Che cos’è un Identity provider (IdP)?
Un identity provider (IdP o IDP) memorizza e gestisce le identità digitali degli utenti. Pensate a un IdP come essere come una lista degli ospiti, ma per le applicazioni digitali e cloud-hosted invece di un evento. Un IdP può controllare le identità utente tramite combinazioni nome utente-password e altri fattori, oppure può semplicemente fornire un elenco di identità utente che un altro fornitore di servizi (come un SSO) controlla.
gli IDP non si limitano alla verifica degli utenti umani., Tecnicamente, un IdP può autenticare qualsiasi entità connessa a una rete o a un sistema, inclusi computer e altri dispositivi. Qualsiasi entità memorizzata da un IdP è nota come” principale “(anziché come”utente”). Tuttavia, gli IDP sono più spesso utilizzati nel cloud computing per gestire le identità degli utenti.
Che cos’è l’identità dell’utente?
L’identità dell’utente digitale è associata a fattori quantificabili che possono essere verificati da un sistema informatico. Questi fattori sono chiamati ” fattori di autenticazione.,”I tre fattori di autenticazione sono:
- Conoscenza: qualcosa che si sa, ad esempio un nome utente e una password
- Possesso di qualcosa che si ha, ad esempio uno smartphone
- qualità Intrinseche: qualcosa che si sono, come le impronte digitali o una scansione della retina
Un IdP può utilizzare solo uno di questi fattori per identificare un utente, o tutti e tre. L’utilizzo di più di uno è chiamato autenticazione a più fattori (MFA).
Perché sono necessari gli IDP?,
L’identità digitale deve essere tracciata da qualche parte, specialmente per il cloud computing, dove l’identità dell’utente determina se qualcuno può accedere o meno ai dati sensibili. I servizi cloud devono sapere esattamente dove e come recuperare e verificare l’identità dell’utente.
Anche i record delle identità degli utenti devono essere archiviati in modo protetto per garantire che gli aggressori non possano usarli per impersonare gli utenti., Un provider di identità cloud in genere prenderà ulteriori precauzioni per proteggere i dati degli utenti, mentre un servizio non dedicato esclusivamente alla memorizzazione dell’identità può memorizzarlo in una posizione non protetta, ad esempio un server aperto a Internet.
Come funzionano gli IDP con i servizi SSO?
Un servizio SSO, o single Sign-on, è un luogo unificato in cui gli utenti possono accedere a tutti i loro servizi cloud contemporaneamente. Oltre ad essere più conveniente per gli utenti, l’implementazione di SSO spesso rende gli accessi degli utenti più sicuri.
Per la maggior parte, SSOS e IDP sono separati., Un servizio SSO utilizza un IdP per verificare l’identità dell’utente, ma in realtà non memorizza l’identità dell’utente. Un fornitore di SSO è più di un go-between di un one-stop shop; pensare ad esso come essere come una ditta di guardia di sicurezza che viene assunto per mantenere una società sicura, ma non è in realtà parte di quella società.
Anche se sono separati, gli IDP sono una parte essenziale del processo di accesso SSO. I provider SSO controllano l’identità dell’utente con l’IdP quando gli utenti accedono. Una volta fatto ciò, l’SSO può verificare l’identità dell’utente con qualsiasi numero di applicazioni cloud connesse.
Tuttavia, questo non è sempre il caso., Un SSO e un IdP potrebbero teoricamente essere la stessa cosa. Ma questa configurazione è molto più aperta agli attacchi su percorso in cui un utente malintenzionato forgia un’asserzione SAML* per ottenere l’accesso a un’applicazione. Per questo motivo, IdP e SSO sono in genere separati.
*Un’asserzione SAML è un messaggio specializzato inviato dai servizi SSO a qualsiasi applicazione cloud che conferma l’autenticazione dell’utente, consentendo all’utente di accedere e utilizzare l’applicazione.
Come appare tutto questo nella pratica? Supponiamo che Alice stia usando il suo portatile di lavoro nell’ufficio del suo datore di lavoro., Alice deve accedere all’applicazione di chat dal vivo dell’azienda per coordinarsi meglio con i suoi colleghi. Apre una scheda sul suo browser e carica l’applicazione di chat. Supponendo che la sua azienda utilizzi un servizio SSO, i seguenti passaggi si svolgono dietro le quinte:
- L’app di chat chiede all’SSO la verifica dell’identità di Alice.
- L’SSO vede che Alice non ha ancora effettuato l’accesso.
- L’SSO richiede ad Alice di accedere.
A questo punto il browser di Alice la reindirizza alla pagina di accesso SSO. La pagina ha campi per Alice per inserire il suo nome utente e la password., Poiché la sua azienda richiede l’autenticazione a due fattori, Alice deve anche inserire un breve codice che l’SSO invia automaticamente al suo smartphone. Dopo questo è fatto, lei fa clic su ” Accedi.”Ora, accadono le seguenti cose:
- L’SSO invia una richiesta SAML all’IdP utilizzato dall’azienda di Alice.
- L’IdP invia una risposta SAML all’SSO confermando l’identità di Alice.
- L’SSO invia un’asserzione SAML all’applicazione di chat che Alice voleva originariamente utilizzare.
Alice viene reindirizzata alla sua applicazione di chat. Ora può chattare con i suoi colleghi., L’intero processo ha richiesto solo pochi secondi.
Come si integra Cloudflare con i provider di identità?
Cloudflare Access si integra con SSOS e IDP per gestire l’accesso degli utenti. Cloudflare Access fa parte della suite di prodotti Cloudflare for Teams, che aiuta a mantenere al sicuro i team interni.