Confrontare i provider di identità Microsoft
Un provider di identità (IdP) è un sistema che crea, gestisce e archivia le identità digitali. Microsoft Entra ID è un esempio. Le funzionalità e le caratteristiche dei provider di identità possono essere diverse. I tre componenti più comuni sono:
- un repository di identità utente
- un sistema di autenticazione
- protocolli di sicurezza che difendono dalle intrusioni
Un provider di identità verifica le identità degli utenti usando uno o più fattori di autenticazione, ad esempio una password o una scansione dell'impronta digitale. Un provider di identità è spesso un provider attendibile da usare con Single Sign-On (SSO) per accedere ad altre risorse. L'accesso SSO migliora l'usabilità riducendo la difficoltà nel ricordare le password. Offre inoltre una maggiore sicurezza in quanto riduce la potenziale superficie di attacco. I provider di identità possono facilitare le connessioni tra le risorse di cloud computing e gli utenti, riducendo così la necessità per gli utenti di eseguire di nuovo l'autenticazione quando usano applicazioni di roaming e per dispositivi mobili.
Protocolli di identità comuni
Provider OpenID: OpenID Connect (OIDC) è un protocollo di autenticazione basato sul protocollo OAuth2 (che viene usato per l'autorizzazione). OIDC usa i flussi di messaggi standardizzati di OAuth2 per fornire i servizi di gestione delle identità. In particolare, un'entità di sistema (chiamata provider OpenID) emette token di identità in formato JSON per le relying party OIDC tramite un'API HTTP RESTful.
Provider di identità SAML: Security Assertion Markup Language (SAML) è uno standard aperto per lo scambio di dati di autenticazione e autorizzazione tra un provider di identità e un provider di servizi. SAML è un linguaggio di markup basato su XML per le asserzioni di sicurezza, che sono istruzioni usate dai provider dei servizi di istruzioni per prendere decisioni sul controllo di accesso.
Confrontare i provider di identità in Microsoft Azure
Microsoft offre diversi strumenti per la gestione delle identità a seconda delle esigenze e degli obiettivi aziendali. Microsoft Entra ID deve essere il punto di partenza per l'identità basata sul cloud. Altri servizi possono fornire funzionalità di supporto durante la transizione dall'ambiente locale al cloud.
Servizi di dominio Microsoft Entra | Microsoft Entra ID | Active Directory Domain Services |
---|---|---|
Offre servizi di dominio gestiti con un subset di funzionalità di Active Directory Domain Services tradizionali totalmente compatibili, come l'aggiunta a un dominio, criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM. | Sistema di gestione di dispositivi mobili e identità basato sul cloud che offre servizi di autenticazione e account utente per risorse come Microsoft 365, il portale di Azure o le applicazioni SaaS. | Server LDAP (Lightweight Directory Access Protocol) di livello aziendale che offre funzionalità chiave come identità e autenticazione, gestione di oggetti computer, Criteri di gruppo e trust. |
Active Directory Domain Services (AD DS)
Server LDAP (Lightweight Directory Access Protocol) di livello aziendale che offre funzionalità chiave come identità e autenticazione, gestione di oggetti computer, Criteri di gruppo e trust.
- Active Directory Domain Services è un componente centrale in molte organizzazioni con un ambiente IT locale e offre funzionalità di base per l'autenticazione degli account utente e la gestione dei computer.
Microsoft Entra ID
Sistema di gestione di dispositivi mobili e identità basato sul cloud che offre servizi di autenticazione e account utente per risorse come Microsoft 365, il portale di Azure o le applicazioni SaaS.
- Microsoft Entra ID può essere sincronizzato con un ambiente di Active Directory Domain Services locale per fornire un'unica identità agli utenti che lavorano in modo nativo nel cloud.
Servizi di dominio Microsoft Entra
Offre servizi di dominio gestiti con un subset di funzionalità di Active Directory Domain Services tradizionali totalmente compatibili, come l'aggiunta a un dominio, criteri di gruppo, LDAP e l'autenticazione Kerberos/NTLM.
- Microsoft Entra DS si integra con Microsoft Entra ID, che a sua volta può sincronizzarsi con un ambiente Active Directory Domain Services locale. Questa capacità estende i casi d'uso delle identità centrali alle applicazioni Web tradizionali eseguite in Azure come parte di una strategia lift-and-shift.