Introduzione ai servizi di identità Apple
Apple fornisce alla tua organizzazione vari servizi di identità, per aiutarti a gestire password e nomi utente in modo sicuro, sia sul posto di lavoro che nel cloud. Apple utilizza misure di sicurezza come autenticazione, autorizzazione e identificazione federata, in modo che i singoli utenti possano accedere alle loro app preferite e ad altre risorse senza, per esempio, la difficoltà aggiuntiva di impostare nomi utente e password per ciascuna app.
Di seguito si trova una panoramica dei metodi chiave dei servizi di identità (ossia autenticazione, autorizzazione e identificazione federata) insieme a esempi di come Apple li usa per i servizi di identità.
Autenticazione e servizi Apple associati
Il primo passaggio in un processo di sicurezza è l’autenticazione. L’autenticazione verifica l’identità di un utente per accertarsi che sia legittima.
Apple utilizza molti metodi di autenticazione. Con Single Sign-On e i servizi Apple come Apple Account personale, Apple Account gestito, iCloud, iMessage e FaceTime, gli utenti possono comunicare in maniera sicura, creare documenti online ed eseguire il backup dei proprio dati personali, tutto senza compromettere i dati dell’organizzazione. Ciascun servizio utilizza una propria architettura di sicurezza. In tal modo, Apple garantisce la gestione protetta dei dati (archiviati su un dispositivo Apple o in transito su una rete wireless), protegge le informazioni personali dell’utente e difende dall’accesso doloso o non autorizzato a informazioni e servizi. Inoltre, Apple utilizza un framework per una soluzione di gestione dei dispositivi mobili (MDM) integrata che supporta la limitazione e la gestione dell’accesso a servizi specifici sui dispositivi Apple da parte di soluzioni MDM.
Autorizzazione e servizi Apple associati
L’autenticazione dimostra la tua identità, mentre l’autorizzazione definisce cosa gli utenti sono autorizzati a fare. Affinché l’autorizzazione funzioni, vengono forniti il nome e la password di un utente a un fornitore di identità (IdP). In teoria, il fornitore di identità è l’“autorità”, il nome e la password dell’utente sono la “dichiarazione” (perché tale persona “dichiara” la sua identità) e i dati che un utente riceve dopo aver effettuato correttamente l’accesso sono il “token”.
Apple impiega molti tipi di token e molti tipi di dichiarazioni. Tra le varie dichiarazioni che possono essere utilizzate si trovano certificati, smart card o altri dispositivi a più fattori.
Identificazione federata
L’identificazione federata è la procedura che consente di stabilire un rapporto di fiducia tra i fornitori di identità su domini di sicurezza, in modo tale che gli utenti si possano spostare liberamente da un sistema all’altro mantenendo al contempo la sicurezza. Affinché l’identificazione federata funzioni, gli amministratori devono impostare domini affidabili l’uno per l’altro e devono stabilire di comune accordo un unico metodo di identificazione degli utenti.
Un esempio comune di identificazione federata consiste nell’utilizzare un account aziendale per accedere a un fornitore di identità. Per esempio, per aiutare le organizzazioni a semplificare la creazione di Apple Account gestiti, Apple ha abilitato la federazione tra i fornitori di identità (IdP), Google Workspace, Microsoft Entra ID e Apple School Manager, Apple Business Manager o Apple Business Essentials. Gli utenti possono quindi utilizzare i propri fornitori di identità (IdP) e account Google Workspace o Microsoft Entra ID esistenti per accedere a iCloud o per accedere ai dispositivi Apple associati ad Apple School Manager, Apple Business Manager o Apple Business Essentials. Se all’utente non viene richiesta un’ulteriore dichiarazione di identità, l’identificazione federata viene eseguita anche tramite l’autenticazione Single Sign-On o un’estensione Single Sign-On di Kerberos.