Wat is een identity provider (IdP)?
een identity provider (IdP of IDP) slaat de digitale identiteiten van gebruikers op en beheert deze. Denk aan een IdP als een gastenlijst, maar voor digitale en cloud-gehoste applicaties in plaats van een evenement. Een IdP kan gebruikersidentiteiten controleren via gebruikersnaam-wachtwoord combinaties en andere factoren, of het kan gewoon een lijst van gebruikersidentiteiten verstrekken die een andere serviceprovider (zoals een SSO) controleert.
IDP ‘ s zijn niet beperkt tot het verifiëren van menselijke gebruikers., Technisch gezien kan een IdP elke entiteit die is aangesloten op een netwerk of een systeem, met inbegrip van computers en andere apparaten, verifiëren. Elke entiteit opgeslagen door een IdP staat bekend als een “principal” (in plaats van een “gebruiker”). IDP ‘ s worden echter meestal gebruikt in cloud computing om gebruikersidentiteiten te beheren.
Wat is gebruikersidentiteit?
Digitale gebruikersidentiteit wordt geassocieerd met kwantificeerbare factoren die door een computersysteem kunnen worden geverifieerd. Deze factoren worden “authenticatie factoren” genoemd.,”De drie authenticatiefactoren zijn:
- kennis: iets wat je kent, zoals een gebruikersnaam en wachtwoord
- bezit: iets wat je hebt, zoals een smartphone
- intrinsieke kwaliteiten: iets wat je bent, zoals je vingerafdruk of een netvliesscan
een IdP mag slechts één van deze factoren gebruiken om een gebruiker te identificeren, of alle drie. Het gebruik van meer dan één wordt multi-factor authenticatie (MFA) genoemd.
Waarom zijn IDP ‘ s noodzakelijk?,
digitale identiteit moet ergens worden gevolgd, vooral voor cloud computing, waar de gebruikersidentiteit bepaalt of iemand toegang heeft tot gevoelige gegevens. Cloudservices moeten precies weten waar en hoe gebruikersidentiteit moet worden opgehaald en geverifieerd.
Records van gebruikersidentiteiten moeten ook op een beveiligde manier worden opgeslagen om ervoor te zorgen dat aanvallers ze niet kunnen gebruiken om zich voor te doen als gebruikers., Een cloudidentiteitsprovider neemt doorgaans extra voorzorgsmaatregelen om gebruikersgegevens te beschermen, terwijl een service die niet uitsluitend is gewijd aan het opslaan van identiteit, deze kan opslaan op een onbeveiligde locatie, zoals een server die openstaat voor het Internet.
Hoe werken IDP ‘ s met SSO-services?
een SSO, of single sign-on, service is een uniforme plaats voor gebruikers om in te loggen op al hun cloud services tegelijk. Naast het feit dat gemakkelijker voor gebruikers, de implementatie van SSO maakt vaak gebruikers logins veiliger.
Voor het grootste deel zijn SSO ’s en IDP’ s gescheiden., Een SSO-service gebruikt een IdP om de identiteit van de gebruiker te controleren, maar slaat de identiteit van de gebruiker niet op. Een SSO provider is meer een go-between dan een one-stop shop; denk aan het als een beveiligingsbedrijf dat is ingehuurd om een bedrijf veilig te houden, maar is eigenlijk geen onderdeel van dat bedrijf.
hoewel ze gescheiden zijn, zijn IDP ‘ s een essentieel onderdeel van het SSO-aanmeldproces. SSO-providers controleren de identiteit van de gebruiker met de IdP wanneer gebruikers zich aanmelden. Zodra dat is gedaan, kan de SSO de identiteit van de gebruiker te verifiëren met een willekeurig aantal aangesloten cloud-toepassingen.
Dit is echter niet altijd het geval., Een SSO en IdP kunnen theoretisch één en hetzelfde zijn. Maar deze setup is veel meer open voor on-path aanvallen waarbij een aanvaller smeedt een SAML assertion* om toegang te krijgen tot een toepassing. Om deze reden worden IdP en SSO meestal gescheiden.
* een SAML-bewering is een speciaal bericht dat vanuit SSO-services naar elke cloudtoepassing wordt verzonden en dat de authenticatie van de gebruiker bevestigt, waardoor de gebruiker toegang kan krijgen tot de toepassing en deze kan gebruiken.
Hoe ziet dit er in de praktijk uit? Stel dat Alice haar laptop op het kantoor van haar werkgever gebruikt., Alice moet inloggen op de live chat-applicatie van het bedrijf om beter te coördineren met haar collega ‘ s. Ze opent een tabblad op haar browser en laadt de chat-applicatie. Aangenomen dat haar bedrijf een SSO-service gebruikt, vinden de volgende stappen plaats achter de schermen:
- de chat-app vraagt de SSO om de identiteit van Alice te verifiëren.
- de SSO ziet dat Alice nog niet is aangemeld.
- de SSO vraagt Alice aan te melden.
Op dit punt stuurt Alice ‘ s browser haar naar de SSO-loginpagina. De pagina heeft velden voor Alice om haar gebruikersnaam en wachtwoord in te voeren., Omdat haar bedrijf twee-factor authenticatie vereist, moet Alice ook een korte code invoeren die de SSO automatisch naar haar smartphone sms ‘ t. Nadat dit is gedaan, klikt ze op ” Inloggen.”Nu gebeuren de volgende dingen:
- de SSO stuurt een SAML verzoek naar de IdP gebruikt door Alice’ s bedrijf.
- het IdP stuurt een SAML-antwoord naar de SSO om de identiteit van Alice te bevestigen.
- de SSO stuurt een SAML-bewering naar de chat-toepassing die Alice oorspronkelijk wilde gebruiken.
Alice wordt teruggestuurd naar haar chat-toepassing. Nu kan ze praten met haar collega ‘ s., Het hele proces duurde slechts seconden.
hoe integreert Cloudflare met identity providers?
Cloudflare Access integreert met SSO ’s en IDP’ s om de gebruikerstoegang te beheren. Cloudflare Access maakt deel uit van de CloudFlare for Teams product suite, die helpt om interne teams veilig te houden.