mi az identitás szolgáltató (IdP)?
egy azonosító szolgáltató (IdP vagy IDP) tárolja és kezeli a felhasználók digitális identitását. Gondolj egy IdP-re úgy, mint egy vendéglistára, de digitális és felhőalapú alkalmazásokra egy esemény helyett. Az IdP ellenőrizheti a felhasználói azonosítókat felhasználónév-jelszó kombinációk és egyéb tényezők segítségével, vagy egyszerűen megadhatja azon felhasználói azonosítók listáját, amelyeket egy másik szolgáltató (például egy SSO) ellenőriz.
az IdPs nem korlátozódik az emberi felhasználók ellenőrzésére., Technikailag az IdP hitelesítheti a hálózathoz vagy rendszerhez csatlakozó bármely entitást, beleértve a számítógépeket és más eszközöket is. Az IdP által tárolt bármely entitás ” fő ” (“felhasználó” helyett). Az IDP-ket azonban leggyakrabban a felhőalapú számítástechnikában használják a felhasználói identitások kezelésére.
mi a felhasználói identitás?
a digitális felhasználói identitás olyan számszerűsíthető tényezőkhöz kapcsolódik, amelyeket egy számítógépes rendszer ellenőrizhet. Ezeket a tényezőket “hitelesítési tényezőknek” nevezik.,”A három hitelesítési tényező a következő:
- tudás: valami, amit tudsz, például felhasználónév és jelszó
- birtoklás: valami van, például okostelefon
- belső tulajdonságok: valami vagy, például ujjlenyomat vagy retina szkennelés
egy IdP csak ezen tényezők egyikét használhatja a felhasználó azonosításához, vagy mind a három. Egynél több használatát többtényezős hitelesítésnek (MFA) nevezzük.
miért van szükség az IdPs-re?,
a digitális identitást valahol nyomon kell követni, különösen a felhőalapú számítástechnika esetében, ahol a felhasználói identitás határozza meg, hogy valaki hozzáférhet-e érzékeny adatokhoz. A felhőszolgáltatásoknak pontosan tudniuk kell, hogy hol és hogyan lehet letölteni és ellenőrizni a felhasználói identitást.
A felhasználói identitások nyilvántartását biztonságos módon kell tárolni annak biztosítása érdekében, hogy a támadók ne használhassák őket a felhasználók megszemélyesítésére., A felhőazonosító-szolgáltató általában extra óvintézkedéseket tesz a felhasználói adatok védelme érdekében, míg egy olyan szolgáltatás, amely nem kizárólag az identitás tárolására szolgál, nem biztonságos helyen, például az internetre nyitott kiszolgálón tárolhatja.
hogyan működnek az IdPs – ek az SSO-szolgáltatásokkal?
az SSO, vagy egyetlen bejelentkezés, a szolgáltatás egységes hely a felhasználók számára, hogy egyszerre bejelentkezzenek az összes felhőszolgáltatásukba. Amellett, hogy kényelmesebb a felhasználók számára, az SSO végrehajtása gyakran biztonságosabbá teszi a felhasználói bejelentkezéseket.
a legtöbb esetben az SSOs-k és IDP-k külön vannak., Az SSO szolgáltatás IdP-t használ a felhasználói identitás ellenőrzésére, de valójában nem tárolja a felhasználói identitást. Egy SSO szolgáltató inkább egy go-köztes, mint egy egyablakos; gondolj rá, hogy olyan, mint egy biztonsági őr cég, amely bérelt tartani a cég biztonságos, de valójában nem része, hogy a cég.
annak ellenére, hogy külön vannak, az IdPs az SSO bejelentkezési folyamat lényeges része. Az SSO szolgáltatók ellenőrzik a felhasználói identitást az IdP-vel, amikor a felhasználók bejelentkeznek. Ha ez megtörtént, az SSO ellenőrizheti a felhasználói identitást tetszőleges számú csatlakoztatott felhőalkalmazással.
azonban ez nem mindig így van., Az SSO és az IdP elméletileg egy és ugyanaz lehet. De ez a beállítás sokkal nyitottabb az on-path támadásokra, amelyekben a támadó egy SAML-állítást * hamisít annak érdekében, hogy hozzáférjen egy alkalmazáshoz. Ezért az IdP-t és az SSO-t jellemzően elválasztják egymástól.
* a SAML állítás egy speciális üzenet, amelyet az SSO services küldött bármely felhőalkalmazásnak, amely megerősíti a felhasználói hitelesítést, lehetővé téve a felhasználó számára az alkalmazás elérését és használatát.
hogyan néz ki mindez a gyakorlatban? Tegyük fel, hogy Alice a munkaadói irodájában használja a laptopját., Alice-nek be kell jelentkeznie a cég élő csevegőalkalmazásába, hogy jobban koordinálhassa munkatársaival. Megnyit egy lapot a böngészőjében, majd betölti a chat alkalmazást. Feltételezve, hogy vállalata SSO szolgáltatást használ, a következő lépések történnek a színfalak mögött:
- a csevegőalkalmazás kéri az SSO-t Alice személyazonosságának ellenőrzésére.
- az SSO úgy látja, hogy Alice még nem jelentkezett be.
- az SSO kéri Alice-t, hogy jelentkezzen be.
Ezen a ponton Alice böngészője átirányítja őt az SSO bejelentkezési oldalra. Az oldal mezőket tartalmaz Alice számára, hogy megadja a felhasználónevét és jelszavát., Mivel cége kéttényezős hitelesítést igényel, Alice-nek be kell írnia egy rövid kódot is, amelyet az SSO automatikusan küld az okostelefonjára. Miután ez megtörtént, rákattint a “Bejelentkezés” gombra.”Most a következő dolgok történnek:
- az SSO SAML kérést küld az Alice cég által használt IdP-nek.
- az IdP SAML választ küld az SSO-nak, amely megerősíti Alice személyazonosságát.
- az SSO SAML állítást küld az Alice eredetileg használni kívánt csevegőalkalmazásnak.
Alice átirányítja vissza a chat alkalmazás. Most beszélgethet a munkatársaival., Az egész folyamat csak másodperceket vett igénybe.
hogyan integrálódik a Cloudflare az identitásszolgáltatókkal?
Cloudflare Access integrálja SSOs és IdPs kezelésére felhasználói hozzáférés. Cloudflare Access része a Cloudflare for Teams termékcsomag, amely segít megőrizni a belső csapatok biztonságos.