Vad är en identitetsleverantör (IdP)?
en identitetsleverantör (IdP eller IDP) lagrar och hanterar användarnas digitala identiteter. Tänk på att en IdP är som en gästlista, men för digitala och molnbaserade applikationer istället för en händelse. En IdP kan kontrollera användaridentiteter via användarnamn – lösenord kombinationer och andra faktorer, eller det kan helt enkelt ge en lista över användaridentiteter som en annan tjänsteleverantör (som en SSO) kontrollerar.
IDP är inte begränsade till att verifiera mänskliga användare., Tekniskt sett kan en IdP autentisera alla enheter som är anslutna till ett nätverk eller ett system, inklusive datorer och andra enheter. En enhet som lagras av en IdP är känd som en” principal ”(i stället för en”användare”). IDP används dock oftast i cloud computing för att hantera användaridentiteter.
vad är användaridentitet?
Digital användaridentitet är associerad med kvantifierbara faktorer som kan verifieras av ett datorsystem. Dessa faktorer kallas ”autentiseringsfaktorer.,”De tre autentiseringsfaktorerna är:
- kunskap: något du vet, till exempel ett användarnamn och lösenord
- innehav: något du har, till exempel en smartphone
- inneboende egenskaper: något du är, till exempel ditt fingeravtryck eller en näthinnans skanning
en IdP får endast använda en av dessa faktorer för att identifiera en användare, eller alla tre. Använda mer än en kallas multi-factor authentication (MFA).
Varför är IdPs nödvändiga?,
Digital identitet måste spåras någonstans, särskilt för datormoln, där användaridentiteten avgör om någon kan komma åt känslig data eller inte. Molntjänster behöver veta exakt var och hur man hämtar och verifierar användaridentiteten.
poster med användaridentiteter måste också lagras på ett säkert sätt för att säkerställa att angripare inte kan använda dem för att imitera användare., En cloud identity-leverantör kommer vanligtvis att vidta extra försiktighetsåtgärder för att skydda användardata, medan en tjänst som inte är avsedd enbart för att lagra identitet kan lagra den på en osäker plats, till exempel en server som är öppen för Internet.
hur fungerar IdPs med SSO-tjänster?
en SSO-eller single sign-on-tjänst är en enhetlig plats för användare att logga in på alla sina molntjänster samtidigt. Förutom att det är bekvämare för användarna gör implementeringen av SSO ofta användarinloggningar säkrare.
För det mesta är SSO och IDP separata., En SSO-tjänst använder en IdP för att kontrollera användaridentiteten, men den lagrar inte faktiskt användaridentiteten. En SSO-leverantör är mer av en mellanhand än en one-stop shop; tänk på det som en säkerhetsvakt som är anställd för att hålla ett företag säkert men är faktiskt inte en del av det företaget.
Även om de är separata, är IDP en viktig del av SSO-inloggningsprocessen. SSO-leverantörer kontrollerar användaridentiteten med IdP när användare loggar in. När det är gjort kan SSO verifiera användaridentiteten med valfritt antal anslutna molnprogram.
detta är dock inte alltid fallet., En SSO och IdP kan teoretiskt vara en och samma. Men den här inställningen är mycket mer öppen för attacker på väg där en angripare förfalskar en SAML-påstående* för att få tillgång till ett program. Av denna anledning separeras IdP och SSO vanligtvis.
*en SAML-kontroll är ett specialiserat meddelande som skickas från SSO-tjänster till alla molnprogram som bekräftar användarautentisering, så att användaren kan komma åt och använda programmet.
hur ser allt detta ut i praktiken? Anta att Alice använder sin bärbara dator på sin arbetsgivares kontor., Alice behöver logga in på företagets chattprogram för att bättre samordna med sina medarbetare. Hon öppnar en flik i sin webbläsare och laddar chattprogrammet. Förutsatt att hennes företag använder en SSO-tjänst, sker följande steg bakom kulisserna:
- chattappen frågar SSO för Alices identitetsverifiering.
- SSO ser att Alice inte har loggat in än.
- SSO uppmanar Alice att logga in.
Vid denna tidpunkt omdirigerar Alices webbläsare henne till SSO-inloggningssidan. Sidan har fält för Alice att ange sitt användarnamn och lösenord., Eftersom hennes företag kräver tvåfaktorsautentisering måste Alice också ange en kort kod som SSO automatiskt SMS: ar till sin smartphone. Efter detta är gjort klickar hon på ” Logga in.”Nu händer följande saker:
- SSO skickar en SAML-förfrågan till IDP som används av Alices företag.
- IdP skickar ett SAML-svar till SSO som bekräftar Alices identitet.
- SSO skickar ett SAML-påstående till chattprogrammet Alice ville ursprungligen använda.
Alice omdirigeras tillbaka till hennes chattprogram. Nu kan hon chatta med sina medarbetare., Hela processen tog bara sekunder.
hur integrerar Cloudflare med identitetsleverantörer?
Cloudflare Access integreras med SSOs och IdPs för att hantera användaråtkomst. Cloudflare Access är en del av Cloudflare för Teams produktpaket, vilket hjälper till att hålla interna team säkra.