentisering og tilgangskontrolliste , er det ikke trivielt å opprettholde autorisasjonsdata og ofte utgjøre en administrativ byrde som kan sammenlignes med administrasjon av autentiseringsdata. Det er ofte nødvendig å endre eller fjerne brukertillatelser, noe som gjøres ved å fjerne de tilsvarende tilgangsreglene i systemet. Å bruke atomautorisasjoner er et alternativ til å administrere autorisasjoner for hvert system med en pålitelig tredjepart som distribuerer autorisasjonsinformasjon på en sikker måte.