mikä on identiteetin tarjoaja (IdP)?
identiteetin tarjoaja (IdP tai IDP) tallentaa ja hallinnoi käyttäjien digitaalisia identiteettejä. Ajattele, että IdP on kuin vieraslista, mutta digitaalisille ja pilvipalveluihin tarkoitetuille sovelluksille tapahtuman sijaan. IdP voi tarkistaa käyttäjätunnuksia käyttäjätunnus-salasana-yhdistelmillä ja muilla tekijöillä, tai se voi yksinkertaisesti tarjota luettelon käyttäjätunnuksista, joita toinen palveluntarjoaja (kuten SSO) tarkistaa.
IDP: t eivät rajoitu vain ihmiskäyttäjien tarkastamiseen., Teknisesti IdP voi todentaa minkä tahansa verkkoon tai järjestelmään liitetyn tahon, mukaan lukien tietokoneet ja muut laitteet. Mikä tahansa IdP: n tallentama kokonaisuus tunnetaan ”päämiehenä” (”käyttäjän”sijaan). IdPs: ää käytetään kuitenkin useimmiten pilvipalveluissa käyttäjätietojen hallintaan.
mikä on käyttäjän identiteetti?
digitaalinen käyttäjän identiteetti liittyy kvantifioitavissa oleviin tekijöihin, jotka voidaan todentaa tietokonejärjestelmällä. Näitä tekijöitä kutsutaan ” todennuskertoimiksi.,”Kolme todennus tekijät ovat:
- Tietoa: jotain tiedät, kuten käyttäjätunnus ja salasana
- Hallinta: jotain sinun täytyy, kuten älypuhelin
- ominaisuuksia: jotain olet, kuten sormenjälki tai verkkokalvon skannauksen
On IdP voi käyttää vain yhtä näistä tekijöistä tunnistamaan käyttäjä, tai kaikki kolme. Useampaa kuin yhtä käytetään nimityksellä multi-factor authentication (MFA).
miksi IDP: t ovat tarpeen?,
digitaalista identiteettiä on seurattava jossain, erityisesti pilvipalveluissa, joissa käyttäjän identiteetti ratkaisee, pääseekö joku käsiksi arkaluontoisiin tietoihin vai ei. Pilvipalveluiden on tiedettävä tarkalleen, missä ja miten käyttäjä voidaan noutaa ja tarkistaa.
käyttäjien henkilöllisyyksien tallenteet on myös tallennettava suojatulla tavalla, jotta hyökkääjät eivät voi käyttää niitä käyttäjien tekeytymiseen., Cloud identity provider saa yleensä ottaa ylimääräistä varotoimiin suojella käyttäjien tietoja, ottaa huomioon, että palvelu ei ole omistettu yksinomaan tallentamiseen identiteetti voi tallentaa sen vakuudettomia sijainti, kuten palvelimen avoin Internet.
miten IdPs toimii SSO-palveluiden kanssa?
SSO eli single sign-on-palvelu on yhtenäinen paikka, jossa käyttäjät voivat kirjautua kaikkiin pilvipalveluihinsa kerralla. Sen lisäksi, että SSO: n käyttöönotto on käyttäjille helpompaa, se tekee käyttäjän kirjautumisesta usein turvallisempaa.
suurimmaksi osaksi SSOs ja IdPs ovat erillisiä., SSO-palvelu käyttää IdP: tä käyttäjän identiteetin tarkistamiseen, mutta se ei varsinaisesti säilytä käyttäjän identiteettiä. On SSO provider on enemmän go-välillä kuin yhden luukun; se on kuin vartija yritys, joka on palkannut pitämään yhtiön turvallista, mutta ei ole oikeastaan osa tätä seuraa.
vaikka ne ovat erillisiä, IdPs on olennainen osa SSO: n kirjautumisprosessia. SSO-palveluntarjoajat tarkistavat käyttäjän identiteetin IdP: llä, kun käyttäjät kirjautuvat sisään. Kun tämä on tehty, SSO voi tarkistaa käyttäjän henkilöllisyyden millä tahansa määrällä liitettyjä pilvisovelluksia.
näin ei kuitenkaan aina ole., SSO ja IdP voisivat teoriassa olla yksi ja sama. Tämä asetelma on kuitenkin paljon avoimempi polkuhyökkäyksille, joissa hyökkääjä väärentää SAML-väitteen * päästäkseen käsiksi sovellukseen. Tästä syystä IdP ja SSO erotetaan tyypillisesti toisistaan.
*SAML-vahvistus on erikoistunut viestin lähetti alkaen SSO-palvelut pilvi sovellus, joka vahvistaa käyttäjän todennus, jonka avulla käyttäjä voi käyttää sovellusta.
miltä kaikki tämä näyttää käytännössä? Oletetaan, että Alice käyttää työkonettaan työnantajansa toimistossa., Alicen on kirjauduttava sisään yrityksen live chat-sovellukseen, jotta hän voisi paremmin koordinoida työtoveriensa kanssa. Hän avaa selaimen välilehden ja lataa chat-sovelluksen. Olettaen, että hänen yritys käyttää SSO-palvelu, seuraavat vaiheet tapahtuvat kulissien takana:
- chat-sovelluksen, pyytää SSO Alice on henkilöllisyyden todentaminen.
- SSO näkee, että Alice ei ole vielä allekirjoittanut.
- SSO kehottaa Liisaa kirjautumaan sisään.
tässä vaiheessa Alicen selain ohjaa hänet SSO: n kirjautumissivulle. Sivulla on kentät, joilla Alice voi syöttää käyttäjätunnuksensa ja salasanansa., Koska hänen yrityksensä vaatii kaksitekijäistä tunnistautumista, Alicen on myös syötettävä lyhyt koodi, jonka SSO lähettää automaattisesti älypuhelimeensa. Kun tämä on tehty, hän napsauttaa ” Kirjaudu sisään.”Nyt, seuraavat asiat tapahtuvat:
- SSO lähettää SAML-pyynnön IdP käyttää Alicen seurassa.
- IdP lähettää SSO: lle SAML-vastauksen, jossa vahvistetaan Alicen henkilöllisyys.
- SSO lähettää SAML-väitteen chat sovellus Alice halusi alun perin käyttää.
Alice ohjataan takaisin chat-sovellukseensa. Nyt hän voi jutella työkavereidensa kanssa., Koko prosessi kesti vain sekunteja.
miten Cloudflare integroituu identiteetin tarjoajiin?
Cloudflare-Yhteys integroituu SSOs ja Pakolaisille, jotta voidaan hallita käyttäjien pääsyä. Cloudflare Access on osa Cloudflare for Teams – tuotesarjaa, joka auttaa pitämään sisäiset tiimit turvassa.