co je poskytovatel identity (IdP)?
poskytovatel identity (IdP nebo IDP) ukládá a spravuje digitální identity uživatelů. Přemýšlejte o IdP jako o seznamu hostů, ale pro digitální a cloudové aplikace místo události. IdP může kontrolovat identitu uživatele pomocí kombinací uživatelského jména a hesla a dalších faktorů, nebo může jednoduše poskytnout seznam uživatelských identit, které kontroluje jiný poskytovatel služeb (jako SSO).
IDP nejsou omezeny na ověřování lidských uživatelů., Technicky může IdP ověřit jakoukoli entitu připojenou k síti nebo systému, včetně počítačů a dalších zařízení. Každá entita uložená IdP je známá jako “ principal „(místo“user“). IDP se však nejčastěji používají v cloud computingu ke správě uživatelských identit.
co je identita uživatele?
digitální uživatelská identita je spojena s kvantifikovatelnými faktory, které lze ověřit počítačovým systémem. Tyto faktory se nazývají “ autentizační faktory.,“Tři autentizační faktory jsou:
- Znalosti: něco, co víte, například uživatelské jméno a heslo
- Vlastnictví: něco, jako je smartphone
- Vnitřní vlastnosti: něco, co jste, jako váš otisk prstu nebo sítnice scan
IdP může používat pouze jeden z těchto faktorů k identifikaci uživatele, nebo všechny tři. Použití více než jednoho se nazývá vícefaktorová autentizace (MFA).
proč jsou IDP nutné?,
digitální identita musí být někde sledována, zejména pro cloud computing, kde identita uživatele určuje, zda má někdo přístup k citlivým datům. Cloudové služby potřebují přesně vědět, kde a jak získat a ověřit identitu uživatele.
záznamy o identitách uživatelů musí být také uloženy zabezpečeným způsobem, aby se zajistilo, že útočníci je nemohou použít k vydávání se za uživatele., Cloud identity provider bude obvykle trvat další opatření na ochranu uživatelských dat, vzhledem k tomu, že služba není určen výhradně k uchovávání identity může ukládat to v nezabezpečené umístění, jako je například server otevřený do Internetu.
jak fungují IDP se službami SSO?
SSO, nebo single sign-on, služba je jednotné místo pro uživatele se přihlásit do všech svých cloudových služeb najednou. Kromě toho, že je pro uživatele výhodnější, implementace SSO často zvyšuje zabezpečení přihlašování uživatelů.
z větší části jsou SSO a IDP oddělené., Služba SSO používá IdP ke kontrole identity uživatele, ale ve skutečnosti neukládá identitu uživatele. SSO poskytovatel je spíše prostředníkem než one-stop shop; myslet na to jako hlídač firmy, která je najata, aby společnost bezpečné, ale ve skutečnosti nejsou součástí této společnosti.
i když jsou oddělené, IDP jsou nezbytnou součástí procesu přihlášení SSO. Poskytovatelé SSO kontrolují totožnost uživatele s IdP, když se uživatelé přihlásí. Jakmile je to hotovo, SSO může ověřit identitu uživatele s libovolným počtem připojených cloudových aplikací.
to však není vždy pravda., SSO a IdP by teoreticky mohly být jedno a totéž. Toto nastavení je však mnohem otevřenější útokům on-path, při nichž útočník forges SAML assertion* za účelem získání přístupu k aplikaci. Z tohoto důvodu jsou IdP a SSO obvykle odděleny.
*tvrzení SAML je specializovaná zpráva odeslaná ze služeb SSO do jakékoli cloudové aplikace, která potvrzuje ověření uživatele a umožňuje uživateli přístup a používání aplikace.
Jak to všechno vypadá v praxi? Předpokládejme, že Alice používá svůj pracovní notebook v kanceláři svého zaměstnavatele., Alice se musí přihlásit do aplikace Live chat společnosti, aby se lépe koordinovala se svými spolupracovníky. Otevře kartu ve svém prohlížeči a načte aplikaci chatu. Za předpokladu, že její společnost používá službu SSO, probíhají v zákulisí následující kroky:
- chatová aplikace požádá SSO o ověření identity Alice.
- SSO vidí, že Alice se dosud nepřihlásila.
- SSO vyzve Alice k přihlášení.
v tomto okamžiku ji prohlížeč Alice přesměruje na přihlašovací stránku SSO. Stránka obsahuje pole pro Alice zadat své uživatelské jméno a heslo., Protože její společnost vyžaduje dvoufaktorové ověření, Alice musí také zadat krátký kód, který SSO automaticky odešle do svého smartphonu. Poté klikne na „Přihlásit se“.“Nyní se dějí následující věci:
- SSO odešle žádost o SAML na IdP používanou společností Alice.
- IdP odešle SAML odpověď SSO potvrzující alicinu totožnost.
- SSO odešle tvrzení SAML do chatovací aplikace, kterou Alice původně chtěla použít.
Alice je přesměrována zpět do své chatovací aplikace. Nyní může chatovat se svými spolupracovníky., Celý proces trval jen několik sekund.
jak se Cloudflare integruje s poskytovateli identity?
Cloudflare Access se integruje s SSOs a IDP za účelem správy přístupu uživatelů. Cloudflare Access je součástí Cloudflare pro týmy product suite, který pomáhá udržovat vnitřní týmy v bezpečí.