dostawca tożsamości (IdP) jest zaufaną firmą zewnętrzną, która tworzy i zarządza tożsamością użytkownika osoby lub organizacji oraz powiązanymi atrybutami tożsamości. Za zgodą Użytkownika IDP oferują usługi uwierzytelniania zewnętrznym dostawcom usług (takim jak strony internetowe, aplikacje lub inne usługi cyfrowe) poprzez Federację tożsamości i uwierzytelnianie użytkownika końcowego dostawcy usług przy użyciu tożsamości, którą zarządza IdP, ale bez udostępniania rzeczywistych danych logowania.,
IDP zarządzają tożsamościami o różnej sile weryfikacji i różnych atrybutach tożsamości, i mogą to być firmy z mediów społecznościowych, banki, operatorzy sieci komórkowych, rządy itp.facebook facebook jest dostawcą tożsamości, a dokładniej dostawcą tożsamości społecznościowej.
na przykład prawdopodobnie widziałeś opcję „Zarejestruj się za pomocą Facebooka” podczas rejestracji w usłudze, w którym to przypadku Facebook jest dostawcą tożsamości, a dokładniej dostawcą tożsamości społecznościowej., Facebook Facebook za zgodą użytkownika oświadcza usługodawcy, że masz tożsamość społecznościową na Facebooku i udostępnia atrybuty, które zatwierdzisz w usłudze w celu rejestracji społecznościowej, więc nie musisz tworzyć innej tożsamości dla nowej usługi.
Facebook jest dostawcą tożsamości dla Spotify
jako dostawca usług alternatywą dla korzystania z dostawcy tożsamości jest wymóg, aby użytkownicy utworzyli nową tożsamość cyfrową dla usługi, prosząc ich o wprowadzenie swoich danych i utworzenie nowego zestawu poświadczeń konta.,
przyjrzyjmy się teraz, dlaczego korzystasz z dostawcy tożsamości, dlaczego możesz używać więcej niż jednego dostawcy tożsamości i jak podłączyć dostawcę tożsamości do swojej usługi (znacznie prostsze dzięki rozwiązaniu do zarządzania dostępem do tożsamości klienta &).
the customer experience korzyści płynące z korzystania z federacyjnego dostawcy tożsamości
budowanie zdolności klientów do korzystania z istniejącej tożsamości cyfrowej w celu zalogowania się do usługi sprawia, że nowi klienci bardzo łatwo klikają, aby się zarejestrować, co zmniejsza wypełnianie formularzy i porzucanie ich oraz zmęczenie hasłem., Pamiętaj, że 45% użytkowników poddaje się, jeśli proces rejestracji jest zbyt trudny, więc wszystko, co możesz zrobić, aby ułatwić rejestrację, będzie miało znaczący wpływ na Współczynnik konwersji klienta.
możesz sprawić, że korzystanie z tej usługi będzie bardziej wszechstronne, integrując wielu dostawców tożsamości, dając użytkownikom opcje rejestracji w Twojej usłudze. Korzystając z powyższego przykładu, niektórzy z Twoich klientów mogą nie mieć Facebook, ale skorzystają z opcji „Zarejestruj się w Google” i odwrotnie.,
źródło: airbnb
ponadto dostawcy tożsamości mogą ułatwiać stopniowe profilowanie – wzbogacanie danych klientów bez konieczności powtarzania wprowadzania danych między powiązanymi usługami. Po prostu zaznaczają, aby zezwolić dostawcy tożsamości na dostarczenie informacji o Twojej usłudze, oszczędzając im czas i wysiłek, ponownie wprowadzając szczegóły.Facebook Facebook – możliwość wyboru opcji zezwalania na dostęp do listy znajomych na Facebooku przez Kickstartera, który jest dostępny dla wszystkich użytkowników serwisu.
Zapisywanie się na Kickstarterze za pomocą Facebooka.,
dałem pozwolenie na udostępnienie mojej listy znajomych, więc mogę teraz śledzić ich na Kickstarterze bez indywidualnego wyszukiwania.
zalety bezpieczeństwa korzystania z dostawcy tożsamości
w ilu aplikacjach masz konto – 50? 100? A jeśli zalogujesz się do każdej z tych aplikacji za pomocą innego hasła, czy jesteś pewien, że wszystkie te hasła są silne i unikalne? Nawet jeśli jesteś, jest prawdopodobne, że większość użytkowników twojej usługi nie jest.,
zmęczenie hasłem prowadzi do ponownego wykorzystania poświadczeń w wielu witrynach, co stanowi znaczące zagrożenie dla bezpieczeństwa systemów. Jeśli hakerzy zdobędą zestaw poświadczeń, często próbują tej samej kombinacji nazwy użytkownika i hasła w wielu witrynach, co prowadzi do nieautoryzowanego dostępu do systemu. Warto tutaj zauważyć, że 80% naruszeń danych jest spowodowanych przez skradzione, słabe lub domyślne hasła.,
Korzystanie z dostawcy tożsamości zmniejsza obciążenie i ryzyko związane z próbami ograniczenia tych zagrożeń w domu, bez potrzeby przechowywania i ochrony poświadczeń dla użytkowników, którzy zdecydują się „zarejestrować za pomocą X”.
silne uwierzytelnianie
dostawcy tożsamości mogą zaoferować silne uwierzytelnianie dla Twojej usługi, co oznacza użycie poświadczeń, które są szczególnie bezpieczne. Weźmy na przykład BankID., Przed wydaniem klientom poświadczeń logowania bank już przeprowadza rygorystyczne procedury KYC (Know Your Customer), więc jeśli klienci mogą zarejestrować się w Serwisie za pomocą identyfikatora BankID, możesz mieć pewność, że są tym, za kogo się podają.
uwierzytelnianie wieloskładnikowe (MFA)
MFA wymaga od klientów przedstawienia więcej niż jednej informacji identyfikującej lub formatu. O wiele trudniej hakerom uzyskać dostęp do usługi, jeśli w tym celu musieliby powielać dwa czynniki nad jednym czynnikiem., Na przykład możesz zalogować się do usługi za pomocą poświadczeń Facebook, ale następnie musisz dalej uwierzytelniać za pomocą aplikacji uwierzytelniania telefonu komórkowego lub odcisku palca.
w ten sposób połączenia dostawców tożsamości mogą pomóc w zapewnieniu wyjątkowego bezpieczeństwa usługi i przeciwdziałaniu naruszeniom danych. Klienci oczekują teraz, że MFA będzie dostępna we wszystkich rodzajach usług, a dostawcy tożsamości zapewnią, że będzie ona jak najbardziej bezproblemowa.,
LinkedIn MFA
uwierzytelnianie stopniowe & dostawcy tożsamości SSO
O2 wymaga dodatkowego czynnika uwierzytelniania w celu zmiany płatności lub danych adresowych
Jeśli masz kilka aplikacji, jednokrotne logowanie (SSO) jest powszechnym rozwiązaniem umożliwiającym klientom płynne przemieszczanie się między tymi aplikacjami przy użyciu dostawcy tożsamości SSO bez każdorazowego wprowadzania oddzielnych danych logowania., Ale co się stanie, jeśli masz jedną aplikację, która wymaga silniejszego zapewnienia tożsamości niż inne?
Ten przykład pokazuje, jak wykorzystać dostawców tożsamości do uwierzytelniania stopniowego. Klient loguje się do usługi za pomocą Facebook i to jest wystarczająco bezpieczne dla podzbioru aplikacji. Następnie, gdy SSO do aplikacji, która wymaga wyższego poziomu pewności – być może obszar, który przechowuje dane osobowe – poprosić ich o dalsze uwierzytelnianie za pomocą ich BankID.,
to sytuacyjne MFA z dostawcami tożsamości stanowi złoty standard w równoważeniu bezpieczeństwa i doświadczenia klienta.
jak zintegrować dostawcę tożsamości
Customer Identity and Access Management (CIAM) pozwoli Ci połączyć dostawców tożsamości z Twoją usługą i zakotwiczyć użytkowników w ich istniejących tożsamościach cyfrowych. Ubisecure CIAM obsługuje protokoły uwierzytelniania, takie jak OpenID Connect, OAuth 2.0 i SAML, które są już akceptowane przez większość serwerów aplikacji (takich jak Sharepoint, Wildfly, Tomcat itp.,), ułatwiając aplikacji akceptację informacji o tożsamości na podstawie tych protokołów od stron trzecich.OpenID-OpenID Connect (Oidc) jest warstwą tożsamościową znajdującą się na szczycie OAuth. W przypadku implementacji oidc dostawca tożsamości jest typem serwera autoryzacji OAuth 2.0.
Ubisecure obsługuje szeroką gamę dostawców tożsamości, od społecznościowych po w pełni zweryfikowane identyfikatory bankowe.
- tożsamości społeczne – dostawcy usług wykorzystują istniejące tożsamości społeczne do tworzenia kont o niskim współczynniku tarcia podczas rejestracji. Konta mogą zostać wzbogacone o dodatkowe atrybuty podczas korzystania przez Klienta.
- tożsamości przedsiębiorstw-organizacje utrzymują konta użytkowników pracowników i mogą zdecydować się na Federację tożsamości w celu rejestracji i uwierzytelniania sprzedawcom lub dostawcom usług.
- , eID – – znacznie bardziej widoczne w Europie tożsamości zweryfikowane reprezentują silną (rzeczywistą) tożsamość klienta lub obywatela. Organizacje zaangażowane w weryfikację tożsamości, takie jak banki, operatorzy telefonii komórkowej i organy rządowe, łączą te tożsamości, aby pomóc dostawcom usług (i konsumentom) uniknąć oszustw i kradzieży tożsamości. Konsumenci i obywatele potwierdzają swoją zweryfikowaną tożsamość jako środek rejestracji, uwierzytelniania i autoryzacji niektórych usług.,
Zobacz listę dostawców tożsamości, które umożliwia Ubisecure – od logowania społecznościowego po zweryfikowane tożsamości i regionalne identyfikatory Eid, a także szybkie dodawanie wszelkich poświadczeń tożsamości opartych na standardach za pomocą mikroserwisu adaptera uwierzytelniania.
Po prawidłowym wdrożeniu zewnętrzni dostawcy tożsamości stają się integralnym elementem skutecznego systemu zarządzania tożsamością.,
kolejne kroki – przetestuj różne integracje dostawców tożsamości
Identity-as-a-Service (IDaaS, aka Saas-delivered IAM) to bardzo szybki i łatwy sposób wdrożenia funkcji CIAM, w tym dostawców tożsamości OIDC i SAML, w usłudze z prostą konfiguracją. Dowiedz się więcej o IDaaS lub rozpocznij 30-dniowy bezpłatny okres próbny IDaaS.