Informatica e Ingegneria Online

Differenza tra tecnologie di autenticazione e autorizzazione

Scritto il

Differenza tra tecnologie di autenticazione e autorizzazione

Identità digitale

L’identità digitale non è un concetto nuovo, si tratta di un’estensione del concetto di identità all’interno della sfera dell’Information Technology (IT), il metodo per distinguere le entità che interagiscono nello scambio delle informazioni. Le entità possono essere di vario genere, rappresentare persone, enti, risorse o solo alcuni aspetti di queste cose.

L’identità digitale riveste un ruolo sempre più importante man mano che l’informatizzazione dei processi della vita di ogni giorno aumenta. La corretta distinzione di attori sempre più numerosi, in interazioni sempre più complesse, è fondamentale per garantire l’autorizzazione, affidabilità e sicurezza di queste comunicazioni.

Nell’uso comune l’identità digitale è diventata sempre più sinonimo di rappresentazione digitale di una persona, creando una correlazione tra l’identificativo elettronico e le informazioni proprie che identificano la persona nel sistema di identità nazionale di appartenenza.
Secondo la descrizione classica un’identità digitale è composta da una struttura a strati che parte da un identificatore univoco, a cui si aggiungono man mano livelli di contestualizzazione ulteriori, capaci di arricchire le informazioni che si riferiscono all’entità in oggetto, con la profondità necessaria per il contesto in cui si opera.

Per fare un esempio concreto l’identificatore univoco può essere rappresentato da un codice fiscale per un cittadino italiano, gli attributi di contesto di base sono costituiti da informazioni quali nome, cognome e residenza. Estremizzando il concetto si può infine considerare lo storico degli acquisti presso il proprio negozio online di fiducia come un attributo di identità valido in quello specifico contesto.

Perché le informazioni relative ad un’identità digitale siano di qualche valore per chi le riceve, è necessario che siano determinati meccanismi di affidabilità (trust) tra i partecipanti all’interazione. Di norma questo avviene stabilendo predeterminati livelli di fiducia tra l’entità che garantisce l’affidabilità dell’identità digitale e il sistema che offre il servizio.

Il sistema che garantisce l’identità normalmente lo fa associando all’identificativo dell’utente un meccanismo di autenticazione che permetta di stabilire con un certo livello di ragionevolezza il legittimo proprietario.

Il sistema di autenticazione è critico e serve a determinare il responsabile delle azioni effettuate con quell’identità, tuttavia è l’aspetto dell’autorizzazione che stabilisce le operazioni a cui l’utente ha accesso e che è cruciale per garantire una corretta gestione delle risorse.

Il processo di gestione che il fornitore di identità garantisce per i propri utenti comprende:

  1. creazione dell’identità;
  2. gestione degli attributi di contesto e delle autorizzazioni;
  3. distruzione dell’identità;

e prende il nome di Identity Management.

Differenza tra tecnologie di autenticazione e autorizzazione

Il ruolo di chi gestisce le identità per gli utenti è andato trasformandosi negli ultimi anni, sempre più pressante si è affacciata l’esigenza di consentire con la stessa identità l’accesso a servizi e risorse al di fuori del perimetro dell’organizzazione. Per rispondere a questa necessità sono nate le federazioni di identità, raggruppamenti interoperabili di entità in relazione di fiducia con lo scopo di permettere agli utenti di accedere più facilmente ai servizi.

A livello internazionale, nazionale (e anche regionale) le federazioni di identità raccolgono Identity Provider e Service Provider, perlopiù appartenenti al mondo degli Enti di Ricerca e delle Università, pionieri in queste soluzioni. In Europa e nel mondo EduGain è l’interfederazione che raccoglie decine di milioni di identità e migliaia di servizi, a sua volta è composta da federazioni nazionali come InCommon (USA), Jisc (UK), IDEM (Italia). Infine in Emilia-Romagna è presente un’iniziativa molto capillare che raccoglie gli enti e soggetti pubblici del territorio, Federa, la federazione gestita dall’operatore pubblico di telecomunicazioni Lepida Spa.

Le federazioni hanno creato una massa critica utile a rendere appetibile ai fornitori di servizi l’adeguamento tecnologico per potervisi inserire in modo competitivo. In UK in particolar modo una convinta politica nazionale ha fatto sì che tutti i servizi acquisiti dal sistema nazionale venissero integrati come Service Provider della federazione. Questo ha permesso anche a tutti i partecipanti di EduGain di beneficiarne, permettendo l’uso in chiave moderna di molti servizi in precedenza ancora basati su autenticazione basati sulla rete di provenienza (in particolare i fornitori di risorse bibliotecarie elettroniche).

L’Italia ha una forte tradizione, derivata dal periodo napoleonico, nella precisa gestione dei dati anagrafici dei cittadini. Questa tradizione si è evoluta di pari passo alle tecnologie digitali, declinandone i vari aspetti (es. privacy, responsabilità giuridica) all’interno del contesto normativo. Riferimenti normativi come il CAD (Codice Amministrazione Digitale) o il Codice di Protezione dei Dati Personali  sono fondamentali per inquadrare i corretti comportamenti nella gestione delle identità digitali.

Recentemente sta prendendo il via una nuova iniziativa, il Sistema Pubblico di Identità (SPID), si tratta di una soluzione tecnicamente ispirata alle federazioni di identità già esistenti ma si propone di attivare un sistema di certificazione dell’identità estremamente affidabile, facendo leva sul mercato e su grandi operatori del panorama nazionale (Telecom, Poste, Infocert). L’intenzione è quella di dotare il cittadino di un’identità digitale unica e certificata che gli possa permettere l’accesso a tutti i servizi della Pubblica Amministrazione senza doversi preoccupare di gestire una miriade di credenziali e processi di accreditamento.

Tecnologie di autenticazione

L’autenticazione è il meccanismo che permette di stabilire, agli occhi delle parti che partecipano ad un’interazione, l’identità digitale dei partecipanti. Applicato al processo di identificazione di un utente, può avvenire sostanzialmente valutando tre categorie di informazioni:

  1. qualcosa che si sa (Something You Know): come una password o una risposta ad una domanda segreta;
  2. qualcosa che si ha (Something You Have): come una smart card o un token fisico che genera codici;
  3. qualcosa che si è (Something You Are)3: come un’impronta digitale o una scansione retinica.

Si definisce invece Multi-Factor Authentication (o Two-Factor Authentication) un processo di autenticazione che per svolgersi correttamente richieda un meccanismo di autenticazione appartenente a più di una delle categorie elencate.

Spesso questo concetto è associato alla Strong Authentication, un tipo di autenticazione che assicura che l’identità digitale verificata appartiene ed è riconducibile a una persona fisica o azienda la cui corrispondenza è stata correttamente verificata. Si parla infine di Reliance Authentication quando l’affidabilità di un set di credenziali è determinato (di solito al momento della creazione) indirettamente a partire da un’identità digitale che si ritiene affidabile e/o certificata. È questo per esempio il caso delle credenziali create sulla base della corrispondenza con un conto bancario (come fa ad esempio Paypal) o con una SIM di operatore mobile, per cui in Italia è necessaria l’identificazione anagrafica per poterne entrare in possesso.

Tecnologie di autorizzazione

L’autorizzazione rappresenta la fase di determinazione dei privilegi di un’identità digitale nell’accedere ad una risorsa. Le tecnologie di autorizzazione sono parte integrante del processo autenticazione e a loro volta ne dipendono completamente.
Anche nel caso più semplice dove non c’è distinzione di privilegi tra gli utenti con accesso ad un servizio, l’autorizzazione distingue comunque i privilegi tra gli utenti con accesso e utenti senza accesso.

All’interno di organizzazioni complesse che richiedono un’attenzione non banale per le politiche di accesso alle risorse si usano meccanismi di autorizzazione di tipo Role Based Access Control (RBAC).
Questa modalità permette di definire i privilegi sulla base del ruolo a cui l’identità digitale appartiene, permettendo di seguire le evoluzioni dell’identità a seconda del mutamento del rapporto con l’organizzazione. La RBAC considera solamente informazioni relative all’identità per valutare i privilegi di accesso, non è invece in grado di stabilire politiche che mettano in relazione altre informazioni legate alla risorsa che si sta cercando di usare.

Per sopperire a questi aspetti è stato sviluppato un altro concetto di autorizzazione agli accessi, l’Attribute Based Access Control (ABAC). Questa modalità permette di arricchire la valutazione dell’accesso con attributi appartenenti alla risorsa, all’utente o all’ambiente in generale. Un esempio di autorizzazione ABAC può essere l’utente di una rete aziendale che può accedere a siti di svago (risorsa) solo durante la pausa lavorativa (attributo di contesto).

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *

Tema Seamless Keith, sviluppato da Altervista

Apri un sito e guadagna con Altervista - Disclaimer - Segnala abuso - Notifiche Push - Privacy Policy - Personalizza tracciamento pubblicitario