Co to jest identity provider (IdP)?
dostawca tożsamości (IdP lub IDP) przechowuje i zarządza cyfrowymi tożsamościami użytkowników. Pomyśl o IdP jako o liście gości, ale dla aplikacji cyfrowych i hostowanych w chmurze zamiast wydarzenia. IdP może sprawdzać tożsamość użytkownika za pomocą kombinacji nazwa użytkownika i hasło oraz innych czynników, lub może po prostu dostarczyć listę tożsamości użytkownika, którą sprawdza inny dostawca usług (np. SSO).
IDP nie ogranicza się do weryfikacji użytkowników., Technicznie IdP może uwierzytelnić każdy podmiot podłączony do sieci lub systemu, w tym Komputery i inne urządzenia. Każdy podmiot przechowywany przez IdP jest znany jako „główny” (zamiast „użytkownik”). Jednak IDP są najczęściej używane w chmurze obliczeniowej do zarządzania tożsamościami użytkowników.
czym jest tożsamość użytkownika?
cyfrowa tożsamość użytkownika jest związana z wymiernymi czynnikami, które mogą być zweryfikowane przez system komputerowy. Czynniki te nazywane są „czynnikami uwierzytelniającymi.,”Trzy czynniki uwierzytelniania to:
- wiedza: coś, co wiesz, takie jak nazwa użytkownika i hasło
- posiadanie: coś, co masz, takie jak smartfon
- cechy wewnętrzne: coś, czym jesteś, takie jak odcisk palca lub skan siatkówki
IdP może użyć tylko jednego z tych czynników do identyfikacji użytkownika lub wszystkich trzech. Używanie więcej niż jednego jest nazywane uwierzytelnianiem wieloskładnikowym (MFA).
dlaczego IdPs jest potrzebny?,
tożsamość Cyfrowa musi być gdzieś śledzona, szczególnie w przypadku przetwarzania w chmurze, gdzie tożsamość użytkownika określa, czy ktoś może uzyskać dostęp do poufnych danych. Usługi w chmurze muszą dokładnie wiedzieć, gdzie i jak odzyskać i zweryfikować tożsamość użytkownika.
zapisy tożsamości użytkowników muszą być również przechowywane w bezpieczny sposób, aby upewnić się, że atakujący nie mogą ich używać do podszywania się pod użytkowników., Dostawca tożsamości w chmurze zazwyczaj podejmuje dodatkowe środki ostrożności w celu ochrony danych użytkownika, podczas gdy usługa nie zajmująca się wyłącznie przechowywaniem tożsamości może przechowywać ją w niezabezpieczonej lokalizacji, takiej jak serwer otwarty dla Internetu.
jak działają IDP z usługami SSO?
usługa SSO lub single sign-on to ujednolicone miejsce, w którym użytkownicy mogą jednocześnie logować się do wszystkich swoich usług w chmurze. Oprócz tego, że jest to wygodniejsze dla użytkowników, wdrożenie SSO często zwiększa bezpieczeństwo logowania użytkowników.
w większości przypadków SSO i IDP są oddzielne., Usługa SSO używa IdP do sprawdzania tożsamości użytkownika, ale w rzeczywistości nie przechowuje tożsamości użytkownika. Dostawca SSO jest bardziej pośrednikiem niż punktem kompleksowej obsługi; pomyśl o tym, że jest jak firma ochroniarska, która jest zatrudniona, aby zapewnić firmie bezpieczeństwo, ale nie jest w rzeczywistości częścią tej firmy.
mimo że są one oddzielne, IDP są istotną częścią procesu logowania SSO. Dostawcy SSO sprawdzają tożsamość użytkownika za pomocą IdP podczas logowania. Gdy to zrobisz, SSO może zweryfikować tożsamość użytkownika za pomocą dowolnej liczby połączonych aplikacji w chmurze.
jednak nie zawsze tak jest., SSO i IdP teoretycznie mogą być jednym i tym samym. Ta konfiguracja jest jednak znacznie bardziej otwarta na ataki na ścieżce, w których atakujący fałszuje twierdzenie SAML* w celu uzyskania dostępu do aplikacji. Z tego powodu IdP i SSO są zazwyczaj oddzielone.
*asercja SAML to wyspecjalizowana wiadomość wysyłana z usług SSO do dowolnej aplikacji w chmurze, która potwierdza uwierzytelnienie użytkownika, umożliwiając użytkownikowi dostęp do aplikacji i korzystanie z niej.
jak to wszystko wygląda w praktyce? Załóżmy, że Alice używa laptopa w biurze swojego pracodawcy., Alice musi zalogować się do aplikacji czatu na żywo w celu lepszej koordynacji ze współpracownikami. Otwiera kartę w swojej przeglądarce i ładuje aplikację czatu. Zakładając, że jej firma korzysta z usługi SSO, następujące kroki odbywają się za kulisami:
- aplikacja czatu prosi SSO o weryfikację tożsamości Alice.
- SSO widzi, że Alice jeszcze się nie zalogowała.
- SSO prosi Alicję o zalogowanie się.
w tym momencie przeglądarka Alice przekierowuje ją na stronę logowania SSO. Na stronie znajdują się pola umożliwiające Alice wpisanie nazwy użytkownika i hasła., Ponieważ jej firma wymaga uwierzytelniania dwuskładnikowego, Alice musi również wprowadzić krótki kod, który SSO automatycznie wysyła do jej smartfona. Po zakończeniu klikamy ” Zaloguj się.”Teraz dzieją się następujące rzeczy:
- SSO wysyła żądanie SAML do IdP używanego przez firmę Alice.
- IdP wysyła odpowiedź SAML do SSO potwierdzającą tożsamość Alice.
- SSO wysyła asercję SAML do aplikacji czatu, której pierwotnie chciała użyć Alice.
Alicja zostaje przekierowana z powrotem do aplikacji czatu. Teraz może rozmawiać ze współpracownikami., Cały proces trwał tylko kilka sekund.
w jaki sposób Cloudflare integruje się z dostawcami tożsamości?
Cloudflare Access integruje się z SSOs i IDP w celu zarządzania dostępem użytkowników. Cloudflare Access jest częścią pakietu produktów Cloudflare dla zespołów, który pomaga chronić wewnętrzne zespoły.