Wikipedia

Identity Provider Proxy

entità che gestisce le identità degli utenti e fornisce autenticazione alle applicazioni
Versione del 11 gen 2025 alle 10:47 di Maxpoto (discussione | contributi) (fix)

Un Identity Provider Proxy (abbreviato IdPP oppure IDPP) è un sistema che si frappone tra l'utente e un servizio applicativo web che necessita di avere un'autenticazione federata prima di essere erogato. L'Identity Provider Proxy verifica se l'utente che chiede il servizio si è già autenticato e nel caso non si sia ancora autenticato, viene ridiretto verso il serivizio dell'en:Identity Provider (abbreviato IdP oppure IDP) per eseguire l'autenticazione. Una volta che l'en:Identity Provider ha effettuato l'autenticazione viene ridiretto nuovamente sull'IdPP che verifica se quanto ricevuto è valido e se l'utente ha effettuato l'autenticazione con successo. Una volta verificato permette alla richiesta di oltrepassare l'IdPP per proseguire verso il servizio. l'IdPP aggiunge all'header http i dati idetinficativi dell'utente, ricevuti dall'IdP, in modo che il servizio applicativo web possa leggere il profilo dell'utente ed eseguire un login automatico (SSO) con le caratteristiche dell'utente. Il formato che descrive i dati di profilo dell'utente all'interno dell'header http può essere di vari formati ma ormai si preferisce utilizzare il formato JWT (JSON Web Token) diventato uno standard di fatto. All'applicazione web resta solamente da interpretare i dati in formato JWT ed eventualmente chiedere conferma dell'autenticità dei dati all'IdPP. Questa ultima operazione di verifica del JWT da parte del servizio web proveniente dall'IdPP è facoltativa in dipendenza della sicurezza di comunicazione che esiste tra l'applicazione web e l'IdPP.

Identity Provider Proxy (IdPP) flow schema

Di seguito l'architettura e la sequenza delle operazioni che intervengono per effettuare una autenticazione federata con un IdPP.

Vantaggi

I vantaggi di un IdPP si apprezzano nelle infrastrutture enterprise dove il sistema risolve i problemi di autenticazione e autorizzazione per molteplici servizi applicativi del backend. L'infrastruttura così realizzata permette di avere un nuovo layer di autenticazione e autorizzazione trasversale a tutti i servizi posti nel backend. Questa architettura si traduce in molteplici vantaggi sia di sicurezza sia di velocità di implementazione e quindi risparmio.

  1. Flessibilità nell'imporre una autenticazione forte per qualsiasi servizio
  2. Uniformità all'interno del datacenter di gestione delle autenticazioni
  3. Semplicità dell'evoluzione e aggiormaneto dei sistemi di autenticazione che essendo strutturali non necessitano di essere aggiornati sui singoli applicativi
  4. Rispondenza alle norme di legge nel trattamento dei dati personali
  5. Rispondenza alle norme di legge per le piattaforme governative (CIE - SPID)
  6. Unificazione del sistema di logging dei servizi che necessitano di autenticazione
  7. Semplificazione dell'infrastruttura

Architectura

L'architettura dell'erogazione di servizi di un IdPP sposta l'autenticazione dal livello di servizio al livello infrastrutturale che apparirà quindi con i seguenti layer.

  1. Firewall
  2. WAF
  3. LoadBalancing
  4. IdPP
  5. Services

I sistemi più evoluti riuniscono in un unico prodotto WAF, LoadBalancing e IdPP semplificando le operazioni nei datacenter.

Standards

  Portale Informatica: accedi alle voci di Wikipedia che trattano di informatica
Estratto da "https://it.wikipedia.org/w/index.php?title=Identity_Provider_Proxy&oldid=143033917"