Condividi tramite


Che cos'è un sistema di gestione delle identità e degli accessi (IAM)?

In questo articolo vengono illustrati alcuni dei concetti fondamentali di Gestione delle identità e degli accessi (IAM), perché è importante e come funziona.

La gestione delle identità e degli accessi garantisce che le persone, i computer e i componenti software giusti ottengano l'accesso alle risorse corrette al momento giusto. Per prima cosa, la persona, il computer o il componente software dimostrano di essere chi o cosa dicono di essere. Poi, alla persona, al computer o al componente software viene consentito o negato l'accesso o l'utilizzo di determinate risorse.

Per informazioni sui termini e i concetti di base, vedere Nozioni fondamentali sull'identità.

Che cosa fa IAM?

I sistemi IAM offrono in genere le funzionalità di base seguenti:

  • Gestione delle identità: processo di creazione, archiviazione e gestione delle informazioni sull'identità. I provider di identità (IdP) sono soluzioni software usate per tenere traccia e gestire le identità utente, nonché le autorizzazioni e i livelli di accesso associati a tali identità.

  • Federazione delle identità: è possibile consentire agli utenti che dispongono già di password altrove (ad esempio, nella rete aziendale o con un provider di identità Internet o social identity) di accedere al sistema.

  • Provisioning e deprovisioning degli utenti : processo di creazione e gestione degli account utente, che include la specifica degli utenti che hanno accesso alle risorse e l'assegnazione di autorizzazioni e livelli di accesso.

  • Autenticazione degli utenti : autenticare un utente, un computer o un componente software confermando di essere chi o cosa dicono di essere. È possibile aggiungere l'autenticazione a più fattori (MFA) per singoli utenti per la sicurezza aggiuntiva o l'accesso Single Sign-On (SSO) per consentire agli utenti di autenticare l'identità con un portale anziché con molte risorse diverse.

  • Autorizzazione degli utenti : l'autorizzazione garantisce che a un utente venga concesso il livello esatto e il tipo di accesso a uno strumento a cui hanno diritto. Gli utenti possono anche essere partizionati in gruppi o ruoli in modo da concedere agli utenti di grandi dimensioni gli stessi privilegi.

  • Controllo di accesso: processo di determinazione di chi o cosa ha accesso alle risorse. Sono inclusi la definizione di ruoli utente e autorizzazioni, nonché la configurazione di meccanismi di autenticazione e autorizzazione. I controlli di accesso regolano l'accesso ai sistemi e ai dati.

  • Report e monitoraggio : generare report dopo le azioni eseguite sulla piattaforma (ad esempio tempo di accesso, sistemi a cui si accede e tipo di autenticazione) per garantire la conformità e valutare i rischi per la sicurezza. Ottenere informazioni dettagliate sui modelli di sicurezza e utilizzo dell'ambiente.

Funzionamento di IAM

Questa sezione offre una panoramica del processo di autenticazione e autorizzazione e degli standard più comuni.

Autenticazione, autorizzazione e accesso alle risorse

Si supponga di avere un'applicazione che accede a un utente e quindi accede a una risorsa protetta.

Diagramma che mostra il processo di autenticazione e autorizzazione utente per l'accesso a una risorsa protetta tramite un provider di identità.

  1. L'utente (proprietario della risorsa) avvia una richiesta di autenticazione con il provider di identità o il server di autorizzazione dall'applicazione client.

  2. Se le credenziali sono valide, il provider di identità o il server di autorizzazione invia prima un token ID contenente informazioni sull'utente all'applicazione client.

  3. Il server di autorizzazione/provider di identità ottiene anche il consenso dell'utente finale e concede all'applicazione client l'autorizzazione per accedere alla risorsa protetta. L'autorizzazione viene fornita in un token di accesso, che viene restituito anche all'applicazione client.

  4. Il token di accesso viene associato alle richieste successive effettuate al server risorse protetto dall'applicazione client.

  5. Il provider di identità/il server di autorizzazione convalida il token di accesso. Se la richiesta per le risorse protette viene concessa correttamente e viene inviata una risposta all'applicazione client.

Per altre informazioni, vedere Autenticazione e autorizzazione.

Standard di autenticazione e autorizzazione

Questi sono gli standard di autenticazione e autorizzazione più noti e comunemente usati:

OAuth 2.0

OAuth è un protocollo open-standards di gestione delle identità che fornisce accesso sicuro per siti Web, app per dispositivi mobili e Internet delle cose e altri dispositivi. Usa token crittografati in transito ed elimina la necessità di condividere le credenziali. OAuth 2.0, la versione più recente di OAuth, è un framework diffuso usato dalle principali piattaforme di social media e dai servizi consumer, da Facebook e LinkedIn a Google, PayPal e Netflix. Per altre informazioni, vedere Protocollo OAuth 2.0.

OpenID Connect (OIDC)

Con il rilascio di OpenID Connect (che usa la crittografia a chiave pubblica), OpenID è diventato un livello di autenticazione ampiamente adottato per OAuth. Analogamente a SAML, OpenID Connect (OIDC) viene ampiamente usato per l'accesso Single Sign-On (SSO), ma OIDC usa REST/JSON anziché XML. OIDC è stato progettato per funzionare con app native e per dispositivi mobili usando protocolli REST/JSON. Il caso d'uso principale per SAML, tuttavia, è app basate sul Web. Per altre informazioni, vedere Il protocollo OpenID Connect.

Token Web JSON (JWT)

I token JWT sono uno standard aperto che definisce un modo compatto e indipendente per trasmettere in modo sicuro le informazioni tra le parti come oggetto JSON. I token JWT possono essere verificati e attendibili perché sono firmati digitalmente. Possono essere usati per passare l'identità degli utenti autenticati tra il provider di identità e il servizio che richiede l'autenticazione. Possono anche essere autenticati e crittografati. Per altre informazioni, vedere Token Web JSON.

SAML (Security Assertion Markup Language)

SAML è uno standard aperto usato per lo scambio di informazioni di autenticazione e autorizzazione tra, in questo caso, una soluzione IAM e un'altra applicazione. Questo metodo usa XML per trasmettere i dati ed è in genere il metodo usato dalle piattaforme di gestione delle identità e degli accessi per concedere agli utenti la possibilità di accedere alle applicazioni integrate con le soluzioni IAM. Per altre informazioni, vedere Protocollo SAML.

System for Cross-Domain Identity Management (SCIM)

Creato per semplificare il processo di gestione delle identità utente, il provisioning SCIM consente alle organizzazioni di operare in modo efficiente nel cloud e di aggiungere o rimuovere facilmente utenti, beneficiando dei budget, riducendo i rischi e semplificando i flussi di lavoro. SCIM facilita anche la comunicazione tra applicazioni basate sul cloud. Per altre informazioni, vedere Sviluppare e pianificare il provisioning per un endpoint SCIM.

Web Services Federation (WS-Fed)

WS-Fed è stato sviluppato da Microsoft e usato ampiamente nelle proprie applicazioni, questo standard definisce il modo in cui i token di sicurezza possono essere trasportati tra entità diverse per scambiare informazioni di identità e autorizzazione. Per altre informazioni, vedere Web Services Federation Protocol.

Passaggi successivi

Per ulteriori informazioni, vedere: