¿qué es un proveedor de identidad (IdP)?
un proveedor de identidades (IdP o IDP) almacena y administra las identidades digitales de los usuarios. Piense en un IdP como una lista de invitados, pero para aplicaciones digitales y alojadas en la nube en lugar de un evento. Un IdP puede verificar las identidades de usuario a través de combinaciones de nombre de usuario y contraseña y otros factores, o simplemente puede proporcionar una lista de identidades de usuario que otro proveedor de servicios (como un SSO) comprueba.
los desplazados internos no se limitan a verificar usuarios humanos., Técnicamente, un IdP puede autenticar cualquier entidad conectada a una red o un sistema, incluyendo computadoras y otros dispositivos. Cualquier entidad almacenada por un IdP se conoce como un» principal «(en lugar de un»usuario»). However, IdPs are most often used in cloud computing to manage user identities.
¿qué es la identidad del usuario?
la identidad digital del usuario está asociada a factores cuantificables que pueden ser verificados por un sistema informático. Estos factores se denominan «factores de autenticación.,»Los tres factores de autenticación son:
- Conocimiento: algo que sabes, como un nombre de usuario y una contraseña
- posesión: algo que tienes, como un teléfono inteligente
- cualidades intrínsecas: algo que eres, como tu huella digital o un escáner de retina
un IdP solo puede usar uno de estos factores para identificar a un usuario, o los tres. El uso de más de uno se denomina autenticación multifactor (MFA).
¿por qué son necesarios los desplazados internos?,
la identidad Digital debe rastrearse en algún lugar, especialmente para la computación en la nube, donde la identidad del usuario determina si alguien puede acceder o no a datos confidenciales. Los servicios en la nube deben saber exactamente dónde y cómo recuperar y verificar la identidad del usuario.
Los registros de identidades de usuario también deben almacenarse de manera segura para garantizar que los atacantes no puedan usarlos para hacerse pasar por usuarios., Un proveedor de identidad en la nube normalmente tomará precauciones adicionales para proteger los datos del usuario, mientras que un servicio no dedicado exclusivamente a almacenar la identidad puede almacenarla en una ubicación no segura, como un servidor abierto a Internet.
¿cómo funcionan los desplazados internos con los servicios de SSO?
un servicio de inicio de sesión único o SSO es un lugar unificado para que los usuarios inicien sesión en todos sus servicios en la nube a la vez. Además de ser más conveniente para los usuarios, la implementación de SSO a menudo hace que los inicios de sesión de los usuarios sean más seguros.
en su mayor parte, los SSO y los IDP están separados., Un servicio SSO utiliza un IdP para comprobar la identidad del usuario, pero en realidad no almacena la identidad del usuario. Un proveedor de SSO es más un intermediario que una ventanilla única; piense en ello como una empresa de guardias de seguridad que se contrata para mantener segura a una empresa, pero que en realidad no es parte de esa empresa.
aunque están separados, los desplazados internos son una parte esencial del proceso de inicio de sesión de SSO. Los proveedores de SSO comprueban la identidad del usuario con el IdP cuando los usuarios inician sesión. Una vez hecho esto, el SSO puede verificar la identidad del usuario con cualquier número de aplicaciones en la nube conectadas.
sin embargo, este no siempre es el caso., Un SSO y un IdP podrían teóricamente ser uno y lo mismo. Pero esta configuración está mucho más abierta a ataques en ruta en los que un atacante forja una aserción SAML* para obtener acceso a una aplicación. Por esta razón, IdP y SSO suelen estar separados.
*una aserción SAML es un mensaje especializado enviado desde servicios SSO a cualquier aplicación en la nube que confirma la autenticación del usuario, lo que permite al usuario acceder y usar la aplicación.
¿Cómo se ve todo esto en la práctica? Supongamos que Alice está usando su portátil de trabajo en la oficina de su empleador., Alice necesita iniciar sesión en la aplicación de chat en vivo de la empresa para coordinar mejor con sus compañeros de trabajo. Abre una pestaña en su navegador y carga la aplicación de chat. Suponiendo que su empresa utiliza un servicio de SSO, los siguientes pasos tienen lugar entre bastidores:
- La aplicación de chat le pide al SSO la verificación de identidad de Alice.
- El SSO ve que Alice no ha iniciado sesión todavía.
- El inicio de sesión único le pide a Alice que inicie sesión.
en este punto, el navegador de Alice La redirige a la página de inicio de sesión de SSO. La página tiene campos para que Alice ingrese su nombre de usuario y contraseña., Dado que su empresa requiere autenticación de dos factores, Alice también tiene que ingresar un código corto que el SSO envía automáticamente a su teléfono inteligente. Después de esto, ella hace clic en » Iniciar sesión.»Ahora, suceden las siguientes cosas:
- el SSO envía una solicitud SAML al IdP utilizado por la empresa de Alice.
- El IdP envía una respuesta SAML al SSO confirmando la identidad de Alice.
- El SSO envía una aserción SAML a la aplicación de chat que Alice originalmente quería usar.
Alice es redirigida de nuevo a su aplicación de chat. Ahora puede charlar con sus compañeros de trabajo., Todo el proceso solo tomó segundos.
¿cómo se integra Cloudflare con los proveedores de identidad?
Cloudflare Access se integra con Ssos y IdPs para administrar el acceso de los usuarios. Cloudflare Access forma parte de la suite de productos Cloudflare for Teams, que ayuda a mantener seguros los equipos internos.