A
Accesso offline
L'accesso offline consente ai client di ottenere nuovi access token senza richiedere all'utente di autenticarsi nuovamente. È utile per sessioni di lunga durata e una migliore esperienza utente.
Scopri di più
Audience (Audience)
Il claim di audience in un token specifica il destinatario previsto, tipicamente l'applicazione client o la risorsa API. Garantisce che il token sia utilizzato solo dal servizio corretto, migliorando la sicurezza prevenendo accessi non autorizzati.
Scopri di più
Autenticazione (Authentication)
L'autenticazione (Authentication) è il processo di verifica della proprietà dell'identità (ad esempio, utente o servizio). È la base dei sistemi di gestione delle identità e degli accessi (IAM) ed è essenziale per proteggere applicazioni e servizi.
Scopri di più
Autenticazione multi-fattore (MFA)
L'autenticazione multi-fattore (MFA) è un meccanismo di sicurezza che richiede agli utenti di fornire almeno due forme di identificazione per completare il processo di autenticazione. Aggiunge un ulteriore livello di sicurezza che riduce significativamente il rischio di accessi non autorizzati.
Scopri di più
Auth (disambiguazione)
Il termine "auth" è spesso usato come abbreviazione per authentication (autenticazione) o authorization (autorizzazione). Questi concetti sono correlati ma fondamentalmente diversi.
Scopri di più
Autorizzazione
L'autorizzazione è il processo di determinare quali azioni un'identità può eseguire su una risorsa. È un meccanismo di sicurezza fondamentale per definire e applicare le politiche di accesso.
Scopri di più
C
Chiave API
Una chiave API è un identificatore unico utilizzato per autenticare e autorizzare un client quando accede a un'API. Serve come un token segreto incluso nelle richieste API per verificare l'identità del client e consentire l'accesso a risorse o servizi specifici. Le chiavi API sono tipicamente utilizzate nelle comunicazioni server-to-server o quando si accede a dati pubblici.
Scopri di più
Chiave di firma
Una chiave di firma è una chiave crittografica utilizzata per firmare e verificare JSON Web Tokens in OpenID Connect (OIDC). Viene utilizzata per garantire l'integrità e l'autenticità dei token emessi dal provider OpenID.
Scopri di più
Chiave Web JSON (JWK)
Una Chiave Web JSON (JWK) è un formato basato su JSON utilizzato per rappresentare chiavi crittografiche. Quando più JWK devono essere raggruppati insieme, vengono organizzati in un Set di Chiavi Web JSON (JWKS).
Scopri di più
Claim
Un claim in JSON Web Token (JWT) è una coppia nome-valore che trasmette informazioni specifiche. In un contesto più ampio, un claim può essere qualsiasi coppia nome-valore che rappresenta informazioni.
Scopri di più
Client
In OAuth 2.0 e OpenID Connect (OIDC), un client è un'applicazione che richiede autenticazione (authentication) o autorizzazione (authorization) per conto di un utente o di se stessa. I client possono essere pubblici o riservati (privati) e utilizzano diversi tipi di concessione per ottenere i token.
Scopri di più
Comunicazione machine-to-machine
La comunicazione machine-to-machine (M2M) si riferisce allo scambio automatizzato di dati tra dispositivi senza intervento umano. Nel contesto di autenticazione (authentication) e autorizzazione (authorization), la comunicazione M2M spesso coinvolge un'applicazione client che necessita di accedere a risorse, dove l'applicazione client è una macchina (servizio) o una macchina che agisce per conto di un utente.
Scopri di più
Concessione OAuth 2.0 (OAuth 2.0 grant)
Una concessione di autorizzazione OAuth 2.0 (a volte indicata come "tipo di concessione OAuth 2.0" o "flusso OAuth 2.0"), è un metodo utilizzato dai client per ottenere un access token da un authorization server. È una parte essenziale per i client OAuth per autenticare e autorizzare le identità.
Scopri di più
Controllo degli accessi
Il controllo degli accessi è la restrizione di chi può eseguire quali azioni su determinate risorse in un sistema. È un meccanismo di sicurezza fondamentale per definire e applicare le politiche di accesso.
Scopri di più
Controllo degli accessi basato sugli attributi (ABAC)
Il controllo degli accessi basato sugli attributi (ABAC) è un modello di controllo degli accessi che utilizza attributi (come ruoli utente, proprietà delle risorse e condizioni ambientali) per prendere decisioni di controllo degli accessi. È un modo flessibile e dinamico per gestire l'accesso alle risorse protette.
Scopri di più
Controllo degli accessi basato sui ruoli (RBAC)
Il controllo degli accessi basato sui ruoli (RBAC) è un modello di controllo degli accessi che assegna permessi ai ruoli piuttosto che direttamente agli utenti, fornendo un modo flessibile ed efficiente per gestire i diritti di accesso nei sistemi.
Scopri di più
Crittografia Web JSON (JSON Web Encryption, JWE)
La Crittografia Web JSON (JSON Web Encryption, JWE) è un modo standard per crittografare e decrittografare i dati in formato JSON. È spesso utilizzata per proteggere informazioni sensibili nei JSON Web Token (JWT) in transito.
Scopri di più
Cross-site request forgery (CSRF)
Il cross-site request forgery (CSRF) è un attacco che inganna gli utenti facendoli eseguire azioni indesiderate su un'applicazione web in cui sono autenticati. È una vulnerabilità di sicurezza comune che può portare ad azioni non autorizzate.
Scopri di più
E
Endpoint userinfo
L'endpoint userinfo è un endpoint di OpenID Connect (OIDC) che fornisce informazioni utente ai client. È un endpoint supplementare al token ID e consente ai client di recuperare ulteriori informazioni utente.
Scopri di più
Enterprise SSO
Il single sign-on (SSO) aziendale è un tipo specifico di SSO progettato per i dipendenti all'interno di un'organizzazione.
Scopri di più
eXtensible Access Control Markup Language (XACML)
eXtensible Access Control Markup Language (XACML) è un linguaggio basato su XML per esprimere politiche di controllo degli accessi. È utilizzato principalmente per implementare politiche di controllo degli accessi basate su attributi (ABAC).
Scopri di più
F
Firma Web JSON (JWS)
La Firma Web JSON (JWS) è un modo standard per firmare e verificare i dati in formato JSON. È spesso utilizzata per garantire l'integrità e l'autenticità dei JSON Web Token (JWT) in OpenID Connect (OIDC).
Scopri di più
Flusso del codice di autorizzazione (Authorization code flow)
Il flusso del codice di autorizzazione (authorization code flow) è un meccanismo sicuro di OAuth 2.0 che consente alle applicazioni di ottenere access token per conto degli utenti. Coinvolge l'autenticazione dell'utente, la generazione del codice di autorizzazione e lo scambio di token.
Scopri di più
Flusso del dispositivo
Il flusso di autorizzazione del dispositivo OAuth 2.0 è un metodo di accesso user-friendly per dispositivi con input limitato o applicazioni senza interfaccia. Verificando un codice dispositivo unico, consente agli utenti di autorizzare il dispositivo tramite un dispositivo secondario con un'interfaccia utente completa.
Scopri di più
Flusso delle credenziali del client (Client credentials flow)
Il flusso delle credenziali del client (client credentials flow) è un tipo di concessione OAuth 2.0 che consente ai client riservati di ottenere access token per accedere a risorse protette. È adatto per la comunicazione machine-to-machine (server-to-server).
Scopri di più
Flusso ibrido (Hybrid flow)
Il flusso ibrido (Hybrid flow) è un flusso di OpenID Connect (OIDC) che combina il flusso del codice di autorizzazione (authorization code flow) e il flusso implicito (implicit flow). È progettato per fornire un equilibrio tra sicurezza e usabilità per l'autenticazione.
Scopri di più
Flusso implicito (Implicit flow)
Il flusso implicito (implicit flow) di OIDC è un metodo di autenticazione per le SPA, che consente loro di ricevere rapidamente i token direttamente dal authorization server. Sebbene semplifichi il processo eliminando la necessità di un server backend, comporta una minore sicurezza a causa dell'esposizione dei token nell'URL.
Scopri di più
Fornitore di identità (Identity provider, IdP)
Il fornitore di identità (Identity provider, IdP) è un servizio che gestisce le identità. I fornitori di identità moderni supportano OpenID Connect (OIDC) per l'autenticazione e OAuth 2.0 per l'autorizzazione.
Scopri di più
Fornitore di servizi (SP)
Il fornitore di servizi (SP) è un'applicazione o servizio che si affida a un identity provider (IdP) per l'autenticazione e l'autorizzazione.
Scopri di più
G
Generatore di numeri pseudocasuali crittograficamente sicuro
Un generatore di numeri pseudocasuali crittograficamente sicuro (CSPRNG) è un generatore di numeri pseudocasuali che genera numeri casuali adatti all'uso in applicazioni crittografiche dove la sicurezza dei dati è importante.
Scopri di più
Gestione delle identità e degli accessi (IAM)
La gestione delle identità e degli accessi (IAM) è un concetto ampio che comprende i processi, le tecnologie e le politiche utilizzate per gestire le identità digitali e controllare l'accesso alle risorse. È un aspetto fondamentale della sicurezza nelle applicazioni e nei sistemi moderni.
Scopri di più
I
Indicatore di risorsa
L'indicatore di risorsa in OAuth 2.0 è un parametro di estensione definito in RFC 8707 che consente ai client di specificare la posizione del server di risorse nella richiesta di autorizzazione. Fornisce un modo scalabile per gestire più server di risorse in un singolo server di autorizzazione.
Scopri di più
Introspezione del token (Token introspection)
L'introspezione del token è un'estensione di OAuth 2.0 che consente ai client di interrogare il server di autorizzazione per convalidare i token di accesso e recuperare i metadati su di essi.
Scopri di più
J
JSON Web Token (JWT)
JSON Web Token (JWT) è uno standard aperto definito in RFC 7519 che consente una comunicazione sicura tra due parti. È compatto, sicuro per gli URL e autonomo, rendendolo ideale per trasmettere dati di autenticazione (authentication) e autorizzazione (authorization) tra servizi.
Scopri di più
L
Linguaggio di Marcatura per le Affermazioni di Sicurezza (SAML)
Il Linguaggio di Marcatura per le Affermazioni di Sicurezza (SAML) è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra identity provider e service provider.
Scopri di più
M
Magic link
Il magic link è un URL monouso che può essere utilizzato per completare il processo di autenticazione.
Scopri di più
Management API
L'API di gestione (Management API) nel contesto della gestione delle identità e degli accessi (IAM) consente la gestione programmatica delle risorse come utenti, applicazioni, ruoli e permessi. Tipicamente RESTful, fornisce un livello di astrazione tra il sistema IAM e l'interfaccia utente, abilitando automazione, integrazione e sviluppo di funzionalità personalizzate.
Scopri di più
Multi-tenancy
Multi-tenancy è un'architettura software in cui un'unica istanza dell'applicazione serve più clienti (tenant), mantenendo i loro dati isolati e sicuri. È comune nel cloud computing e nel SaaS per ottimizzare le risorse e semplificare la manutenzione.
Scopri di più
O
OAuth 2.0
OAuth 2.0 è un framework di autorizzazione ampiamente utilizzato che consente a un'applicazione (client) di ottenere un accesso limitato a risorse protette per conto di un utente o dell'applicazione stessa.
Scopri di più
OAuth 2.1
OAuth 2.1 è un aggiornamento proposto al framework di autorizzazione OAuth 2.0 che mira a migliorare la sicurezza e l'usabilità deprecando i flussi non sicuri e introducendo nuove best practice.
Scopri di più
OpenID Connect (OIDC)
OpenID Connect (OIDC) è un livello di autenticazione (identità) sopra OAuth 2.0, che consente ai client di autenticare gli utenti e ottenere informazioni sull'identità in modo standardizzato.
Scopri di più
P
Passkey
Passkey è una credenziale resistente al phishing e conveniente che sostituisce le password e può essere utilizzata per l'accesso e l'autenticazione multi-fattore.
Scopri di più
Password monouso (OTP)
Un password monouso (OTP) è un codice unico e temporaneo utilizzato per una singola transazione o sessione di accesso.
Scopri di più
Password monouso basata sul tempo (TOTP)
Una password monouso basata sul tempo (TOTP) è un codice temporaneo e unico generato da un algoritmo che utilizza l'ora corrente come fattore chiave.
Scopri di più
Passwordless
Passwordless è un metodo di autenticazione che consente agli utenti di accedere ai sistemi informatici senza inserire (o ricordare) una password o qualsiasi altro segreto basato sulla conoscenza.
Scopri di più
Proof Key for Code Exchange (PKCE)
Proof Key for Code Exchange (PKCE) è un'estensione di sicurezza per OAuth 2.0 che protegge i codici di autorizzazione dall'intercettazione e dall'uso improprio. È applicato a tutti i tipi di client in OAuth 2.1.
Scopri di più
Proprietario della risorsa (Resource owner)
Un proprietario della risorsa è un'identità (di solito un utente) che ha la capacità di concedere l'accesso a una risorsa protetta. In OAuth 2.0, il proprietario della risorsa può autorizzare il client ad accedere alle sue risorse in un resource server per suo conto.
Scopri di più
Provisioning just-in-time (JIT)
Il provisioning just-in-time (JIT) è un processo di gestione delle identità e degli accessi (IAM) in cui gli account utente vengono forniti dinamicamente quando un utente accede per la prima volta.
Scopri di più
R
Richiesta di autenticazione (Authentication request)
Una richiesta di autenticazione (authentication request) è una richiesta OpenID Connect (OIDC) per autenticare un utente. Riutilizza la richiesta di autorizzazione OAuth 2.0 e la estende per supportare l'autenticazione.
Scopri di più
Richiesta di autorizzazione (Authorization request)
Una richiesta di autorizzazione (authorization request) è una richiesta OAuth 2.0 per autorizzare un client ad accedere a risorse protette per conto di un utente. È il primo passo dei flussi di autorizzazione utente in OAuth 2.0.
Scopri di più
Richiesta di token
La richiesta di token si riferisce alla richiesta OAuth 2.0 per lo scambio di credenziali (ad esempio, codice di autorizzazione, refresh token) per un insieme di token, che tipicamente include uno o più dei seguenti: access token, ID token o refresh token.
Scopri di più
Ruolo
Un ruolo è un concetto fondamentale nei sistemi di controllo degli accessi basato sui ruoli (RBAC), rappresentando una raccolta di permessi che definisce quali azioni gli utenti possono eseguire, fornendo un modo efficiente per gestire e assegnare i diritti di accesso agli utenti.
Scopri di più
S
Scope
Lo scope definisce le autorizzazioni che un'applicazione richiede a un utente per accedere alle sue risorse protette. È un concetto fondamentale in OAuth 2.0 e OIDC che controlla il livello di accesso che un'applicazione può avere ai dati di un utente.
Scopri di più
Scoperta di OpenID Connect (OIDC)
La scoperta di OpenID Connect (OIDC) è un meccanismo che consente ai client di scoprire automaticamente gli endpoint e la configurazione del Provider OpenID.
Scopri di più
Server delle risorse
Il server delle risorse si riferisce al server che ospita le risorse protette a cui il client vuole accedere. Ha anche la responsabilità di verificare i token di accesso e servire le risorse protette al client.
Scopri di più
Server di autorizzazione
Un server di autorizzazione è un componente del framework OAuth 2.0 che emette access token ai client dopo un'autenticazione e autorizzazione riuscite. È anche il OpenID Provider (OP) in OpenID Connect (OIDC) che emette ID token ai client.
Scopri di più
Single sign-on (SSO)
Il single sign-on (SSO) è un metodo di autenticazione che consente agli utenti di accedere a più sistemi con un unico set di credenziali. Come componente chiave dei sistemi di gestione delle identità e degli accessi (IAM), l'SSO è ampiamente utilizzato nelle moderne applicazioni e servizi basati su cloud, semplificando l'accesso degli utenti e migliorando la sicurezza.
Scopri di più
T
Token di accesso (Access token)
Un token di accesso (access token) è una credenziale utilizzata per accedere a risorse protette per conto di un'identità (ad esempio, utente o servizio). È un token al portatore che concede l'accesso alle risorse in base agli scope (permessi) del token.
Scopri di più
Token di aggiornamento (Refresh token)
Un token di aggiornamento è una credenziale a lunga durata utilizzata per ottenere nuovi access token senza richiedere all'utente di autenticarsi nuovamente. Viene utilizzato per mantenere le sessioni utente e fornire una migliore esperienza utente.
Scopri di più
Token ID
Un token ID è un JSON Web Token (JWT) emesso da un authorization server (server di autorizzazione) a un'applicazione client. Contiene informazioni sull'utente autenticato, come il suo identificatore univoco e claim (dichiarazioni). Questo token viene utilizzato per verificare l'identità dell'utente e consente all'applicazione client di accedere a risorse protette per conto dell'utente.
Scopri di più
Token opaco
Un token opaco è un tipo di token il cui formato è determinato dall'issuer (emittente), tipicamente appare come una stringa di caratteri o numeri e richiede la validazione da parte dell'issuer piuttosto che contenere tutte le informazioni necessarie per la validazione diretta.
Scopri di più
U
URI di reindirizzamento (Redirect URI)
La URI di reindirizzamento (Redirect URI) è una URI dove il server di autorizzazione reindirizza l'user-agent dopo una richiesta di autorizzazione. È un parametro essenziale nei grant di OAuth 2.0 e OpenID Connect (OIDC) che coinvolgono l'interazione dell'utente.
Scopri di più
W
WebAuthn
WebAuthn è un'API per accedere alle credenziali di chiave pubblica, facilitando l'implementazione delle passkey.
Scopri di più
Webhook
I webhook sono un metodo per le applicazioni web di comunicare tra loro in tempo reale. Consentono a un'applicazione di inviare messaggi o informazioni automatizzati a un'altra applicazione quando si verifica un evento specifico.
Scopri di più