Concetti fondamentali relativi alla gestione delle identità e degli accessi (IAM)

  • Articolo

Questo articolo fornisce concetti e terminologia fondamentali per comprendere la gestione delle identità e degli accessi (IAM).

Che cos'è la gestione delle identità e degli accessi (IAM)?

La gestione delle identità e degli accessi garantisce che le persone, i computer e i componenti software corretti ottengano l'accesso alle risorse corrette al momento giusto. In primo luogo, la persona, il computer o il componente software dimostra che sono chi o quello che sostengono di essere. Quindi, la persona, il computer o il componente software è consentito o negato l'accesso o l'uso di determinate risorse.

Ecco alcuni concetti fondamentali che consentono di comprendere la gestione delle identità e degli accessi:

Identità

Un'identità digitale è una raccolta di identificatori o attributi univoci che rappresentano un componente umano, software, un computer, un asset o una risorsa in un sistema informatico. Un identificatore può essere:

  • Un indirizzo di posta elettronica
  • Credenziali di accesso (nome utente/password)
  • Numero conto bancario
  • ID rilasciato dal governo
  • Indirizzo MAC o indirizzo IP

Le identità vengono usate per autenticare e autorizzare l'accesso alle risorse, comunicare con altri utenti, condurre transazioni e altri scopi.

A livello generale, esistono tre tipi di identità:

  • Le identità umane rappresentano persone come dipendenti (lavoratori interni e lavoratori front-line) e utenti esterni (clienti, consulenti, fornitori e partner).
  • Le identità del carico di lavoro rappresentano carichi di lavoro software, ad esempio un'applicazione, un servizio, uno script o un contenitore.
  • Le identità dei dispositivi rappresentano dispositivi come computer desktop, telefoni cellulari, sensori IoT e dispositivi gestiti IoT. Le identità dei dispositivi sono distinte dalle identità umane.

Authentication

L'autenticazione è il processo di sfidare una persona, un componente software o un dispositivo hardware per le credenziali per verificare la propria identità o dimostrare di essere chi o cosa dichiara di essere. L'autenticazione richiede in genere l'uso delle credenziali , ad esempio nome utente e password, impronte digitali, certificati o passcode monouso. L'autenticazione viene talvolta abbreviata in AuthN.

L'autenticazione a più fattori (MFA) è una misura di sicurezza che richiede agli utenti di fornire più elementi di prova per verificare le identità, ad esempio:

  • Qualcosa che sanno, ad esempio una password.
  • Qualcosa che hanno, ad esempio un badge o un token di sicurezza.
  • Qualcosa che sono, come una biometria (impronta digitale o viso).

Single Sign-On (SSO) consente agli utenti di autenticare la propria identità una sola volta e quindi autenticarsi automaticamente quando si accede a varie risorse che si basano sulla stessa identità. Dopo l'autenticazione, il sistema IAM funge da origine della verità dell'identità per le altre risorse disponibili per l'utente. Rimuove la necessità di accedere a più sistemi di destinazione separati.

Autorizzazione

L'autorizzazione verifica che all'utente, al computer o al componente software sia stato concesso l'accesso a determinate risorse. L'autorizzazione viene talvolta abbreviata in AuthZ.

Autenticazione e autorizzazione

I termini autenticazione e autorizzazione vengono talvolta usati in modo intercambiabile, perché spesso sembrano un'unica esperienza per gli utenti. Sono in realtà due processi separati:

  • L'autenticazione dimostra l'identità di un utente, di un computer o di un componente software.
  • L'autorizzazione concede o nega l'accesso a determinate risorse all'utente, al computer o al componente software.

Diagram that shows authentication and authorization side by side.

Ecco una rapida panoramica dell'autenticazione e dell'autorizzazione:

Authentication Autorizzazione
Può essere considerato un gatekeeper, consentendo l'accesso solo a coloro che forniscono credenziali valide. Può essere considerato come una guardia, assicurando che solo quelli con la corretta autorizzazione possano entrare in determinate aree.
Verifica se un utente, un computer o un software è chi o cosa dichiara di essere. Determina se l'utente, il computer o il software è autorizzato ad accedere a una determinata risorsa.
Sfida l'utente, il computer o il software per le credenziali verificabili, ad esempio password, identificatori biometrici o certificati. Determina il livello di accesso di un utente, un computer o un software.
Operazione eseguita prima dell'autorizzazione. Operazione completata dopo l'autenticazione completata.
Le informazioni vengono trasferite in un token ID. Le informazioni vengono trasferite in un token di accesso.
Spesso usa openID Connessione (OIDC) (basato sul protocollo OAuth 2.0) o sui protocolli SAML. Spesso usa il protocollo OAuth 2.0.

Per informazioni più dettagliate, vedere Autenticazione e autorizzazione.

Esempio

Si supponga di voler trascorrere la notte in un hotel. È possibile considerare l'autenticazione e l'autorizzazione come il sistema di sicurezza per l'edificio dell'hotel. Gli utenti sono persone che vogliono soggiornare in hotel, le risorse sono le camere o le aree che le persone vogliono usare. Il personale dell'hotel è un altro tipo di utente.

Se si sta alloggiando in hotel, si passa prima alla reception per avviare il "processo di autenticazione". Viene visualizzata una carta di identificazione e una carta di credito e l'addetto alla ricezione corrisponde all'ID rispetto alla prenotazione online. Dopo che l'addetto alla reception ha verificato chi sei, l'addetto alla reception concede l'autorizzazione per accedere alla stanza a cui sei stato assegnato. Hai dato una chiave e puoi andare ora nella tua stanza.

Diagram that shows a person showing identification to get a hotel keycard.

Le porte alle camere dell'hotel e altre aree hanno sensori keycard. Lo scorrimento rapido della keycard davanti a un sensore è il "processo di autorizzazione". La keycard ti permette solo di aprire le porte alle camere a cui sei autorizzato ad accedere, ad esempio la tua camera d'albergo e la sala esercizi dell'hotel. Se si scorre il tasto per accedere a qualsiasi altra camera dell'hotel, l'accesso viene negato.

Le singole autorizzazioni, ad esempio l'accesso alla sala esercizi e a una stanza guest specifica, vengono raccolte in ruoli che possono essere concessi ai singoli utenti. Quando si alloggia in hotel, viene concesso il ruolo Di Patron dell'Hotel. Al personale del servizio camera dell'hotel verrebbe concesso il ruolo Servizio camera hotel. Questo ruolo consente l'accesso a tutte le camere dell'hotel (ma solo tra le 11:00 e le 14:00), la lavanderia e gli armadi di fornitura su ogni piano.

Diagram that shows a user getting access to a room with a keycard.

Provider di identità

Un provider di identità crea, aggiorna e gestisce le informazioni sulle identità fornendo al contempo servizi di autenticazione, autorizzazione e controllo.

Diagram that shows an identity icon surrounded by cloud, workstation, mobile, and database icons.

Con l'autenticazione moderna, tutti i servizi, inclusi tutti i servizi di autenticazione, vengono forniti da un provider di identità centrale. Le informazioni usate per autenticare l'utente nel server vengono archiviate e gestite centralmente dal provider di identità.

Con un provider di identità centrale, le organizzazioni possono definire criteri di autenticazione e autorizzazione, monitorare il comportamento degli utenti, identificare attività sospette e ridurre gli attacchi dannosi.

Microsoft Entra ID è un esempio di provider di identità basato sul cloud. Altri esempi sono Twitter, Google, Amazon, LinkedIn e GitHub.

Passaggi successivi