Cos'è un provider di identità (IdP)?

Cos'è un provider di identità (IdP)?

Un provider di identità (IdP) archivia e gestisce le identità digitali degli utenti. Pensa a un IdP come a una lista di invitati, ma per applicazioni digitali e ospitate nel cloud anziché per un evento. Un IdP può controllare le identità degli utenti tramite combinazioni di nome utente-password e altri fattori, oppure può semplicemente fornire un elenco di identità utente che viene controllato poi da un altro fornitore di servizi (come un SSO).

Gli IdP non si limitano alla verifica degli utenti umani. Tecnicamente, un IdP può autenticare qualsiasi entità connessa a una rete o a un sistema, inclusi computer e altri dispositivi. Ogni entità archiviata da un IdP è definita "principale" (e non "utente"). Tuttavia, gli IdP sono spesso utilizzati nel cloud computing per gestire le identità degli utenti.

Cos'è un'identità utente?

L'identità dell'utente digitale è associata a fattori quantificabili che possono essere verificati da un sistema informatico. Questi fattori sono chiamati "fattori di autenticazione". I tre fattori di autenticazione sono:

• Conoscenza: qualcosa che conosci, come un nome utente e una password
• Possesso: qualcosa che hai, come uno smartphone
• Qualità intrinseche: qualcosa che sei, come la tua impronta digitale o una scansione della retina

Un IdP può utilizzare uno o più di questi fattori per identificare un utente. L'utilizzo di più fattori per verificare l'identificazione dell'utente è chiamato autenticazione a più fattori (MFA).

Perché gli IdP sono necessari?

L'identità digitale deve essere rintracciata da qualche parte, soprattutto per il cloud computing, in cui l'identità dell'utente determina se qualcuno può accedere o meno ai dati sensibili. I servizi cloud devono sapere esattamente dove e come recuperare e verificare l'identità dell'utente.

I record delle identità degli utenti devono anche essere archiviati in modo sicuro per garantire che gli autori di attacchi non possano utilizzarli per impersonare gli utenti. Un provider di identità cloud in genere adotta ulteriori precauzioni per proteggere i dati degli utenti, mentre un servizio non dedicato esclusivamente alla memorizzazione dell'identità può archiviarli in una posizione non protetta, come un server aperto a Internet.

Come funzionano gli IdP con i servizi SSO?

Un servizio single sign-on, spesso chiamato "SSO", è un luogo unificato in cui gli utenti possono accedere contemporaneamente a tutti i loro servizi cloud. Oltre a essere più comodo per gli utenti, l'implementazione dell'SSO spesso rende più sicuri gli accessi.

Nella maggior parte dei casi, SSO e gli IdP sono separati. Un servizio SSO utilizza un IdP per verificare l'identità dell'utente, ma in realtà non la memorizza. Un provider SSO è più un intermediario che un punto di riferimento unico; immaginalo come un'agenzia di sicurezza assunta per garantire la sicurezza di un'azienda, ma che in realtà non ne fa parte.

Anche se sono separati, gli IdP sono una parte essenziale del processo di accesso SSO. Quando gli utenti accedono, i provider SSO controllano l'identità dell'utente con l'IdP. Una volta fatto ciò, l'SSO può verificare l'identità dell'utente con un numero qualsiasi di applicazioni cloud connesse.

Tuttavia, non è sempre così. Un SSO e un IdP possono teoricamente essere la stessa cosa. Ma questa configurazione è molto più aperta agli attacchi on-path in cui un utente malintenzionato falsifica un'asserzione SAML* per ottenere l'accesso a un'applicazione. Per questo motivo, IdP e SSO sono in genere separati.

*Un'asserzione SAML è un messaggio specializzato inviato dai servizi SSO a qualsiasi applicazione cloud che conferma l'autenticazione dell'utente, consentendo all'utente di accedere e utilizzare l'applicazione.

Come si traduce tutto questo nella pratica?

Supponiamo che Alice stia utilizzando il suo laptop di lavoro nell'ufficio del suo datore di lavoro. Alice deve accedere all'applicazione di chat live dell'azienda per coordinarsi meglio con i suoi colleghi. Apre quindi una scheda sul suo browser e carica l'applicazione di chat. Supponendo che la sua azienda utilizzi un servizio SSO, dietro le quinte si svolgono i seguenti passaggi:

• L'app di chat richiede all'SSO la verifica dell'identità di Alice.
• L'SSO rileva che Alice non ha ancora effettuato l'accesso.
• L'SSO richiede ad Alice di accedere.

A questo punto il browser di Alice la reindirizza alla pagina di accesso SSO. Nella pagina sono presenti dei campi in cui Alice può inserire il suo nome utente e la sua password. Poiché la sua azienda richiede l'autenticazione a due fattori, Alice deve anche inserire un codice breve che l'SSO invia automaticamente tramite SMS al suo smartphone. Al termine, fa clic su "Accedi". A questo punto, accadono le seguenti cose:

• L'SSO invia una richiesta SAML all'IdP utilizzato dall'azienda di Alice.
• L'IdP invia una risposta SAML all'SSO confermando l'identità di Alice.
• L'SSO invia un'asserzione SAML all'applicazione di chat che Alice voleva originariamente utilizzare.

Alice viene reindirizzata alla sua applicazione di chat. Ora può chattare con i suoi colleghi. L'intero processo ha richiesto solo pochi secondi.

Come si integra Cloudflare con i provider di identità?

Cloudflare Zero Trust aiuta a proteggere i team interni integrandosi con SSO e IdP per gestire l'accesso degli utenti.