Un Identity provider (IdP) è una società di terze parti affidabile che crea e gestisce l’identità utente di una persona o organizzazione e gli attributi di identità associati. Con il consenso dell’utente, gli IDP offrono servizi di autenticazione a fornitori di servizi terzi (come siti Web, app o altri servizi digitali) federando l’identità e autenticando un utente finale al fornitore di servizi utilizzando l’identità gestita dall’IdP, ma senza condividere i dati di accesso effettivi.,
Gli IDP gestiscono identità di diversa forza di verifica e con attributi di identità diversi e possono includere società di social media, banche, operatori di rete mobile, governi ecc.
Ad esempio, probabilmente hai visto un’opzione “Iscriviti con Facebook” quando ti registri per un servizio, nel qual caso Facebook è il fornitore di identità, più precisamente il fornitore di identità sociale., Con il consenso dell’utente, Facebook afferma al fornitore di servizi che si dispone di un’identità sociale di Facebook e fornisce gli attributi approvati al servizio per una registrazione sociale, quindi non è necessario creare un’altra identità per il nuovo servizio.
Facebook è un Provider di Identità per Spotify
Come un fornitore di servizi, l’alternativa all’utilizzo di un provider di identità è quello di richiedere agli utenti di creare una nuova identità digitale per il vostro servizio, chiedendo loro di inserire i dati e creare un nuovo set di credenziali dell’account.,
Ora diamo un’occhiata al motivo per cui si dovrebbe utilizzare un provider di identità, perché si potrebbe utilizzare più di un provider di identità, e come collegare un provider di identità per il vostro servizio (reso molto più semplice tramite un’identità del cliente& Soluzione di gestione degli accessi).
I vantaggi dell’esperienza del cliente nell’utilizzo di un provider di identità federato
La possibilità per i clienti di utilizzare un’identità digitale esistente per accedere al servizio rende molto facile per i nuovi clienti semplicemente fare clic per registrarsi, riducendo il riempimento e l’abbandono dei moduli e l’affaticamento della password., Tieni presente che il 45% degli utenti rinuncia se il processo di registrazione è troppo difficile, quindi qualsiasi cosa tu possa fare per facilitare la registrazione vedrà un impatto significativo sul tasso di conversione dei tuoi clienti.
Puoi rendere questa esperienza utente più inclusiva integrando più provider di identità, offrendo agli utenti opzioni per l’iscrizione al tuo servizio. Usando l’esempio sopra, alcuni dei tuoi clienti potrebbero non avere Facebook, ma approfitterebbero di “Registrati con Google” e viceversa.,
Fonte: airbnb
Inoltre, i fornitori di identità possono facilitare la profilazione progressiva – arricchendo i dati dei clienti senza che i clienti debbano ripetere l’immissione dei dati tra i servizi collegati. Essi semplicemente spuntare per dare il permesso al provider di identità per fornire il servizio con le informazioni, risparmiando tempo e fatica inserendo di nuovo i dettagli.
Iscrizione a Kickstarter con Facebook – può scegliere di consentire l’accesso Kickstarter alla mia lista amici di Facebook.,
Ho dato il permesso per la mia lista di amici da condividere, quindi ora posso seguirli su Kickstarter senza cercare individualmente.
I vantaggi di sicurezza dell’utilizzo di un provider di identità
Quante applicazioni hai un account con – 50? 100? E se accedi a ciascuna di queste app con una password diversa, sei sicuro che tutte queste password siano forti e uniche? Anche se lo sei, è probabile che la maggior parte degli utenti del tuo servizio non lo sia.,
L’affaticamento della password porta al riutilizzo delle credenziali su più siti, il che presenta un rischio significativo per la sicurezza dei sistemi. Se gli hacker entrano in possesso di un set di credenziali, spesso tentano la stessa combinazione nome utente/password su più siti, portando ad un accesso non autorizzato al sistema. Vale la pena notare che l ‘ 80% delle violazioni dei dati sono causate da password rubate, deboli o predefinite.,
L’utilizzo di un provider di identità riduce l’onere e il rischio di cercare di mitigare questi rischi internamente, senza la necessità di archiviare e proteggere le credenziali da soli per gli utenti che scelgono di “Registrarsi con X”.
Strong authentication
I provider di identità possono offrirti un’autenticazione forte per il tuo servizio, ovvero l’uso di credenziali particolarmente sicure. Prendi BankID per esempio., Una banca esegue già rigorosi processi Know Your Customer (KYC) prima di emettere i clienti con le credenziali di accesso, quindi se i clienti possono iscriversi al tuo servizio con il loro BankID puoi essere sicuro che sono chi dicono di essere.
Autenticazione a più fattori (MFA)
L’MFA richiede ai clienti di presentare più di un pezzo di informazioni identificative o fattore di forma. È molto più difficile per gli hacker ottenere l’accesso a un servizio se dovessero replicare due fattori su un singolo fattore per farlo., Ad esempio, puoi accedere a un servizio utilizzando le tue credenziali di Facebook, ma poi devi autenticarti ulteriormente con un’app di autenticazione del telefono cellulare o la tua impronta digitale.
In questo modo, combinazioni di provider di identità possono contribuire a rendere il servizio estremamente sicuro e mitigare le violazioni dei dati. I clienti ora si aspettano di vedere MFA in tutti i tipi di servizi, e fornitori di identità farà in modo che sia il più attrito possibile.,
LinkedIn MFA
Step-up di autenticazione & SSO Provider di Identità
O2 richiede un ulteriore fattore di autenticazione per modificare il pagamento o l’indirizzo
Se si dispone di più applicazioni, Single Sign-On (SSO) è un comune di prassi migliore soluzione per consentire ai clienti di muoversi senza soluzione di continuità tra le domande che utilizzano il loro SSO provider di identità senza entrare separare le credenziali di login ogni volta., Ma cosa succede se si dispone di un’applicazione che richiede una maggiore garanzia di un’identità che gli altri?
Questo esempio mostra come sfruttare i provider di identità per l’autenticazione step-up. Un cliente accede al tuo servizio utilizzando Facebook e questo è abbastanza sicuro per un sottoinsieme delle tue app. Poi, quando si SSO a un’app che ha bisogno di quel livello più alto di garanzia – forse un’area che memorizza i dati personali – chiedi loro di autenticarsi ulteriormente con il loro BankID.,
Questo MFA situazionale con fornitori di identità rappresenta il gold standard nel bilanciamento della sicurezza e dell’esperienza del cliente.
Come integrare un fornitore di identità
Customer Identity and Access Management (CIAM) ti consentirà di connettere i fornitori di identità al tuo servizio e ancorare gli utenti alle loro identità digitali esistenti. Ubisecure CIAM supporta protocolli di autenticazione come OpenID Connect, OAuth 2.0 e SAML, che sono già accettati dalla maggior parte dei server di applicazioni (come Sharepoint, Wildfly, Tomcat ecc.,), rendendo più facile per l’applicazione di accettare le informazioni di identità sulla base di questi protocolli da terze parti.
- OpenID provider– OpenID Connect (OIDC) è un livello di identità in cima a OAuth. Per le implementazioni OIDC, un provider di identità è un tipo di server di autorizzazione OAuth 2.0.
- SAML Identity provider– Security Assertion Markup Language (SAML) è uno standard aperto che consente ai provider di identità di passare in modo sicuro le credenziali di autorizzazione ai provider di servizi approvati.,
Ubisecure supporta una vasta gamma di fornitori di identità, che vanno dai social agli ID bancari completamente verificati.
- Identità sociali – i fornitori di servizi utilizzano le identità sociali esistenti per creare account a basso attrito durante la registrazione. Gli account possono essere arricchiti con attributi aggiuntivi durante l’utilizzo da parte del cliente.
- Identità aziendali: le organizzazioni gestiscono account utente dei dipendenti e possono scegliere di federare le identità per la registrazione e l’autenticazione a fornitori o fornitori di servizi.
- Identità verificate (inc., eID) – molto più importante in Europa, le identità verificate rappresentano l’identità forte (reale) del cliente o del cittadino. Le organizzazioni coinvolte nella verifica delle identità come banche, fornitori di telefonia mobile e enti governativi federano le identità per aiutare i fornitori di servizi (e i consumatori) a evitare frodi e furti di identità. I consumatori e i cittadini affermano la loro identità verificata come mezzo di registrazione, autenticazione e autorizzazione a determinati servizi.,
Vedi qui l’elenco dei provider di identità abilitati da Ubisecure, dall’accesso social alle identità verificate e agli EID regionali, e l’aggiunta rapida di qualsiasi credenziale di identità basata su standard tramite il microservizio dell’adattatore di autenticazione.
Se implementato correttamente, i provider di identità di terze parti diventano parte integrante di un efficace sistema di gestione delle identità.,
I prossimi passi – testare varie integrazioni provider di identità
Identity-as-a-Service (IDaaS, aka SaaS-consegnato I) è un modo molto semplice e veloce di distribuire le funzionalità CIAM, tra cui OIDC e SAML fornitori di identità, nel vostro servizio con la semplice configurazione. Scopri di più su IDaaS o inizia la tua prova gratuita di IDaaS di 30 giorni.