Hem Knowledge base Användningsfall för federation och IdP
Konwledge Base

Use cases for federation and IdP

Knowledge Base

Hur kan man använda Identity Providers

I vilket fall som helst kommer stark autentisering genom att använda SecMakers produkter att ge användaren möjligheten att "inte pratar med främlingar". Huvudsyftet med en Identity Prover (IdP) är att utföra autentiseringar som en tjänst för federerade applikationer såsom Relying Party (RP) -applikationer och webbapplikationer som behöver användare identifieras.

En Relying Party litar på autentiseringsbiljetten från Identity Provider och kan till exempel vara ett webbaserat orderhanteringssystem eller ett tidsrapporteringsverktyg. När applikationerna är i federation med identitetsleverantören litar de på förtroende med varandra.

Användningsfall

Användande av Identity Providers i företag och privat

Det finns huvudsakligen två typer av Identity Providers; De som används i företag och organisationer och de som bättre lämpar sig för användning privat och i sociala nätverk. Typen som används i företag är huvudsakligen de som också används ihop med andra systemkomponenter i IAM-system (Identity and Access Management) men dessa är också väl lämpade för personligt bruk när det handlar om näthandel och webbinnehåll som kräver abonnemang.

Eftersom SAML är ett språk som tillhandahåller en hög nivå av säkerhet och kontroll är detta språk bättre lämpat för organisationer då det innebär att deras inloggningar med SSO blir säkrare.

Exempel på en väldigt vanlig och välkänd Identity Provider som används i företagssammanhang är Microsoft ADFS. Här hittar vi också Shibboleth Identity Provider som är en Java-applikation som bygger på öppen källkod men som är byggd enligt specifikationerna för SAML.

De populära sociala medierna och applikationerna erbjuder ofta tjänster likt en Identity Provider. Bland dessa återfinns Instagram, Google, Amazon och Facebook.

 

Identity Providers som en del av organisationens system för åtkomstkontroll

Inom ett företag eller en organisation finns det ett antal olika komponenter som är inblandade i identitet- och åtkomstkontroll. En användare loggar in, helst med hjälp av en flerfaktorautentisering som t. ex SecMakers produkter med PKI. Dessa produkter använder ett unikt certifikat utgivet av Certificate Authority (CA) som är den högst betrodda komponenten i en PKI-miljö. Huvudkomponenten i en infrastruktur för identitetshantering är under alla omständigheter en Identity Provider. Vid dess sida finns Single Sign On (SSO).

Identity Providern är hjärnan av de resurser som finns i ett system för identitetshantering och den gör ytterligare intelligenta saker efter att ha hjälpt Relying Party (RP, förlitande part) med autentiseringen. Den frågar också efter ytterligare kontroller av användaren gentemot andra system som innehåller användaruppgifter, attribut eller åtkomstbehörigheter till betrodda system eller resurser.

Om en användare slutar på företaget, eller av någon annan anledning inte behöver kontot längre måste det tas bort. En deaktivering av användaren i företagets Identity Provider är tillräcklig för att åstadkomma detta. Det skulle förhindra användarens fjärråtkomst till alla applikationer som användaren en gång hade.

Identity Provider i molnet

Historiskt har Identity Providern implementerats på plats och Microsoft ADFS har varit det utförande som har varit viktigast och vanligast.

I en molnbaserad infrastruktur, där många internetapplikationer är implementerade, finns också behov av autentisering som är annorlunda om man jämför med en implementation i en företags- eller organisationsstruktur. Att flytta en Identity Provider till molnet innebär att den istället kommer att utgöra en del av Software as a Service (SaaS). För att kunna förse en mängd användare med möjligheten att ansluta till en Identity Provider i molnet måste denna stödja en mängd olika protokoll ibland vilka SAML är uppenbar.

Det klassiska scenariet då en användare ansluter till en tjänst, i detta fall i molnet, är följande:

  1. En användare försöker att ansluta till tjänsteleverantören som återfinns i molnet, den förlitande parten (RP:n).
  2. Molnet skickar åtkomstbegäran vidare till en Identity Provider, som också finns i molnet, för autentisering.
  3. Användaren matar in sina personliga autentiseringsuppgifter.
  4. Autentiseringsuppgifterna kontrolleras av Identity Providern och en autentiseringsbiljett genereras med hjälp av SAML.
  5. SAML-autentiseringsbiljetten skickas till tjänsteleverantören i molnet som i sin tur kontrollerar dess giltighet.
  6. Om autentiseringsbiljetten är giltig, tillåts användaren åtkomst till tjänsten

Speciellt en molntjänst behöver veta exakt hur och var den kan erhålla och få en användares identitet kontrollerad. Det måste kunna spåras någonstans eftersom molntjänsten bestämmer om användaren kan få åtkomst till den möjligen känsliga och begränsade mängd data den vill komma åt. En Identity Provider i molnet är konstruerad att vidta extra kraftfulla åtgärder för att skydda och säkerställa att användarens uppgifter inte blir stulna av angripare.

Identity Providers är omistliga i en infrastruktur i molnet. För Single Sign On ändamål kontrollerar tjänsteleverantörerna för SSO användaridentiterna med Identity Providern när användarna ska logga in. När kontrollen är gjord kan SSO verifiera användaridentiteterna med andra applikationer som är anslutna till molnet.

För Identity Providers i molnet är det av avgörande betydelse att den är separerad ifrån SSO. Om SSO och Identity Providern är implementerad i en och samma enhet är den mycket mer sårbar för vad som kallas "man in the middle"-attacker där en hackare förfalskar en bekräftelse ifrån SAML som sedan medför att en hackare får tillgång till en applikation.

 

Internet of Things och Identity Providers

I ett ekosystem för Internet of Things (IoT) utgörs den generella arkitekturen för identitetshantering av en Identity Provider, en förlitande part (RP) och användaren.

En Identity Provider är självklart inte begränsad till att kontrollera bara fysiska personer. När något ansluts till ett nätverk eller ett system, det kan vara en dator, en server eller någon annan enhet, kan den bli autentiserad av en Identity Provider precis som vilken annan enhet som helst. Istället att vara känd emot Identity Providern som en "användare" kan ditt på Internet uppkopplade kylskåp eller din TV vara registrerad som en "princip".

Det finns också IoT-uppsättningar där autentisering och leverans av identitet utförs av den klassiska och vanliga Identity Providern som är ämnad för sociala nätverk och medier som Facebook, Amazon och Google. Det är ett bekvämt sätt att sätta upp och administrera federation av identitet för IoT-enheter att använda dessa tjänster när multifaktorautentisering inte nödvändigtvis krävs.

Do you want to know more?

Don't hesitate to contact us so we can answer your questions.