Identity Provider Proxy: differenze tra le versioni

Naviga nella cronologia in modo interattivo

← Differenza precedente

Contenuto cancellato Contenuto aggiunto

VisualeWikitesto

Versione delle 14:50, 21 gen 2025 modifica KSavys (discussione \| contributi) 1 484 modifiche Nessun oggetto della modifica Etichetta: Modifica visuale ← Differenza precedente		Versione attuale delle 22:50, 22 gen 2025 modifica annulla KSavys (discussione \| contributi) 1 484 modifiche fix collegamento esterno Etichetta: Modifica visuale
(24 versioni intermedie di 8 utenti non mostrate)
Riga 1: [[File:20241129 OplonSecureAccess IDPProxy WIKI ITA meta.png\|thumb\|351x351px\|Schema del flusso di un Proxy dell'Identity Provider]]Un '''Identity Provider Proxy''' (abbreviato '''IdPP''' oppure '''IDPP''') è un sistema che si interpone tra l'utente e un [[Applicazione web\|servizio web applicativo]] che richiede un'autenticazione federata prima di essere erogato.<ref>{{Cita web\|lingua=it-IT\|url=https://www.entrust.com/it/resources/learn/what-is-an-identity-provider\|titolo=Che cos'è un provider di identità? ~~{{!}} Entrust~~\|sito=www.entrust.com\|accesso=2025-01-21}}</ref> L'Identity Provider Proxy verifica se l'utente che richiede il servizio si è già autenticato. In caso contrario, l'utente viene reindirizzato al servizio dell'Identity Provider per completare il processo di autenticazione.<ref>{{Cita pubblicazione\|autore=James L\|autore2=Fenton\|autore3=Michael E\|titolo=Linee guida per l'identità digitale: revisione 3\|url=https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf}}</ref>▼ ~~{{Richiesta revisione bozza\|ts=20250116162212\|richiedente=Mezval\|esito=\|revisore=}}~~ ~~{{Bozza\|arg=informatica\|arg2=\|ts=20250113160234\|wikidata=Q5988403}}<!-- IMPORTANTE: NON CANCELLARE QUESTA RIGA, SCRIVERE SOTTO -->~~ ▲[[File:20241129 OplonSecureAccess IDPProxy WIKI ITA meta.png\|thumb\|351x351px\|Schema del flusso di un Proxy dell'Identity Provider]]Un '''Identity Provider Proxy''' (abbreviato '''IdPP''' oppure '''IDPP''') è un sistema che si interpone tra l'utente e un [[Applicazione web\|servizio web applicativo]] che richiede un'autenticazione federata prima di essere erogato.<ref>{{Cita web\|lingua=it-IT\|url=https://www.entrust.com/it/resources/learn/what-is-an-identity-provider\|titolo=Che cos'è un provider di identità? {{!}} Entrust\|sito=www.entrust.com\|accesso=2025-01-21}}</ref> L'Identity Provider Proxy verifica se l'utente che richiede il servizio si è già autenticato. In caso contrario, l'utente viene reindirizzato al servizio dell'Identity Provider per completare il processo di autenticazione.<ref>{{Cita pubblicazione\|autore=James L\|autore2=Fenton\|autore3=Michael E\|titolo=Linee guida per l'identità digitale: revisione 3\|url=https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-63-3.pdf}}</ref> Una volta che l'Identity Provider ha eseguito l'autenticazione, l'utente viene reindirizzato nuovamente sull'IdPP, che verifica la validità dei dati ricevuti e conferma se l'autenticazione è avvenuta con successo. Dopo questa verifica, l'IdPP consente alla richiesta di raggiungere il servizio web per essere erogato.<ref>{{Cita web\|lingua=en-US\|url=https://www.imperva.com/learn/data-security/identity-providers-idps/~~#:~:text=Social-based%20identity%20providers%20maintain,a%20Google%20or%20Facebook%20account).~~\|titolo=What is an Identity Provider (IdP)? {{!}} Types & Examples ~~{{!}} Imperva\|sito=Learning Center~~\|accesso=2025-01-21}}</ref> Durante questo processo, l'IdPP aggiunge all'[[Hypertext Transfer Protocol#Gli header della richiesta\|header HTTP]] i dati identificativi dell'utente ricevuti dall'Identity Provider ed eventualmente li arricchisce con ulteriori informazioni. Questo consente al servizio web applicativo di leggere il [[profilo utente]] e di eseguire un [[Single Sign-On]], garantendo un accesso automatico con le caratteristiche o gli ambiti di gestione specifici dell'utente.<ref~~>{{Cita~~ ~~web\|lingua~~name=~~en\|url=https://www.pomerium.com/docs/capabilities/authentication\|titolo=Authentication~~Facchini ~~and Single Sign-On (SSO) {{!}} Pomerium\|sito=www.pomerium.com\|accesso=2025-01-21}}<~~/~~ref~~> Il formato utilizzato per descrivere i dati del profilo utente all'interno dell'header HTTP può variare in base alle esigenze specifiche, ma è ormai comune adottare il formato [[JSON Web Token\|JWT]].<ref>{{Cita web\|lingua=en-US\|url=https://frontegg.com/guides/jwt-authorization\|titolo=JWT Authorization: How It Works & Implementing in Your Application\|sito=Frontegg\|accesso=2025-01-21}}</ref> L'applicazione web, ricevuti i dati in formato JWT, deve interpretarli ed eventualmente confermarne l'autenticità tramite l'IdPP. Tuttavia, questa operazione di verifica è facoltativa e dipende dal livello di sicurezza nella comunicazione tra l'applicazione web, situata nella [[intranet]], e l'IdPP.<ref~~>{{Cita~~ ~~web\|lingua~~name=~~en\|url=https://www.pomerium.com/docs/capabilities/authentication\|titolo=Authentication~~Facchini ~~and Single Sign-On (SSO) {{!}} Pomerium\|sito=www.pomerium.com\|accesso=2025-01-21}}<~~/~~ref~~> ==Archittetura== [[File:20241129 OplonSecureAccess IDPProxy Layers WIKI ITA meta.png\|miniatura\|Architettura per servizi sicuri con IdPP tra cloud e intranet.]] L'architettura per l'erogazione di servizi si arricchisce con l'integrazione di uno strato Identity Provider Proxy a livello infrastrutturale. Questo livello aggiuntivo consente allo strato applicativo di acquisire il [[profilo utente]] attraverso informazioni inserite nell'header HTTP, permettendo la realizzazione di sistemi robusti di [[Single Sign-On]] infrastrutturale.<ref name=Facchini>{{Cita web\|lingua=en\|autore=Corrado Facchini\|url=https://medium.com/%40corrado.facchini/single-sign-on-sso-46ea458aec30\|titolo=Architecture for Single Sign-On (SSO) and Identity Provider}}</ref> Nei [[Centro elaborazione dati\|datacenter]], l'architettura tipica include componenti come [[firewall]], [[Firewall#WAF\|Web Application Firewall]]<ref>{{Cita web\|url=https://docs.mirantis.com/mcp/q4-18/mcp-security-best-practices/solutions/waf-and-load-balancers.html\|titolo=Mirantis Documentation: WAF and load balancer\|sito=docs.mirantis.com\|accesso=2025-01-21}}</ref>, IdPP, sistemi di [[load balancing]] e i servizi applicativi.<ref>{{Cita web\|url=https://docs.aws.amazon.com/it_it/elasticloadbalancing/latest/application/load-balancer-integrations.html\|titolo=Integrazioni per il tuo Application Load Balancer - Sistema di bilanciamento del carico elastico\|sito=docs.aws.amazon.com\|accesso=2025-01-21}}</ref> I sistemi più avanzati combinano le funzionalità di WAF, load balancing e IdPP in un unico prodotto, semplificando le operazioni e migliorando l'efficienza complessiva della gestione infrastrutturale. ==Vantaggi== I vantaggi di un Identity Provider Proxy si manifestano in modo significativo nelle infrastrutture enterprise, dove il sistema consente di risolvere in maniera centralizzata le problematiche legate all'[[autenticazione]] e all'autorizzazione per molteplici servizi applicativi presenti nel [[backend]]. Questa configurazione introduce un nuovo livello trasversale di autenticazione e autorizzazione che interessa tutti i servizi del backend, offrendo numerosi benefici sia in termini di sicurezza sia di velocità di implementazione, con conseguente riduzione dei costi.<ref>{{Cita web\|lingua=en~~\|autore=optimal~~\|url=https://optimalidm.com/resources/blog/5-reasons-why-you-need-an-identity-provider/\|titolo=5 Reasons Why You Need an Identity Provider\|sito=Optimal IdM\|data=2023-04-11\|accesso=2025-01-21}}</ref> Un'infrastruttura basata su un IdPP garantisce una maggiore flessibilità nell'imporre un'autenticazione forte per qualsiasi servizio, assicurando al contempo un'uniformità nella gestione delle autenticazioni all'interno del [[datacenter]]. Inoltre, l'evoluzione e l'aggiornamento dei sistemi di autenticazione risultano semplificati, in quanto tali modifiche strutturali non richiedono interventi sui singoli applicativi.<ref>{{Cita web\|url=https://help.sap.com/docs/SAP_IDENTITY_MANAGEMENT/7c61245338d0434c91cb587217404b71/d7b115cab48541908eec1ac1b78a5601.html\|titolo=Identity Provider Proxy\|sito=help.sap.com\|accesso=2025-01-21}}</ref> Line 34 ⟶ 33: == Collegamenti esterni == * [https://ieeexplore.ieee.org/document/5983520 IEEE sul Proxy dell'Identity Provider] * [https://www.semanticscholar.org/paper/IdP-proxy-for-combined-authentication-based-on-IdPs-Kaji-Fujishiro/3e55e1a34d2cf7fd8db67da61cbaffcf6fb133dd~~\|Semantic~~ Scholar: IdP Proxy per l'autenticazione combinata] {{Portale\|informatica\|Sicurezza informatica\|Telematica}} [[Categoria:Tecniche di difesa informatica]] [[Categoria:Identity_management]] [[Categoria:Controllo degli accessi (informatica)]]