Auth Wiki

OpenID Connect
OAuth 2.0
SAML

Esplora e trova definizioni chiare di glossari chiave relativi all'autenticazione, all'autorizzazione e alla gestione delle identità e degli accessi (IAM). Lavora con standard aperti come OpenID Connect, OAuth 2.0 e SAML.

A

Accesso offline

L'accesso offline consente ai client di ottenere nuovi access token senza richiedere all'utente di autenticarsi nuovamente. È utile per sessioni di lunga durata e una migliore esperienza utente.

Audience (Audience)

Il claim di audience in un token specifica il destinatario previsto, tipicamente l'applicazione client o la risorsa API. Garantisce che il token sia utilizzato solo dal servizio corretto, migliorando la sicurezza prevenendo accessi non autorizzati.

Autenticazione (Authentication, AuthN)

L'autenticazione è il processo di verifica della proprietà dell'identità (ad esempio, utente o servizio). È la base dei sistemi di gestione delle identità e degli accessi (IAM) ed è essenziale per proteggere applicazioni e servizi.

Autenticazione multi-fattore (MFA)

L'autenticazione multi-fattore (MFA) è un meccanismo di sicurezza che richiede agli utenti di fornire almeno due forme di identificazione per completare il processo di autenticazione. Aggiunge un ulteriore livello di sicurezza che riduce significativamente il rischio di accessi non autorizzati.

Auth (disambiguazione)

Il termine "auth" è spesso usato come abbreviazione per authentication (autenticazione) o authorization (autorizzazione). Questi concetti sono correlati ma fondamentalmente diversi.

Autorizzazione

L'autorizzazione è il processo di determinare quali azioni un'identità può eseguire su una risorsa. È un meccanismo di sicurezza fondamentale per definire e applicare le politiche di accesso.

C

Chiave API

Una chiave API è un identificatore unico utilizzato per autenticare e autorizzare un client quando accede a un'API. Serve come un token segreto incluso nelle richieste API per verificare l'identità del client e consentire l'accesso a risorse o servizi specifici. Le chiavi API sono tipicamente utilizzate nelle comunicazioni server-to-server o quando si accede a dati pubblici.

Chiave di firma

Una chiave di firma è una chiave crittografica utilizzata per firmare e verificare JSON Web Tokens in OpenID Connect (OIDC). Viene utilizzata per garantire l'integrità e l'autenticità dei token emessi dal provider OpenID.

Chiave Web JSON (JWK)

Una Chiave Web JSON (JWK) è un formato basato su JSON utilizzato per rappresentare chiavi crittografiche. Quando più JWK devono essere raggruppati insieme, vengono organizzati in un Set di Chiavi Web JSON (JWKS).

Claim

Un claim in JSON Web Token (JWT) è una coppia nome-valore che trasmette informazioni specifiche. In un contesto più ampio, un claim può essere qualsiasi coppia nome-valore che rappresenta informazioni.

Client

In OAuth 2.0 e OpenID Connect (OIDC), un client è un'applicazione che richiede autenticazione (authentication) o autorizzazione (authorization) per conto di un utente o di se stessa. I client possono essere pubblici o riservati (privati) e utilizzano diversi tipi di concessione per ottenere i token.

Comunicazione machine-to-machine

La comunicazione machine-to-machine (M2M) si riferisce allo scambio automatizzato di dati tra dispositivi senza intervento umano. Nel contesto di autenticazione (authentication) e autorizzazione (authorization), la comunicazione M2M spesso coinvolge un'applicazione client che necessita di accedere a risorse, dove l'applicazione client è una macchina (servizio) o una macchina che agisce per conto di un utente.

Concessione OAuth 2.0 (OAuth 2.0 grant)

Una concessione di autorizzazione OAuth 2.0 (a volte indicata come "tipo di concessione OAuth 2.0" o "flusso OAuth 2.0"), è un metodo utilizzato dai client per ottenere un access token da un authorization server. È una parte essenziale per i client OAuth per autenticare e autorizzare le identità.

Controllo degli accessi

Il controllo degli accessi è la restrizione di chi può eseguire quali azioni su determinate risorse in un sistema. È un meccanismo di sicurezza fondamentale per definire e applicare le politiche di accesso.

Controllo degli accessi basato sugli attributi (ABAC)

Il controllo degli accessi basato sugli attributi (ABAC) è un modello di controllo degli accessi che utilizza attributi (come ruoli utente, proprietà delle risorse e condizioni ambientali) per prendere decisioni di controllo degli accessi. È un modo flessibile e dinamico per gestire l'accesso alle risorse protette.

Controllo degli accessi basato sui ruoli (RBAC)

Il controllo degli accessi basato sui ruoli (RBAC) è un modello di controllo degli accessi che assegna permessi ai ruoli piuttosto che direttamente agli utenti, fornendo un modo flessibile ed efficiente per gestire i diritti di accesso nei sistemi.

Crittografia Web JSON (JSON Web Encryption, JWE)

La Crittografia Web JSON (JSON Web Encryption, JWE) è un modo standard per crittografare e decrittografare i dati in formato JSON. È spesso utilizzata per proteggere informazioni sensibili nei JSON Web Token (JWT) in transito.

Cross-site request forgery (CSRF)

Il cross-site request forgery (CSRF) è un attacco che inganna gli utenti facendoli eseguire azioni indesiderate su un'applicazione web in cui sono autenticati. È una vulnerabilità di sicurezza comune che può portare ad azioni non autorizzate.

E

Endpoint userinfo

L'endpoint userinfo è un endpoint di OpenID Connect (OIDC) che fornisce informazioni utente ai client. È un endpoint supplementare al token ID e consente ai client di recuperare ulteriori informazioni utente.

Enterprise SSO

Il single sign-on (SSO) aziendale è un tipo specifico di SSO progettato per i dipendenti all'interno di un'organizzazione.

eXtensible Access Control Markup Language (XACML)

eXtensible Access Control Markup Language (XACML) è un linguaggio basato su XML per esprimere politiche di controllo degli accessi. È utilizzato principalmente per implementare politiche di controllo degli accessi basate su attributi (ABAC).

F

Firma Web JSON (JWS)

La Firma Web JSON (JWS) è un modo standard per firmare e verificare i dati in formato JSON. È spesso utilizzata per garantire l'integrità e l'autenticità dei JSON Web Token (JWT) in OpenID Connect (OIDC).

Flusso del codice di autorizzazione (Authorization code flow)

Il flusso del codice di autorizzazione (authorization code flow) è un meccanismo sicuro di OAuth 2.0 che consente alle applicazioni di ottenere access token per conto degli utenti. Coinvolge l'autenticazione dell'utente, la generazione del codice di autorizzazione e lo scambio di token.

Flusso del dispositivo

Il flusso di autorizzazione del dispositivo OAuth 2.0 è un metodo di accesso user-friendly per dispositivi con input limitato o applicazioni senza interfaccia. Verificando un codice dispositivo unico, consente agli utenti di autorizzare il dispositivo tramite un dispositivo secondario con un'interfaccia utente completa.

Flusso delle credenziali del client (Client credentials flow)

Il flusso delle credenziali del client (client credentials flow) è un tipo di concessione OAuth 2.0 che consente ai client riservati di ottenere access token per accedere a risorse protette. È adatto per la comunicazione machine-to-machine (server-to-server).

Flusso ibrido (Hybrid flow)

Il flusso ibrido (Hybrid flow) è un flusso di OpenID Connect (OIDC) che combina il flusso del codice di autorizzazione (authorization code flow) e il flusso implicito (implicit flow). È progettato per fornire un equilibrio tra sicurezza e usabilità per l'autenticazione.

Flusso implicito (Implicit flow)

Il flusso implicito (implicit flow) di OIDC è un metodo di autenticazione per le SPA, che consente loro di ricevere rapidamente i token direttamente dal authorization server. Sebbene semplifichi il processo eliminando la necessità di un server backend, comporta una minore sicurezza a causa dell'esposizione dei token nell'URL.

Fornitore di identità (Identity provider, IdP)

Il fornitore di identità (Identity provider, IdP) è un servizio che gestisce le identità. I fornitori di identità moderni supportano OpenID Connect (OIDC) per l'autenticazione e OAuth 2.0 per l'autorizzazione.

Fornitore di servizi (SP)

Il fornitore di servizi (SP) è un'applicazione o servizio che si affida a un identity provider (IdP) per l'autenticazione e l'autorizzazione.

G

Generatore di numeri pseudocasuali crittograficamente sicuro

Un generatore di numeri pseudocasuali crittograficamente sicuro (CSPRNG) è un generatore di numeri pseudocasuali che genera numeri casuali adatti all'uso in applicazioni crittografiche dove la sicurezza dei dati è importante.

Gestione delle identità e degli accessi (IAM)

La gestione delle identità e degli accessi (IAM) è un concetto ampio che comprende i processi, le tecnologie e le politiche utilizzate per gestire le identità digitali e controllare l'accesso alle risorse. È un aspetto fondamentale della sicurezza nelle applicazioni e nei sistemi moderni.

I

Indicatore di risorsa

L'indicatore di risorsa in OAuth 2.0 è un parametro di estensione definito in RFC 8707 che consente ai client di specificare la posizione del server di risorse nella richiesta di autorizzazione. Fornisce un modo scalabile per gestire più server di risorse in un singolo server di autorizzazione.

Introspezione del token (Token introspection)

L'introspezione del token è un'estensione di OAuth 2.0 che consente ai client di interrogare il server di autorizzazione per convalidare i token di accesso e recuperare i metadati su di essi.

J

JSON Web Token (JWT)

JSON Web Token (JWT) è uno standard aperto definito in RFC 7519 che consente una comunicazione sicura tra due parti. È compatto, sicuro per gli URL e autonomo, rendendolo ideale per trasmettere dati di autenticazione (authentication) e autorizzazione (authorization) tra servizi.

L

Linguaggio di Marcatura per le Affermazioni di Sicurezza (SAML)

Il Linguaggio di Marcatura per le Affermazioni di Sicurezza (SAML) è uno standard basato su XML per lo scambio di dati di autenticazione e autorizzazione tra identity provider e service provider.

M

Magic link

Il magic link è un URL monouso che può essere utilizzato per completare il processo di autenticazione.

Management API

L'API di gestione (Management API) nel contesto della gestione delle identità e degli accessi (IAM) consente la gestione programmatica delle risorse come utenti, applicazioni, ruoli e permessi. Tipicamente RESTful, fornisce un livello di astrazione tra il sistema IAM e l'interfaccia utente, abilitando automazione, integrazione e sviluppo di funzionalità personalizzate.

Multi-tenancy

Multi-tenancy è un'architettura software in cui un'unica istanza dell'applicazione serve più clienti (tenant), mantenendo i loro dati isolati e sicuri. È comune nel cloud computing e nel SaaS per ottimizzare le risorse e semplificare la manutenzione.

O

OAuth 2.0

OAuth 2.0 è un framework di autorizzazione ampiamente utilizzato che consente a un'applicazione (client) di ottenere un accesso limitato a risorse protette per conto di un utente o dell'applicazione stessa.

OAuth 2.1

OAuth 2.1 è un aggiornamento proposto al framework di autorizzazione OAuth 2.0 che mira a migliorare la sicurezza e l'usabilità deprecando i flussi non sicuri e introducendo nuove best practice.

OpenID Connect (OIDC)

OpenID Connect (OIDC) è un livello di autenticazione (identità) sopra OAuth 2.0, che consente ai client di autenticare gli utenti e ottenere informazioni sull'identità in modo standardizzato.

P

Passkey

Passkey è una credenziale resistente al phishing e conveniente che sostituisce le password e può essere utilizzata per l'accesso e l'autenticazione multi-fattore.

Password monouso (OTP)

Un password monouso (OTP) è un codice unico e temporaneo utilizzato per una singola transazione o sessione di accesso.

Password monouso basata sul tempo (TOTP)

Una password monouso basata sul tempo (TOTP) è un codice temporaneo e unico generato da un algoritmo che utilizza l'ora corrente come fattore chiave.

Passwordless

Passwordless è un metodo di autenticazione che consente agli utenti di accedere ai sistemi informatici senza inserire (o ricordare) una password o qualsiasi altro segreto basato sulla conoscenza.

Proof Key for Code Exchange (PKCE)

Proof Key for Code Exchange (PKCE) è un'estensione di sicurezza per OAuth 2.0 che protegge i codici di autorizzazione dall'intercettazione e dall'uso improprio. È applicato a tutti i tipi di client in OAuth 2.1.

Proprietario della risorsa (Resource owner)

Un proprietario della risorsa è un'identità (di solito un utente) che ha la capacità di concedere l'accesso a una risorsa protetta. In OAuth 2.0, il proprietario della risorsa può autorizzare il client ad accedere alle sue risorse in un resource server per suo conto.

Provisioning just-in-time (JIT)

Il provisioning just-in-time (JIT) è un processo di gestione delle identità e degli accessi (IAM) in cui gli account utente vengono forniti dinamicamente quando un utente accede per la prima volta.

R

Richiesta di autenticazione (Authentication request)

Una richiesta di autenticazione (authentication request) è una richiesta OpenID Connect (OIDC) per autenticare un utente. Riutilizza la richiesta di autorizzazione OAuth 2.0 e la estende per supportare l'autenticazione.

Richiesta di autorizzazione (Authorization request)

Una richiesta di autorizzazione (authorization request) è una richiesta OAuth 2.0 per autorizzare un client ad accedere a risorse protette per conto di un utente. È il primo passo dei flussi di autorizzazione utente in OAuth 2.0.

Richiesta di token

La richiesta di token si riferisce alla richiesta OAuth 2.0 per lo scambio di credenziali (ad esempio, codice di autorizzazione, refresh token) per un insieme di token, che tipicamente include uno o più dei seguenti: access token, ID token o refresh token.

Ruolo

Un ruolo è un concetto fondamentale nei sistemi di controllo degli accessi basato sui ruoli (RBAC), rappresentando una raccolta di permessi che definisce quali azioni gli utenti possono eseguire, fornendo un modo efficiente per gestire e assegnare i diritti di accesso agli utenti.

S

Scope

Lo scope definisce le autorizzazioni che un'applicazione richiede a un utente per accedere alle sue risorse protette. È un concetto fondamentale in OAuth 2.0 e OIDC che controlla il livello di accesso che un'applicazione può avere ai dati di un utente.

Scoperta di OpenID Connect (OIDC)

La scoperta di OpenID Connect (OIDC) è un meccanismo che consente ai client di scoprire automaticamente gli endpoint e la configurazione del Provider OpenID.

Server delle risorse

Il server delle risorse si riferisce al server che ospita le risorse protette a cui il client vuole accedere. Ha anche la responsabilità di verificare i token di accesso e servire le risorse protette al client.

Server di autorizzazione

Un server di autorizzazione è un componente del framework OAuth 2.0 che emette access token ai client dopo un'autenticazione e autorizzazione riuscite. È anche il OpenID Provider (OP) in OpenID Connect (OIDC) che emette ID token ai client.

Single sign-on (SSO)

Il single sign-on (SSO) è un metodo di autenticazione che consente agli utenti di accedere a più sistemi con un unico set di credenziali. Come componente chiave dei sistemi di gestione delle identità e degli accessi (IAM), l'SSO è ampiamente utilizzato nelle moderne applicazioni e servizi basati su cloud, semplificando l'accesso degli utenti e migliorando la sicurezza.

T

Token di accesso (Access token)

Un token di accesso (access token) è una credenziale utilizzata per accedere a risorse protette per conto di un'identità (ad esempio, utente o servizio). È un token al portatore che concede l'accesso alle risorse in base agli scope (permessi) del token.

Token di aggiornamento (Refresh token)

Un token di aggiornamento è una credenziale a lunga durata utilizzata per ottenere nuovi access token senza richiedere all'utente di autenticarsi nuovamente. Viene utilizzato per mantenere le sessioni utente e fornire una migliore esperienza utente.

Token ID

Un token ID è un JSON Web Token (JWT) emesso da un authorization server (server di autorizzazione) a un'applicazione client. Contiene informazioni sull'utente autenticato, come il suo identificatore univoco e claim (dichiarazioni). Questo token viene utilizzato per verificare l'identità dell'utente e consente all'applicazione client di accedere a risorse protette per conto dell'utente.

Token opaco

Un token opaco è un tipo di token il cui formato è determinato dall'issuer (emittente), tipicamente appare come una stringa di caratteri o numeri e richiede la validazione da parte dell'issuer piuttosto che contenere tutte le informazioni necessarie per la validazione diretta.

U

URI di reindirizzamento (Redirect URI)

La URI di reindirizzamento (Redirect URI) è una URI dove il server di autorizzazione reindirizza l'user-agent dopo una richiesta di autorizzazione. È un parametro essenziale nei grant di OAuth 2.0 e OpenID Connect (OIDC) che coinvolgono l'interazione dell'utente.

W

WebAuthn

WebAuthn è un'API per accedere alle credenziali di chiave pubblica, facilitando l'implementazione delle passkey.

Webhook

I webhook sono un metodo per le applicazioni web di comunicare tra loro in tempo reale. Consentono a un'applicazione di inviare messaggi o informazioni automatizzati a un'altra applicazione quando si verifica un evento specifico.