(Ri)valuta la federazione delle identità e l'accesso sul posto di lavoro
Una delle molte difficoltà affrontate dalle aziende è la creazione di identità digitali caratterizzate da portabilità, riutilizzabilità e interoperabilità, sia in ambito on-premise sia in ambienti sempre più ottimizzati per i servizi web. Uno dei primi approcci, nonché uno dei più popolari, è stato il linguaggio SAML (Security Assertion Markup Language) e la federazione delle identità.
SAML e federazione delle identità: come nascono e cosa sono?
Il linguaggio SAML, in sostanza, definisce le specifiche e i protocolli di interoperabilità, suddivisi in tre ruoli:
- Il soggetto (Principal) - un utente umano, ad esempio un dipendente
- Il provider di identità (IdP) - una fonte di attributi e informazioni sulle credenziali degli utenti
- Il fornitore di servizi (SP) - un'applicazione, un sistema o un servizio a cui l'utente desidera accedere.
La federazione delle identità consiste nella portabilità e nella riutilizzabilità delle identità digitali. L'obiettivo finale è consentire agli utenti di un dominio di accedere in modo rapido e sicuro ad applicazioni, dati e sistemi, senza che sia necessario ricorrere ad attività di gestione ridondanti. Al pari di SAML, la Web Services Federation (WS-Fed) è standardizzata per garantire l'attivazione di meccanismi che consentano a diversi ambienti di integrare la federazione delle identità.
Sia il linguaggio SAML che la federazione delle identità hanno svolto un ruolo importante nella gestione degli accessi della forza lavoro, ma nessuna di queste due soluzioni specifica il metodo di autenticazione utilizzato dal provider di identità.
L'era del cloud, gli sviluppatori e il livello di identità mancante su Internet
Mentre si iniziava a lavorare su infrastrutture cloud pubbliche e su piattaforme mobili, gli sviluppatori hanno compreso che le complessità della federazione delle identità potevano essere risolte senza soluzioni on-premise. La necessità di creare il livello di identità mancante su Internet ha avviato sia il percorso di OpenID, incentrato sull'utente, sia la creazione di OAuth, il protocollo standard del settore per le autorizzazioni. OAuth si concentra sulla semplicità di utilizzo per gli sviluppatori clienti, e al tempo stesso fornisce flussi di autorizzazione specifici per applicazioni web e desktop, telefoni cellulari e molti altri dispositivi connessi. In seguito ai progressi nell'ambito delle autorizzazioni è stato introdotto OpenID Connect.
Come funziona OpenID Connect?
OpenID Connect (OIDC) è un protocollo di federazione basato sul framework OAuth 2.0 che consente ai servizi web di affidare le funzioni di autenticazione a terze parti. Consente ai clienti di confermare l'identità di un utente finale in base alle autenticazioni eseguite dai server di autorizzazione, nonché di ottenere informazioni di base sul profilo dell'utente finale in modo interoperabile e con interfaccia JSON/RESTful.
Perché OpenID Connect (OIDC) è importante?
- OIDC consente ai proprietari e agli sviluppatori delle applicazioni di autenticare gli utenti umani su applicazioni e siti web senza doversi occupare della creazione, della gestione e della manutenzione delle identità.
- Con OIDC, puoi fornire il single sign-on (SSO) e utilizzare gli account aziendali o social esistenti per accedere alle applicazioni e quindi migliorare l'usabilità, la sicurezza e la privacy.
- OIDC offre la gestione del consenso, il supporto per ambienti ibridi e multicloud e anche l'assistenza per più tipi di clienti rispetto ai protocolli di federazione precedenti.
- OIDC migliora l'esperienza utente (UX) grazie ad autenticazione e autorizzazione leggere, gestione del consenso granulare e verifica aggiuntiva tramite metodi MFA (autenticazione a più fattori).
- OIDC è un sostituto del linguaggio SAML.
Nel suo percorso verso AuthPoint 2.0, WatchGuard ha sviluppato il proprio identity fabric su WatchGuard Cloud per allinearsi a questi nuovi standard di autorizzazione e protocolli di federazione delle identità. Scopri di più su come funziona OpenID Connect.
Vuoi maggiori informazioni sulla protezione delle identità digitali? Leggi il nostro recente post sul blog: Un nuovo approccio alla gestione degli accessi per i dipendenti.