Definizione dei framework attendibilità basati sul Framework dell'esperienza di gestione delle identità di Azure AD B2CDefine Trust Frameworks with Azure AD B2C Identity Experience Framework

I criteri personalizzati di Azure Active Directory B2C (Azure AD B2C) che usano il Framework dell'esperienza di gestione delle identità offrono all'organizzazione un servizio centralizzato.Azure Active Directory B2C (Azure AD B2C) custom policies that use the Identity Experience Framework provide your organization with a centralized service. Questo servizio riduce la complessità della federazione delle identità in una community di interesse di grandi dimensioniThis service reduces the complexity of identity federation in a large community of interest. a una singola relazione di trust e a un singolo scambio di metadati.The complexity is reduced to a single trust relationship and a single metadata exchange.

I criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità consentono di rispondere alle domande seguenti:Azure AD B2C custom policies that use the Identity Experience Framework to enable you to answer the following questions:

  • Quali criteri legali, di sicurezza, privacy e protezione dei dati devono essere rispettati?What are the legal, security, privacy, and data protection policies that must be adhered to?
  • Chi sono i contatti e quali sono le procedure per diventare membro accreditato?Who are the contacts and what are the processes for becoming an accredited participant?
  • Chi sono i provider di informazioni di identità accreditati (anche noti come "provider di attestazioni") e cosa offrono?Who are the accredited identity information providers (also known as "claims providers") and what do they offer?
  • Chi sono le relying party accreditate e, facoltativamente, cosa richiedono?Who are the accredited relying parties (and optionally, what do they require)?
  • Quali sono i requisiti tecnici di interoperabilità "in transito" per i membri?What are the technical “on the wire” interoperability requirements for participants?
  • Quali sono le regole operative di "runtime" che devono essere applicate per lo scambio di informazioni di identità digitali?What are the operational “runtime” rules that must be enforced for exchanging digital identity information?

Per rispondere a tutte queste domande, i criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità usano il costrutto del framework attendibilità.To answer all these questions, Azure AD B2C custom policies that use the Identity Experience Framework use the Trust Framework (TF) construct. Esaminiamo ora questo costrutto e il suo contributo in questo senso.Let’s consider this construct and what it provides.

Nozioni fondamentali sul framework attendibilità e sulla gestione della federazioneUnderstand the Trust Framework and federation management foundation

Il framework attendibilità è una specifica scritta dei criteri di identità, sicurezza, privacy e protezione dei dati a cui i membri di una community di interesse devono conformarsi.The Trust Framework is a written specification of the identity, security, privacy, and data protection policies to which participants in a community of interest must conform.

L'identità federata rappresenta la base per ottenere la verifica delle identità degli utenti finali a livello di Internet.Federated identity provides a basis for achieving end-user identity assurance at Internet scale. Se si delega la gestione delle identità a terze parti, una singola identità digitale per un utente finale può essere usata con più relying party.By delegating identity management to third parties, a single digital identity for an end user can be reused with multiple relying parties.

La verifica delle identità richiede che i provider di identità (IdP) e i provider di attributi aderiscano a procedure e criteri operativi, di privacy e sicurezza specifici.Identity assurance requires that identity providers (IdPs) and attribute providers (AtPs) adhere to specific security, privacy, and operational policies and practices. Se non possono eseguire ispezioni dirette, le relying party (RP) devono sviluppare relazioni di trust con i provider di identità e i provider di attributi con i quali scelgono di lavorare.If they can't perform direct inspections, relying parties (RPs) must develop trust relationships with the IdPs and AtPs they choose to work with.

Con l'aumento del numero di consumer e di provider di informazioni di identità digitali, diventa difficile proseguire la gestione pairwise di queste relazioni di trust o anche lo scambio pairwise dei metadati tecnici necessari per la connettività di rete.As the number of consumers and providers of digital identity information grows, it's difficult to continue pairwise management of these trust relationships, or even the pairwise exchange of the technical metadata that's required for network connectivity. Gli hub di federazione hanno risolto questi problemi solo in parte.Federation hubs have achieved only limited success at solving these problems.

Contenuto definito in una specifica di framework di attendibilitàWhat a Trust Framework specification defines

I framework attendibilità rappresentano il cardine del modello di Open Identity Exchange (OIX), in cui ogni community di interesse è regolata da una specifica di framework attendibilità.TFs are the linchpins of the Open Identity Exchange (OIX) Trust Framework model, where each community of interest is governed by a particular TF specification. Questa specifica di framework attendibilità definisce:Such a TF specification defines:

  • Le metriche di sicurezza e privacy per la community di interesse con la definizione degli elementi seguenti:The security and privacy metrics for the community of interest with the definition of:

    • I livelli di verifica che sono offerti/richiesti dai membri, ad esempio un set ordinato di valutazioni di attendibilità per l'autenticità di informazioni su identità digitali.The levels of assurance (LOA) that are offered/required by participants; for example, an ordered set of confidence ratings for the authenticity of digital identity information.
    • I livelli di protezione offerti/richiesti dai membri, ad esempio un set ordinato di valutazioni di attendibilità per la protezione di informazioni su identità digitali gestite da membri nella community di interesse.The levels of protection (LOP) that are offered/required by participants; for example, an ordered set of confidence ratings for the protection of digital identity information that's handled by participants in the community of interest.
  • La descrizione delle informazioni su identità digitali offerte/richieste dai membri.The description of the digital identity information that's offered/required by participants.

  • I criteri tecnici per la produzione e l'uso delle informazioni su identità digitali e quindi per la misurazione dei livelli di verifica e dei livelli di protezione. Questi criteri scritti includono in genere le categorie seguenti:The technical policies for production and consumption of digital identity information, and thus for measuring LOA and LOP. These written policies typically include the following categories of policies:

    • Criteri di verifica dell'identità, ad esempio con quale rigore vengono controllate le informazioni sull'identità di un utente?Identity proofing policies, for example: How strongly is a person’s identity information vetted?
    • Criteri di sicurezza, ad esempio con quale rigore vengono protette l'integrità e la riservatezza delle informazioni?Security policies, for example: How strongly are information integrity and confidentiality protected?
    • Criteri di privacy, ad esempio quale controllo ha un utente sulle informazioni di identificazione personale?Privacy policies, for example: What control does a user have over personal identifiable information (PII)?
    • Criteri di capacità di sopravvivenza, ad esempio come vengono gestite la continuità e la protezione delle informazioni di identificazione personale se un provider cessa l'attività?Survivability policies, for example: If a provider ceases operations, how does continuity and protection of PII function?
  • I profili tecnici per la produzione e l'uso delle informazioni su identità digitali. Questi profili includono:The technical profiles for production and consumption of digital identity information. These profiles include:

    • Interfacce di ambito per le quali sono disponibili le informazioni su identità digitali al livello di verifica specificato.Scope interfaces for which digital identity information is available at a specified LOA.
    • Requisiti tecnici per l'interoperabilità in transito.Technical requirements for on-the-wire interoperability.
  • Le descrizioni dei diversi ruoli che i membri della community possono rivestire insieme alle qualifiche necessarie per adempiere a questi ruoli.The descriptions of the various roles that participants in the community can perform and the qualifications that are required to fulfill these roles.

Una specifica di framework attendibilità determina quindi la modalità di scambio delle informazioni di identità tra i membri della community di interesse: relying party, provider di identità e di attributi e verificatori di attributi.Thus a TF specification governs how identity information is exchanged between the participants of the community of interest: relying parties, identity and attribute providers, and attribute verifiers.

Una specifica di framework attendibilità è organizzata in uno o più documenti che fungono da riferimento per la governance della community di interesse, regolando l'asserzione e l'uso di informazioni su identità digitali all'interno della community.A TF specification is one or multiple documents that serve as a reference for the governance of the community of interest that regulates the assertion and consumption of digital identity information within the community. Ciò implica una serie documentata di criteri e procedure, progettati per stabilire l'attendibilità nelle identità digitali usate per le transazioni online tra i membri di una community di interesse.It's a documented set of policies and procedures designed to establish trust in the digital identities that are used for online transactions between members of a community of interest.

Una specifica di framework attendibilità definisce quindi le regole per la creazione di un ecosistema di identità federate valido per una community.In other words, a TF specification defines the rules for creating a viable federated identity ecosystem for a community.

Il vantaggio di questo approccio è oggi ampiamente riconosciuto.Currently there's widespread agreement on the benefit of such an approach. Senza dubbio le specifiche di framework attendibilità semplificano lo sviluppo di ecosistemi di identità digitali con caratteristiche verificabili di sicurezza, verifica e privacy che ne consentono il riutilizzo in più community di interesse.There's no doubt that trust framework specifications facilitate the development of digital identity ecosystems with verifiable security, assurance and privacy characteristics, meaning that they can be reused across multiple communities of interest.

Per questo motivo, i criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità usano la specifica come base della rappresentazione dei dati per un framework attendibilità per semplificare l'interoperabilità.For that reason, Azure AD B2C custom policies that use the Identity Experience Framework uses the specification as the basis of its data representation for a TF to facilitate interoperability.

I criteri personalizzati di Azure Active Directory B2C che si basano sul Framework dell'esperienza di gestione delle identità rappresentano una specifica di framework attendibilità come una combinazione di dati leggibili da computer e da risorse umane.Azure AD B2C Custom policies that leverage the Identity Experience Framework represent a TF specification as a mixture of human and machine-readable data. Alcune sezioni di questo modello (in genere le sezioni più orientate alla governance) vengono rappresentate come riferimenti a documentazione pubblicata sui criteri di sicurezza e privacy insieme alle procedure correlate (se presenti).Some sections of this model (typically sections that are more oriented toward governance) are represented as references to published security and privacy policy documentation along with the related procedures (if any). Altre sezioni descrivono in dettaglio le regole di runtime e i metadati di configurazione che facilitano l'automazione operativa.Other sections describe in detail the configuration metadata and runtime rules that facilitate operational automation.

Criteri di framework attendibilitàUnderstand Trust Framework policies

In termini di implementazione, la specifica di framework attendibilità è costituita da un set di criteri che offrono il controllo completo sulle esperienze e sui comportamenti delle identità.In terms of implementation, the TF specification consists of a set of policies that allow complete control over identity behaviors and experiences. I criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità consentono di creare framework attendibilità personali tramite tali criteri dichiarativi che possono definire e configurare:Azure AD B2C custom policies that leverage the Identity Experience Framework enable you to author and create your own TF through such declarative policies that can define and configure:

  • I documenti o i riferimenti che definiscono l'ecosistema di identità federative della community in relazione al framework attendibilità.The document reference or references that define the federated identity ecosystem of the community that relates to the TF. Si tratta di collegamenti alla documentazione relativa al framework di attendibilità.They are links to the TF documentation. Le regole operative di "runtime" predefinite oppure i percorsi utente che automatizzano e/o controllano lo scambio e l'uso delle attestazioni.The (predefined) operational “runtime” rules, or the user journeys that automate and/or control the exchange and usage of the claims. Questi percorsi utente sono associati a un livello di verifica e a un livello di protezione.These user journeys are associated with a LOA (and a LOP). Un criterio può quindi avere percorsi utente con livelli di verifica e livelli di protezione differenti.A policy can therefore have user journeys with varying LOAs (and LOPs).

  • I provider di identità e di attributi o i provider di attestazioni nella community di interesse e i profili tecnici supportati insieme all'accreditamento dei livelli di verifica e di protezione fuori banda correlati.The identity and attribute providers, or the claims providers, in the community of interest and the technical profiles they support along with the (out-of-band) LOA/LOP accreditation that relates to them.

  • L'integrazione con verificatori di attributi o provider di attestazioni.The integration with attribute verifiers or claims providers.

  • Le relying party nella community (per inferenza).The relying parties in the community (by inference).

  • I metadati per stabilire comunicazioni di rete tra i membri.The metadata for establishing network communications between participants. Questi metadati vengono usati insieme ai profili tecnici durante una transazione per ottimizzare l'interoperabilità "in transito" tra la relying party e altri membri della community.This metadata, along with the technical profiles, are used during a transaction to plumb “on the wire” interoperability between the relying party and other community participants.

  • L'eventuale conversione dei protocolli, ad esempio SAML, OAuth2, WS-Federation e OpenID Connect.The protocol conversion if any (for example, SAML, OAuth2, WS-Federation, and OpenID Connect).

  • I requisiti di autenticazione.The authentication requirements.

  • L'eventuale orchestrazione a più fattori.The multifactor orchestration if any.

  • Uno schema condiviso per tutte le attestazioni disponibili e i mapping ai membri di una community di interesse.A shared schema for all the claims that are available and mappings to participants of a community of interest.

  • Tutte le trasformazioni di attestazioni, insieme all'eventuale riduzione dei dati in questo contesto, per sostenere lo scambio e l'uso delle attestazioni.All the claims transformations, along with the possible data minimization in this context, to sustain the exchange and usage of the claims.

  • Il binding e la crittografia.The binding and encryption.

  • L'archivio delle attestazioni.The claims storage.

AttestazioniUnderstand claims

Nota

Sono definiti "attestazioni" tutti i possibili tipi di informazioni di identità che possono essere scambiati come "attestazioni": attestazioni sulle credenziali di autenticazione di un utente finale, controllo delle identità, dispositivo di comunicazione, posizione fisica, attributi di identificazione personale e così via.We collectively refer to all the possible types of identity information that might be exchanged as "claims": claims about an end user’s authentication credential, identity vetting, communication device, physical location, personally identifying attributes, and so on.

Si usa il termine "attestazioni" anziché "attributi" perché nelle transazioni online questi elementi dati non possono essere verificati direttamente dalla relying party.We use the term "claims"--rather than "attributes"--because in online transactions, these data artifacts are not facts that can be directly verified by the relying party. Si tratta piuttosto di asserzioni o attestazioni su fatti verso cui la relying party deve sviluppare una fiducia sufficiente a garantire la transazione richiesta dell'utente finale.Rather they're assertions, or claims, about facts for which the relying party must develop sufficient confidence to grant the end user’s requested transaction.

Si usa il termine "attestazioni" anche perché i criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità sono progettati per semplificare lo scambio di tutti i tipi di informazioni di identità digitale in modo coerente, indipendentemente dal fatto che il protocollo sottostante sia definito per l'autenticazione utente o il recupero di attributi.We also use the term "claims" because Azure AD B2C custom policies that use the Identity Experience Framework are designed to simplify the exchange of all types of digital identity information in a consistent manner regardless of whether the underlying protocol is defined for user authentication or attribute retrieval. Si usa analogamente il termine "provider di attestazioni" per fare riferimento ai provider di identità, i provider di attributi e i verificatori di attributi, quando non si intende distinguerli in base alle funzioni specifiche.Likewise, we use the term "claims providers" to collectively refer to identity providers, attribute providers, and attribute verifiers when we do not want to distinguish between their specific functions.

Questi determinano la modalità di scambio delle informazioni di identità tra una relying party, i provider di identità e di attributi e i verificatori di attributi.Thus they govern how identity information is exchanged between a relying party, identity and attribute providers, and attribute verifiers. Stabiliscono i provider di identità e di attributi necessari per l'autenticazione di una relying party.They control which identity and attribute providers are required for a relying party’s authentication. Devono essere considerati un linguaggio specifico di dominio, ovvero un linguaggio di programmazione specializzato per un determinato dominio dell'applicazione con ereditarietà, istruzioni if e polimorfismo.They should be considered as a domain-specific language (DSL), that is, a computer language that's specialized for a particular application domain with inheritance, if statements, polymorphism.

Questi criteri costituiscono la parte leggibile dal computer del costrutto TF nei criteri personalizzati di Azure Active Directory B2C basati sul Framework dell'esperienza di gestione delle identità.These policies constitute the machine-readable portion of the TF construct in Azure AD B2C Custom policies leveraging the Identity Experience Framework. Includono tutti i dettagli operativi, inclusi i metadati e i profili tecnici dei provider di attestazioni, le definizioni dello schema di attestazioni, le funzioni di trasformazione di attestazioni e i percorsi utente che vengono compilati per facilitare l'automazione e l'orchestrazione operative.They include all the operational details, including claims providers’ metadata and technical profiles, claims schema definitions, claims transformation functions, and user journeys that are filled in to facilitate operational orchestration and automation.

Questi sono considerati documenti in continua modifica perché è probabile che il relativo contenuto verrà cambiato nel tempo relativamente ai membri attivi dichiarati nei criteri.They are assumed to be living documents because there is a good chance that their contents will change over time concerning the active participants declared in the policies. È possibile che cambino anche le condizioni per diventare membri.There is also the potential that the terms and conditions for being a participant might change.

La configurazione e la manutenzione della federazione risultano notevolmente semplificate schermando le relying party da continue riconfigurazioni di attendibilità e connettività quando diversi provider di attestazioni/verificatori entrano o escono dalla community rappresentata dal set di criteri.Federation setup and maintenance are vastly simplified by shielding relying parties from ongoing trust and connectivity reconfigurations as different claims providers/verifiers join or leave (the community represented by) the set of policies.

L'interoperabilità è un'altra sfida importante.Interoperability is another significant challenge. È necessario integrare altri provider di attestazioni/verificatori, perché è improbabile che le relying party supportino tutti i protocolli necessari.Additional claims providers/verifiers must be integrated, because relying parties are unlikely to support all the necessary protocols. I criteri personalizzati di Azure AD B2C risolvono questo problema supportando protocolli standard del settore e applicando percorsi utente specifici per trasporre le richieste quando le relying party e i provider di attributi non supportano lo stesso protocollo.Azure AD B2C custom policies solve this problem by supporting industry-standard protocols and by applying specific user journeys to transpose requests when relying parties and attribute providers do not support the same protocol.

I percorsi utente includono profili di protocolli e metadati che vengono usati per ottimizzare l'interoperabilità "in transito" tra la relying party e altri membri.User journeys include protocol profiles and metadata that are used to plumb “on the wire” interoperability between the relying party and other participants. Sono anche disponibili regole di runtime operative che vengono applicate ai messaggi di richiesta/risposta per lo scambio di informazioni di identità ai fini della conformità con i criteri pubblicati nell'ambito della specifica di framework attendibilità.There are also operational runtime rules that are applied to identity information exchange request/response messages for enforcing compliance with published policies as part of the TF specification. Il concetto di percorso utente è fondamentale per la personalizzazione dell'esperienza del cliente.The idea of user journeys is key to the customization of the customer experience. Chiarisce anche il funzionamento del sistema a livello di protocollo.It also sheds light on how the system works at the protocol level.

Su questa base, le applicazioni e i portali delle relying party possono, a seconda del contesto, richiamare i criteri personalizzati di Azure AD B2C basati sul Framework dell'esperienza di gestione delle identità passando il nome di un criterio specifico e ottenere esattamente il comportamento e lo scambio di informazioni desiderati in modo semplice e senza rischi.On that basis, relying party applications and portals can, depending on their context, invoke Azure AD B2C custom policies that leverage the Identity Experience Framework passing the name of a specific policy and get precisely the behavior and information exchange they want without any muss, fuss, or risk.