Share via

Che cos'è la gestione delle identità e degli accessi (IAM)?

  • Articolo

In questo articolo vengono illustrati alcuni dei concetti fondamentali di Gestione delle identità e degli accessi (IAM), perché è importante e come funziona.

La gestione delle identità e degli accessi garantisce che le persone, i computer e i componenti software corretti ottengano l'accesso alle risorse corrette al momento giusto. In primo luogo, la persona, il computer o il componente software dimostra che sono chi o quello che sostengono di essere. Quindi, la persona, il computer o il componente software è consentito o negato l'accesso o l'uso di determinate risorse.

Per informazioni sui termini e i concetti di base, vedere Nozioni fondamentali sull'identità.

Che cosa fa IAM?

I sistemi IAM offrono in genere le funzionalità di base seguenti:

  • Gestione delle identità: processo di creazione, archiviazione e gestione delle informazioni sull'identità. I provider di identità (IdP) sono soluzioni software usate per tenere traccia e gestire le identità utente, nonché le autorizzazioni e i livelli di accesso associati a tali identità.

  • Federazione delle identità: è possibile consentire agli utenti che dispongono già di password altrove (ad esempio, nella rete aziendale o con un provider di identità Internet o social identity) di accedere al sistema.

  • Provisioning e deprovisioning degli utenti : processo di creazione e gestione degli account utente, che include la specifica degli utenti che hanno accesso alle risorse e l'assegnazione di autorizzazioni e livelli di accesso.

  • Autenticazione degli utenti : autenticare un utente, un computer o un componente software confermando di essere chi o cosa dicono di essere. È possibile aggiungere l'autenticazione a più fattori (MFA) per singoli utenti per la sicurezza aggiuntiva o l'accesso Single Sign-On (SSO) per consentire agli utenti di autenticare la propria identità con un portale anziché con molte risorse diverse.

  • Autorizzazione degli utenti : l'autorizzazione garantisce che a un utente venga concesso il livello esatto e il tipo di accesso a uno strumento a cui hanno diritto. Gli utenti possono anche essere partizionati in gruppi o ruoli in modo da concedere agli utenti di grandi dimensioni gli stessi privilegi.

  • Controllo di accesso: processo di determinazione di chi o cosa ha accesso alle risorse. Sono inclusi la definizione di ruoli utente e autorizzazioni, nonché la configurazione di meccanismi di autenticazione e autorizzazione. I controlli di accesso regolano l'accesso ai sistemi e ai dati.

  • Report e monitoraggio : generare report dopo le azioni eseguite sulla piattaforma (ad esempio tempo di accesso, sistemi a cui si accede e tipo di autenticazione) per garantire la conformità e valutare i rischi per la sicurezza. Ottenere informazioni dettagliate sui modelli di sicurezza e utilizzo dell'ambiente.

Funzionamento di IAM

Questa sezione offre una panoramica del processo di autenticazione e autorizzazione e degli standard più comuni.

Autenticazione, autorizzazione e accesso alle risorse

Si supponga di avere un'applicazione che accede a un utente e quindi accede a una risorsa protetta.

Diagram that shows the user authentication and authorization process for accessing a protected resource using an identity provider.

  1. L'utente (proprietario della risorsa) avvia una richiesta di autenticazione con il provider di identità o il server di autorizzazione dall'applicazione client.

  2. Se le credenziali sono valide, il provider di identità o il server di autorizzazione invia prima un token ID contenente informazioni sull'utente all'applicazione client.

  3. Il server di autorizzazione/provider di identità ottiene anche il consenso dell'utente finale e concede all'applicazione client l'autorizzazione per accedere alla risorsa protetta. L'autorizzazione viene fornita in un token di accesso, che viene restituito anche all'applicazione client.

  4. Il token di accesso viene associato alle richieste successive effettuate al server risorse protetto dall'applicazione client.

  5. Il provider di identità/il server di autorizzazione convalida il token di accesso. Se la richiesta per le risorse protette viene concessa correttamente e viene inviata una risposta all'applicazione client.

Per altre informazioni, vedere Autenticazione e autorizzazione.

Standard di autenticazione e autorizzazione

Questi sono gli standard di autenticazione e autorizzazione più noti e comunemente usati:

OAuth 2.0

OAuth è un protocollo open-standards di gestione delle identità che fornisce accesso sicuro per siti Web, app per dispositivi mobili e Internet delle cose e altri dispositivi. Usa token crittografati in transito ed elimina la necessità di condividere le credenziali. OAuth 2.0, la versione più recente di OAuth, è un framework diffuso usato dalle principali piattaforme di social media e dai servizi consumer, da Facebook e LinkedIn a Google, PayPal e Netflix. Per altre informazioni, vedere Protocollo OAuth 2.0.

OpenID Connessione (OIDC)

Con il rilascio del Connessione OpenID (che usa la crittografia a chiave pubblica), OpenID è diventato un livello di autenticazione ampiamente adottato per OAuth. Come SAML, OpenID Connessione (OIDC) viene ampiamente usato per l'accesso Single Sign-On (SSO), ma OIDC usa REST/JSON anziché XML. OIDC è stato progettato per funzionare con app native e per dispositivi mobili usando protocolli REST/JSON. Il caso d'uso principale per SAML, tuttavia, è app basate sul Web. Per altre informazioni, vedere Il protocollo openID Connessione.

Token Web JSON (JWT)

I token JWT sono uno standard aperto che definisce un modo compatto e indipendente per trasmettere in modo sicuro le informazioni tra le parti come oggetto JSON. I token JWT possono essere verificati e attendibili perché sono firmati digitalmente. Possono essere usati per passare l'identità degli utenti autenticati tra il provider di identità e il servizio che richiede l'autenticazione. Possono anche essere autenticati e crittografati. Per altre informazioni, vedere Token Web JSON.

SAML (Security Assertion Markup Language)

SAML è uno standard aperto usato per lo scambio di informazioni di autenticazione e autorizzazione tra, in questo caso, una soluzione IAM e un'altra applicazione. Questo metodo usa XML per trasmettere i dati ed è in genere il metodo usato dalle piattaforme di gestione delle identità e degli accessi per concedere agli utenti la possibilità di accedere alle applicazioni integrate con le soluzioni IAM. Per altre informazioni, vedere Protocollo SAML.

System for Cross-Domain Identity Management (SCIM)

Creato per semplificare il processo di gestione delle identità utente, il provisioning SCIM consente alle organizzazioni di operare in modo efficiente nel cloud e di aggiungere o rimuovere facilmente utenti, beneficiando dei budget, riducendo i rischi e semplificando i flussi di lavoro. SCIM facilita anche la comunicazione tra applicazioni basate sul cloud. Per altre informazioni, vedere Sviluppare e pianificare il provisioning per un endpoint SCIM.

Web Services Federation (WS-Fed)

WS-Fed è stato sviluppato da Microsoft e usato ampiamente nelle proprie applicazioni, questo standard definisce il modo in cui i token di sicurezza possono essere trasportati tra entità diverse per scambiare informazioni di identità e autorizzazione. Per altre informazioni, vedere Web Services Federation Protocol.

Passaggi successivi

Per altre informazioni, vedere: