FIDO UAF: una panoramica tecnica
Questa documentazione ti servirà per capire meglio quali sono i componenti di FIDO UAF ed attraverso alcuni schemi architetturali potrai avere una panoramica della nostra soluzione.
Come funziona
FIDO UAF
Configurazione dell'autenticatore
Il dispositivo mobile viene certificato attraverso il rilevamento dei dati biometrici dell'utente. Contemporaneamente viene creata una coppia di chiavi: una chiave privata memorizzata in modo sicuro nel dispositivo dell’utente ed una chiave pubblica condivisa con il FIDO UAF server.
Autorizzazione online
Durante la procedura di autenticazione all'interno di un servizio online (RP - relying party) il client invia ad un server FIDO una richiesta contenente i dettagli della transazione che l'utente desidera effettuare. Il server verifica l'identità del dispositivo e autorizza il client attraverso un processo di verifica basato su un'infrastruttura a chiave pubblica (PKI).
FIDO UAF: l’architettura ad alto livello
L'architettura FIDO UAF è progettata per soddisfare gli obiettivi FIDO e generare i vantaggi desiderati. Ciò avviene colmando le lacune dello status-quo attraverso protocolli e API standardizzati. Nel seguente diagramma riepiloghiamo l'architettura di riferimento e il modo in cui i relativi componenti sono correlati ai dispositivi dell’utente e ai relying party.

I componenti di FIDO UAF
Client
Questo componente implementa il lato client dei protocolli FIDO UAF ed è responsabile di:
- Interagire con specifici autenticatori FIDO UAF utilizzando il layer Authenticator Abstraction di FIDO UAF tramite le API Autenticatore FIDO UAF.
- Interagire con l’utente sul dispositivo (ad esempio con un'app per dispositivi mobili o un browser) utilizzando interfacce-utente specifiche per comunicare con il server FIDO UAF. Ad esempio, un plug-in per browser specifico di FIDO potrebbe utilizzare le interfacce di plug-in del browser già esistenti o un'app per dispositivi mobili potrebbe usare un SDK specifico di FIDO. Lo user agent è quindi responsabile di trasmettere i messaggi FIDO UAF al server FIDO UAF del relying party.
L'architettura FIDO UAF garantisce che il software FIDO client possa essere implementato per una vasta gamma di sistemi, sistemi operativi e web browser. Mentre il FIDO client è generalmente multi-piattaforma, le interazioni tra i componenti devono invece garantire un'esperienza utente coerente da piattaforma a piattaforma.
Autenticatore
Un autenticatore FIDO UAF è un'entità sicura, connessa o ospitata all'interno di dispositivi FIDO, che può creare una chiave associata a un relying party. La chiave può quindi essere utilizzata per partecipare ai protocolli di autenticazione avanzata FIDO UAF.
Ad esempio, l'autenticatore FIDO UAF è in grado di fornire una risposta a una challenge crittografica attraverso la chiave, permettendo in tal modo di autenticarsi al servizio del relying party. Al fine di semplificare l'integrazione di funzionalità di autenticazione affidabili, un autenticatore FIDO UAF sarà in grado di attestare il proprio particolare tipo (ad esempio: biometrico) e le proprie funzionalità (ad esempio gli algoritmi crittografici che supporta), nonché la propria provenienza. Ciò garantisce al relying party un elevato grado di probabilità che l'utente da autenticare sia effettivamente l'utente originariamente registrato nel sito.
Server
Questo componente implementa il lato server dei protocolli FIDO UAF ed è responsabile di:
- Interagire con il web server del relying party per comunicare i messaggi del protocollo FIDO UAF a un client FIDO UAF tramite un dispositivo dell’utente.
- Convalidare gli attestati dell'autenticatore FIDO UAF nei confronti del metadata dell'autenticatore configurato per garantire che solo gli autenticatori attendibili siano registrati per l'utilizzo.
- Gestire l'associazione fra gli autenticatori FIDO UAF registrati e gli account utente presenti presso il relying party.
- Valutare l'autenticazione utente e le conferme di transazione per determinarne la validità.
La panoramica è abbastanza per te?
Preparati ad utilizzare FIDO. Scarica FIDO SDK gratuitamente.
Scenari di utilizzo e flussi del protocollo FIDO UAF
Acquisizione dell'autenticatore FIDO UAF e registrazione degli utenti
Si prevede che gli utenti acquisiranno gli autenticatori FIDO UAF in vari modi: acquistano un nuovo sistema che viene fornito con la funzionalità di autenticazione FIDO UAF incorporata; acquistano un dispositivo con un autenticatore FIDO UAF incorporato oppure ricevono un FIDO Authenticator dal proprio datore di lavoro o da un’altra istituzione (ad esempio la banca). Dopo aver ricevuto un autenticatore FIDO UAF, l'utente deve effettuare un processo di registrazione specifico per ogni autenticatore, che non rientra nell'ambito dei protocolli FIDO UAF.
Ad esempio, nel caso di un autenticatore che rileva le impronte digitali, l'utente deve registrare le proprie impronte digitali all'interno dell’autenticatore. Una volta completata la registrazione, l'autenticatore FIDO UAF è pronto per la registrazione sui servizi online e i siti Web abilitati FIDO UAF.
Registrazione
L'architettura FIDO UAF consente al relying party di rilevare in modo trasparente quando un utente in possesso di un autenticatore FIDO UAF inizializzato inizia a interagire con il servizio.
In questa fase iniziale il sito web avviserà l'utente ogni volta che rileva un Autenticatore FIDO UAF, dando all'utente stesso la facoltà di registrarlo o meno sul sito web.
Autenticazione
A seguito della registrazione, l'autenticatore FIDO UAF verrà utilizzato ogni volta che l'utente esegue l'autenticazione all'interno del sito web (purché l'autenticatore sia presente).
Il sito web può implementare varie strategie di fallback per le occasioni in cui l'autenticatore FIDO non è presente. Ad esempio potrebbe consentire l'accesso tradizionale con privilegi ridotti oppure non consentire affatto l'accesso.
Questo scenario generale varia leggermente a seconda del tipo di Autenticatore FIDO UAF utilizzato. Alcuni autenticatori possono campionare dati biometrici come un'immagine del volto, un'impronta digitale o un riconoscimento vocale. Altri richiederanno un PIN o una passphrase specifica per l'autenticatore. Altri ancora possono utilizzare semplicemente una chiavetta hardware.
Si noti che è consentito a un client FIDO di interagire con servizi esterni che fanno parte del processo di autenticazione dell'utente all'autenticatore, purché vengano rispettati i principi sulla privacy di FIDO.
Transazione
Esistono vari casi d'uso innovativi possibili per relying parties abilitati FIDO UAF ed utenti finali che utilizzano gli Autenticatori FIDO UAF.
L'accesso al sito web e l'autenticazione step-up sono esempi relativamente semplici. Un caso d'uso un po' più avanzato è l'elaborazione sicura delle transazioni.
Si immagini una situazione in cui un relying party desidera che l'utente finale confermi una transazione (ad esempio, un’operazione finanziaria, un’operazione con autorizzazioni privilegiate e così via) in modo tale da rilevare qualsiasi manomissione di un messaggio di transazione durante il flusso che va fino alla visualizzazione sul display del dispositivo finale e ritorna indietro.
L'architettura FIDO realizza una "transazione sicura" che fornisce questa funzionalità. Fondamentalmente se un autenticatore FIDO UAF ha una funzionalità di visualizzazione della conferma di transazione, l'architettura FIDO UAF assicura che il sistema supporti la modalità “Firmi ciò che vedi” (WYSIWYS o What You See is What You Sign). Da questa funzionalità possono derivare diversi casi d'uso, soprattutto quelli legati all'autorizzazione delle transazioni (inviare denaro, eseguire un'azione privilegiata specifica , confermare e-mail/indirizzo postale e così via).
Deregistrazione
In alcune situazioni il relying party potrebbe aver bisogno di rimuovere le credenziali UAF associate a un account utente specifico nell’Autenticatore FIDO.
Ad esempio in caso di eliminazione dell'account utente oppure di perdita o furto dell'autenticatore FIDO dell'utente e così via. In questi casi, il relying party può richiedere all’Autenticatore FIDO di eliminare le chiavi di autenticazione associate all'account utente.
Adozione di nuovi Autenticatori FIDO UAF
Gli autenticatori si evolveranno e ci si aspetta che in futuro ne vengano commercializzati di nuovi. L’architettura FIDO facilita la loro adozione sia da parte degli utenti che dei relying party. Per supportare un nuovo tipo di Autenticatore FIDO UAF, il relying party dovrà solo aggiungere all’interno della propria configurazione una nuova voce che descriva il nuovo autenticatore, insieme all’attestato di conformità FIDO. A questo punto gli utenti finali potranno utilizzare il nuovo tipo di Autenticatore FIDO UAF con i servizi del relying party.
Abbiamo la soluzione che fa per te
Prova gratuitamente il nostro Egomet FIDO UAF SDK oppure richiedi una demo per provare altre soluzioni software.
Scarica FIDO SDK Richiedi una demo