FIDO UAF: una panoramica tecnica

Questa documentazione ti servirà per capire meglio quali sono i componenti di FIDO UAF ed attraverso alcuni schemi architetturali potrai avere una panoramica della nostra soluzione.

Scarica datasheet Ottieni l'SDK

Come funziona
FIDO UAF

Egomet FIDO UAF

Configurazione dell'autenticatore

Il dispositivo mobile viene certificato attraverso il rilevamento dei dati biometrici dell'utente. Contemporaneamente viene creata una coppia di chiavi: una chiave privata memorizzata in modo sicuro nel dispositivo dell’utente ed una chiave pubblica condivisa con il FIDO UAF server.

Autorizzazione online

Durante la procedura di autenticazione all'interno di un servizio online (RP - relying party) il client invia ad un server FIDO una richiesta contenente i dettagli della transazione che l'utente desidera effettuare. Il server verifica l'identità del dispositivo e autorizza il client attraverso un processo di verifica basato su un'infrastruttura a chiave pubblica (PKI).

FIDO UAF: l’architettura ad alto livello

L'architettura FIDO UAF è progettata per soddisfare gli obiettivi FIDO e generare i vantaggi desiderati. Ciò avviene colmando le lacune dello status-quo attraverso protocolli e API standardizzati. Nel seguente diagramma riepiloghiamo l'architettura di riferimento e il modo in cui i relativi componenti sono correlati ai dispositivi dell’utente e ai relying party.

Movenda Mercurius Function img

I componenti di FIDO UAF

Client

Questo componente implementa il lato client dei protocolli FIDO UAF ed è responsabile di:

  • Interagire con specifici autenticatori FIDO UAF utilizzando il layer Authenticator Abstraction di FIDO UAF tramite le API Autenticatore FIDO UAF.
  • Interagire con l’utente sul dispositivo (ad esempio con un'app per dispositivi mobili o un browser) utilizzando interfacce-utente specifiche per comunicare con il server FIDO UAF. Ad esempio, un plug-in per browser specifico di FIDO potrebbe utilizzare le interfacce di plug-in del browser già esistenti o un'app per dispositivi mobili potrebbe usare un SDK specifico di FIDO. Lo user agent è quindi responsabile di trasmettere i messaggi FIDO UAF al server FIDO UAF del relying party.

L'architettura FIDO UAF garantisce che il software FIDO client possa essere implementato per una vasta gamma di sistemi, sistemi operativi e web browser. Mentre il FIDO client è generalmente multi-piattaforma, le interazioni tra i componenti devono invece garantire un'esperienza utente coerente da piattaforma a piattaforma.

Egomet client FIDO UAF

Consulta la guida all'integrazione dell'SDK FIDO UAF

Android iOS

Autenticatore

Un autenticatore FIDO UAF è un'entità sicura, connessa o ospitata all'interno di dispositivi FIDO, che può creare una chiave associata a un relying party. La chiave può quindi essere utilizzata per partecipare ai protocolli di autenticazione avanzata FIDO UAF.

Ad esempio, l'autenticatore FIDO UAF è in grado di fornire una risposta a una challenge crittografica attraverso la chiave, permettendo in tal modo di autenticarsi al servizio del relying party. Al fine di semplificare l'integrazione di funzionalità di autenticazione affidabili, un autenticatore FIDO UAF sarà in grado di attestare il proprio particolare tipo (ad esempio: biometrico) e le proprie funzionalità (ad esempio gli algoritmi crittografici che supporta), nonché la propria provenienza. Ciò garantisce al relying party un elevato grado di probabilità che l'utente da autenticare sia effettivamente l'utente originariamente registrato nel sito.

Egomet autenticatore FIDO UAF

Server

Questo componente implementa il lato server dei protocolli FIDO UAF ed è responsabile di:

  • Interagire con il web server del relying party per comunicare i messaggi del protocollo FIDO UAF a un client FIDO UAF tramite un dispositivo dell’utente.
  • Convalidare gli attestati dell'autenticatore FIDO UAF nei confronti del metadata dell'autenticatore configurato per garantire che solo gli autenticatori attendibili siano registrati per l'utilizzo.
  • Gestire l'associazione fra gli autenticatori FIDO UAF registrati e gli account utente presenti presso il relying party.
  • Valutare l'autenticazione utente e le conferme di transazione per determinarne la validità.
Egomet server FIDO UAF

Consulta la guida all'integrazione dell'SDK FIDO UAF

Flusso di integrazione

La panoramica è abbastanza per te?

Preparati ad utilizzare FIDO. Scarica FIDO SDK gratuitamente.

Scarica FIDO SDK
Egomet FIDO UAF - Download SDK

Scenari di utilizzo e flussi del protocollo FIDO UAF

Acquisizione dell'autenticatore FIDO UAF e registrazione degli utenti

Si prevede che gli utenti acquisiranno gli autenticatori FIDO UAF in vari modi: acquistano un nuovo sistema che viene fornito con la funzionalità di autenticazione FIDO UAF incorporata; acquistano un dispositivo con un autenticatore FIDO UAF incorporato oppure ricevono un FIDO Authenticator dal proprio datore di lavoro o da un’altra istituzione (ad esempio la banca). Dopo aver ricevuto un autenticatore FIDO UAF, l'utente deve effettuare un processo di registrazione specifico per ogni autenticatore, che non rientra nell'ambito dei protocolli FIDO UAF.

Ad esempio, nel caso di un autenticatore che rileva le impronte digitali, l'utente deve registrare le proprie impronte digitali all'interno dell’autenticatore. Una volta completata la registrazione, l'autenticatore FIDO UAF è pronto per la registrazione sui servizi online e i siti Web abilitati FIDO UAF.

Registrazione

L'architettura FIDO UAF consente al relying party di rilevare in modo trasparente quando un utente in possesso di un autenticatore FIDO UAF inizializzato inizia a interagire con il servizio.

In questa fase iniziale il sito web avviserà l'utente ogni volta che rileva un Autenticatore FIDO UAF, dando all'utente stesso la facoltà di registrarlo o meno sul sito web.

Egomet FIDO UAF architettura di registrazione

Autenticazione

A seguito della registrazione, l'autenticatore FIDO UAF verrà utilizzato ogni volta che l'utente esegue l'autenticazione all'interno del sito web (purché l'autenticatore sia presente).

Il sito web può implementare varie strategie di fallback per le occasioni in cui l'autenticatore FIDO non è presente. Ad esempio potrebbe consentire l'accesso tradizionale con privilegi ridotti oppure non consentire affatto l'accesso.

Questo scenario generale varia leggermente a seconda del tipo di Autenticatore FIDO UAF utilizzato. Alcuni autenticatori possono campionare dati biometrici come un'immagine del volto, un'impronta digitale o un riconoscimento vocale. Altri richiederanno un PIN o una passphrase specifica per l'autenticatore. Altri ancora possono utilizzare semplicemente una chiavetta hardware.

Si noti che è consentito a un client FIDO di interagire con servizi esterni che fanno parte del processo di autenticazione dell'utente all'autenticatore, purché vengano rispettati i principi sulla privacy di FIDO.

Egomet FIDO UAF architettura di autenticazione

Transazione

Esistono vari casi d'uso innovativi possibili per relying parties abilitati FIDO UAF ed utenti finali che utilizzano gli Autenticatori FIDO UAF.

L'accesso al sito web e l'autenticazione step-up sono esempi relativamente semplici. Un caso d'uso un po' più avanzato è l'elaborazione sicura delle transazioni.

Si immagini una situazione in cui un relying party desidera che l'utente finale confermi una transazione (ad esempio, un’operazione finanziaria, un’operazione con autorizzazioni privilegiate e così via) in modo tale da rilevare qualsiasi manomissione di un messaggio di transazione durante il flusso che va fino alla visualizzazione sul display del dispositivo finale e ritorna indietro.

L'architettura FIDO realizza una "transazione sicura" che fornisce questa funzionalità. Fondamentalmente se un autenticatore FIDO UAF ha una funzionalità di visualizzazione della conferma di transazione, l'architettura FIDO UAF assicura che il sistema supporti la modalità “Firmi ciò che vedi” (WYSIWYS o What You See is What You Sign). Da questa funzionalità possono derivare diversi casi d'uso, soprattutto quelli legati all'autorizzazione delle transazioni (inviare denaro, eseguire un'azione privilegiata specifica , confermare e-mail/indirizzo postale e così via).

Egomet FIDO UAF architettura di transazione

Deregistrazione

In alcune situazioni il relying party potrebbe aver bisogno di rimuovere le credenziali UAF associate a un account utente specifico nell’Autenticatore FIDO.

Ad esempio in caso di eliminazione dell'account utente oppure di perdita o furto dell'autenticatore FIDO dell'utente e così via. In questi casi, il relying party può richiedere all’Autenticatore FIDO di eliminare le chiavi di autenticazione associate all'account utente.

Egomet FIDO UAF architettura di deregistrazione

Adozione di nuovi Autenticatori FIDO UAF

Gli autenticatori si evolveranno e ci si aspetta che in futuro ne vengano commercializzati di nuovi. L’architettura FIDO facilita la loro adozione sia da parte degli utenti che dei relying party. Per supportare un nuovo tipo di Autenticatore FIDO UAF, il relying party dovrà solo aggiungere all’interno della propria configurazione una nuova voce che descriva il nuovo autenticatore, insieme all’attestato di conformità FIDO. A questo punto gli utenti finali potranno utilizzare il nuovo tipo di Autenticatore FIDO UAF con i servizi del relying party.

Abbiamo la soluzione che fa per te

Prova gratuitamente il nostro Egomet FIDO UAF SDK oppure richiedi una demo per provare altre soluzioni software.

Scarica FIDO SDK Richiedi una demo