Che cos'è la gestione delle identità e degli accessi (IAM)?

In questo articolo vengono illustrati alcuni concetti fondamentali di Gestione delle identità e degli accessi (IAM), perché è importante e come funziona.

La gestione delle identità e degli accessi garantisce che le persone, i computer e i componenti software giusti accingono ad accedere alle risorse corrette al momento giusto. In primo luogo, la persona, il computer o il componente software dimostra di essere chi o quello che sostengono di essere. Quindi, la persona, il computer o il componente software è consentito o negato l'accesso o l'uso di determinate risorse.

Per informazioni sui termini e sui concetti di base, vedere Concetti fondamentali sull'identità.

Che cosa fa IAM?

I sistemi IAM offrono in genere le funzionalità principali seguenti:

• Gestione delle identità : processo di creazione, archiviazione e gestione delle informazioni sull'identità. I provider di identità (IdP) sono soluzioni software usate per tenere traccia e gestire le identità utente, nonché le autorizzazioni e i livelli di accesso associati a tali identità.

• Federazione delle identità : è possibile consentire agli utenti che hanno già password altrove (ad esempio, nella rete aziendale o con un provider di identità Internet o social network) di accedere al sistema.

• Provisioning e deprovisioning degli utenti : processo di creazione e gestione degli account utente, che include la specifica degli utenti che hanno accesso alle risorse e l'assegnazione di autorizzazioni e livelli di accesso.

• Autenticazione degli utenti : autenticare un utente, un computer o un componente software confermando di essere chi o cosa dicono di essere. È possibile aggiungere l'autenticazione a più fattori (MFA) per singoli utenti per una maggiore sicurezza o Single Sign-On (SSO) per consentire agli utenti di autenticare la propria identità con un portale anziché con molte risorse diverse.

• Autorizzazione degli utenti : l'autorizzazione garantisce che a un utente venga concesso il livello esatto e il tipo di accesso a uno strumento a cui hanno diritto. Gli utenti possono anche essere partizionati in gruppi o ruoli in modo che alle coorti di utenti di grandi dimensioni possano essere concessi gli stessi privilegi.

• Controllo di accesso : processo di determinazione di chi o cosa ha accesso alle risorse. Ciò include la definizione di ruoli utente e autorizzazioni, nonché la configurazione di meccanismi di autenticazione e autorizzazione. I controlli di accesso regolano l'accesso a sistemi e dati.

• Report e monitoraggio : generare report dopo le azioni eseguite sulla piattaforma (ad esempio tempo di accesso, sistemi a cui si accede e tipo di autenticazione) per garantire la conformità e valutare i rischi per la sicurezza. Ottenere informazioni dettagliate sui modelli di sicurezza e utilizzo dell'ambiente.

Funzionamento di IAM

Questa sezione offre una panoramica del processo di autenticazione e autorizzazione e degli standard più comuni.

Autenticazione, autorizzazione e accesso alle risorse

Si supponga di avere un'applicazione che esegue l'accesso a un utente e quindi accede a una risorsa protetta.

1. L'utente (proprietario della risorsa) avvia una richiesta di autenticazione con il provider di identità o il server di autorizzazione dall'applicazione client.

2. Se le credenziali sono valide, il provider di identità o il server di autorizzazione invia prima un token ID contenente informazioni sull'utente all'applicazione client.

3. Il provider di identità/il server di autorizzazione ottiene anche il consenso dell'utente finale e concede all'applicazione client l'autorizzazione per accedere alla risorsa protetta. L'autorizzazione viene fornita in un token di accesso, che viene inviato anche all'applicazione client.

4. Il token di accesso viene collegato alle richieste successive effettuate al server di risorse protetto dall'applicazione client.

5. Il provider di identità o il server di autorizzazione convalida il token di accesso. Se viene concessa la richiesta di risorse protette e viene inviata una risposta all'applicazione client.

Per altre informazioni, vedere Autenticazione e autorizzazione.

Standard di autenticazione e autorizzazione

Questi sono i più noti e comunemente usati standard di autenticazione e autorizzazione:

OAuth 2.0

OAuth è un protocollo di gestione delle identità open-standard che fornisce accesso sicuro per siti Web, app per dispositivi mobili e Internet delle cose e altri dispositivi. Usa token crittografati in transito ed elimina la necessità di condividere le credenziali. OAuth 2.0, la versione più recente di OAuth, è un framework diffuso usato dalle principali piattaforme di social media e dai servizi consumer, da Facebook e LinkedIn a Google, PayPal e Netflix. Per altre informazioni, vedere Protocollo OAuth 2.0.

OpenID Connect (OIDC)

Con il rilascio di OpenID Connect (che usa la crittografia a chiave pubblica), OpenID è diventato un livello di autenticazione ampiamente adottato per OAuth. Analogamente a SAML, OpenID Connect (OIDC) viene ampiamente usato per l'accesso Single Sign-On (SSO), ma OIDC usa REST/JSON anziché XML. OIDC è stato progettato per funzionare con app native e per dispositivi mobili usando protocolli REST/JSON. Il caso d'uso principale per SAML, tuttavia, è app basate sul Web. Per altre informazioni, vedere Il protocollo OpenID Connect.

Token Web JSON (JWT)

I token JWT sono uno standard aperto che definisce un modo compatto e autonomo per trasmettere in modo sicuro le informazioni tra le parti come oggetto JSON. I token JWT possono essere verificati e considerati attendibili perché sono firmati digitalmente. Possono essere usati per passare l'identità degli utenti autenticati tra il provider di identità e il servizio che richiede l'autenticazione. Possono anche essere autenticati e crittografati. Per altre informazioni, vedere Json Web Tokens (Token Web JSON).

SAML (Security Assertion Markup Language)

SAML è uno standard aperto usato per lo scambio di informazioni di autenticazione e autorizzazione tra, in questo caso, una soluzione IAM e un'altra applicazione. Questo metodo usa XML per trasmettere i dati ed è in genere il metodo usato dalle piattaforme di gestione delle identità e degli accessi per concedere agli utenti la possibilità di accedere alle applicazioni integrate con le soluzioni IAM. Per altre informazioni, vedere Protocollo SAML.

Sistema per la gestione delle identità tra domini (SCIM)

Creato per semplificare il processo di gestione delle identità utente, il provisioning SCIM consente alle organizzazioni di operare in modo efficiente nel cloud e aggiungere o rimuovere facilmente utenti, beneficiando dei budget, riducendo i rischi e semplificando i flussi di lavoro. SCIM facilita anche la comunicazione tra applicazioni basate sul cloud. Per altre informazioni, vedere Sviluppare e pianificare il provisioning per un endpoint SCIM.

Web Services Federation (WS-Fed)

WS-Fed è stato sviluppato da Microsoft e usato ampiamente nelle applicazioni, questo standard definisce il modo in cui i token di sicurezza possono essere trasportati tra entità diverse per scambiare informazioni sull'identità e sull'autorizzazione. Per altre informazioni, vedere Web Services Federation Protocol.

Passaggi successivi

Per altre informazioni, vedere:

• Single sign-on (SSO)
• Multi-Factor Authentication (MFA)
• Confronto tra autenticazione e autorizzazione
• OAuth 2.0 e OpenID Connect
• Tipi di app e flussi di autenticazione
• Token di sicurezza