Condividi tramite

Concetti fondamentali relativi alla gestione delle identità e degli accessi

Questo articolo illustra i concetti fondamentali della gestione delle identità e degli accessi (IAM) per proteggere le risorse in modo efficace.

Che cos'è la gestione delle identità e degli accessi

La gestione delle identità e degli accessi garantisce che le persone, i computer e i componenti software giusti accingono alle risorse corrette al momento giusto. Per prima cosa, la persona, il computer o il componente software dimostrano di essere chi o cosa dicono di essere. La persona, il computer o il componente software viene quindi concesso o negato l'accesso a determinate risorse.

Operazioni di IAM

I sistemi IAM offrono in genere le funzionalità di base seguenti:

  • Gestione delle identità: processo di creazione, archiviazione e gestione delle informazioni sull'identità. I provider di identità (IdP) sono soluzioni software usate per tenere traccia e gestire le identità utente, nonché le autorizzazioni e i livelli di accesso associati a tali identità.
  • Federazione delle identità: consente agli utenti che dispongono già di password altrove (ad esempio, nella rete aziendale o con un provider di identità Internet o social identity) di accedere al sistema.
  • Provisioning e deprovisioning degli utenti: creare e gestire gli account utente, inclusa la specifica di quali utenti possono accedere alle risorse e assegnare autorizzazioni e livelli di accesso.
  • Autenticazione degli utenti: verificare che un utente, un computer o un componente software sia chi o cosa dichiara di essere.
  • Autorizzazione degli utenti: garantisce che a un utente venga concesso il livello esatto e il tipo di accesso a uno strumento a cui ha diritto.
  • Controllo di accesso: processo di determinazione di chi o cosa ha accesso alle risorse. Questo processo include la definizione di ruoli utente e autorizzazioni, nonché la configurazione di meccanismi di autenticazione e autorizzazione. I controlli di accesso regolano l'accesso ai sistemi e ai dati.
  • Report e monitoraggio: generare report sulle azioni della piattaforma (ad esempio tempo di accesso, sistemi a cui si accede e tipo di autenticazione) per garantire la conformità e valutare i rischi per la sicurezza.

Identità

Un'identità digitale è una raccolta di identificatori o attributi univoci che rappresentano una persona, un componente software, un computer, un asset o una risorsa in un sistema. Un identificatore può essere:

  • l'indirizzo email;
  • le credenziali di accesso (nome utente/password);
  • Numero di conto corrente bancario
  • ID emesso dal governo
  • Indirizzo MAC o indirizzo IP

Le identità vengono usate per autenticare e autorizzare l'accesso alle risorse, abilitare la comunicazione, facilitare le transazioni e servire altri scopi.

Le identità sono suddivise in tre tipi:

  • Le identità umane rappresentano persone, inclusi i dipendenti (lavoratori interni e sul campo) e gli utenti esterni (clienti, consulenti, fornitori e partner).
  • le identità dei carichi di lavoro, che rappresentano carichi di lavoro software, ad esempio un'applicazione, un servizio, uno script o un contenitore;
  • Le identità dei dispositivi rappresentano dispositivi, inclusi computer desktop, telefoni cellulari, sensori IoT e dispositivi gestiti da IoT. Sono distinti dalle identità umane.

Autenticazione

L'autenticazione richiede a una persona, a un componente software o a un dispositivo hardware le credenziali per verificare la propria identità o dimostrare di essere chi o cosa dichiara di essere. L'autenticazione richiede in genere credenziali come nome utente e password, impronte digitali, certificati o passcode monouso. In lingua inglese, il termine autenticazione viene talvolta abbreviato in AuthN.

L'autenticazione a più fattori (MFA) è una misura di sicurezza che richiede agli utenti di fornire più elementi di prova per verificare la propria identità. Gli esempi includono:

  • Qualcosa che sanno, ad esempio una password.
  • Qualcosa che hanno, come un badge.
  • qualcosa che li caratterizza, come un'identificazione biometrica tramite impronta digitale o scansione del viso.

Single Sign-On (SSO) consente agli utenti di autenticare la propria identità una sola volta e quindi di eseguire l'autenticazione in modo invisibile all'utente in un secondo momento quando si accede a varie risorse che si basano sulla stessa identità. Dopo l'autenticazione, il sistema IAM funge da origine della verità dell'identità per altre risorse disponibili per l'utente. Rimuove la necessità di accedere a più sistemi di destinazione separati.

Autorizzazione

L'autorizzazione verifica che all'utente, al computer o al componente software venga concesso l'accesso a determinate risorse. In lingua inglese, il termine autorizzazione viene talvolta abbreviato in AuthZ.

Autenticazione e autorizzazione

I termini autenticazione e autorizzazione vengono talvolta usati in modo intercambiabile perché spesso sembrano un'unica esperienza per gli utenti. Sono in realtà due processi separati:

  • L'autenticazione dimostra l'identità di un utente, di un computer o di un componente software.
  • L'autorizzazione concede o nega l'accesso a determinate risorse all'utente, al computer o al componente software.

Diagramma che mostra l'autenticazione e l'autorizzazione affiancate.

Ecco una rapida panoramica dell'autenticazione e dell'autorizzazione:

Autenticazione Autorizzazione
Può essere considerato un gatekeeper, che consente l'accesso solo alle entità che forniscono credenziali valide. Può essere considerato come una guardia, che assicura che solo le entità con le autorizzazioni adeguate possano accedere a determinate aree.
Verifica se un utente, un computer o un software è chi o cosa dichiara di essere. Determina se l'utente, il computer o il software è autorizzato ad accedere a una determinata risorsa.
Sfida l'utente, la macchina o il software a fornire credenziali verificabili (ad esempio, password, identificatori biometrici o certificati). Determina il livello di accesso di un utente, un computer o un software.
Operazione eseguita prima dell'autorizzazione. Operazione eseguita dopo una corretta autenticazione.
Le informazioni vengono trasferite in un token ID. Le informazioni vengono trasferite in un token di accesso.
Spesso utilizza i protocolli OpenID Connect (OIDC) (basati sul protocollo OAuth 2.0) o SAML. Spesso usa il protocollo OAuth 2.0.

Per informazioni più dettagliate, leggere Autenticazione rispetto ad autorizzazione.

Esempio

Si supponga di voler trascorrere la notte in un hotel. Si può pensare all'autenticazione e all'autorizzazione come al sistema di sicurezza di un hotel. Gli utenti sono le persone che vogliono soggiornare nell'hotel, le risorse sono le stanze o le aree che le persone vogliono usare. Il personale dell'hotel è un altro tipo di utente.

Se stai alloggiando in hotel, vai prima alla reception per avviare il "processo di autenticazione". Viene visualizzata una carta di identificazione e una carta di credito e l'addetto alla ricezione corrisponde all'ID rispetto alla prenotazione online. Dopo che l'addetto alla reception verifica chi sei, l'addetto alla reception concede l'autorizzazione per accedere alla stanza a cui sei assegnato. Viene consegnata una chiave magnetica e si può andare in camera.

Diagramma che mostra una persona che esibisce un documento di documento d'identità per ottenere una chiave magnetica dell'hotel.

Le porte delle camere e delle altre aree dell'hotel sono dotate di sensori per le chiavi magnetiche. Lo scorrimento rapido della keycard davanti a un sensore è il "processo di autorizzazione". La keycard ti permette solo di aprire le porte alle camere a cui sei autorizzato ad accedere, ad esempio la tua camera d'albergo e la sala esercizi dell'hotel. Strisciando la chiave magnetica per entrare in una qualsiasi altra camera dell'hotel, l'accesso sarà negato.

Le singole autorizzazioni, ad esempio l'accesso alla sala esercizi e una specifica sala ospiti, vengono raccolte in ruoli, che possono essere concesse ai singoli utenti. Quando si alloggia in hotel, si ottiene il ruolo di ospite dell'hotel. Al personale del servizio in camera sarà assegnato il ruolo di "Servizio in Camera". Questo ruolo consente l'accesso a tutte le camere degli ospiti dell'hotel (ma solo tra le 11:00 e le 16:00), alla lavanderia e agli armadietti di ogni piano.

Diagramma che mostra un utente che accede a una stanza con una chiave magnetica.

Provider di identità

Un provider di identità crea, gestisce e gestisce le informazioni sull'identità. Offre servizi di autenticazione, autorizzazione e controllo.

Diagramma che mostra un'icona di identità circondata da icone di cloud, workstation, mobile e database.

Con l'autenticazione moderna, tutti i servizi, inclusi i servizi di autenticazione, vengono forniti da un provider di identità centrale. Il provider di identità archivia e gestisce centralmente le informazioni usate per autenticare l'utente con il server.

Un provider di identità centrale consente alle organizzazioni di stabilire criteri di autenticazione e autorizzazione, monitorare il comportamento degli utenti, identificare le attività sospette e ridurre gli attacchi dannosi.

Microsoft Entra è un esempio di un provider di identità basato sul cloud. Altri esempi sono X, Google, Amazon, LinkedIn e GitHub.

Passaggi successivi

  • Last updated on