This is the Trace Id: 3972e36f151ef6986b6a6b63a5c03865
Passa a contenuti principali Microsoft Defender Microsoft Entra Microsoft Intune Microsoft Purview Microsoft Security Copilot Microsoft Sentinel Visualizza tutti i prodotti Cybersecurity basata su intelligenza artificiale Sicurezza del cloud Sicurezza dati e governance Identità e accesso alla rete Privacy e gestione dei rischi Sicurezza per intelligenza artificiale Piccole e medie imprese SecOps unificate Zero Trust Prezzi Servizi Partner Perché Microsoft Security Sensibilizzazione sulla cybersecurity Storie di clienti Nozioni di base sulla sicurezza Versioni di valutazione dei prodotti Riconoscimento nel settore Microsoft Security Insider Microsoft Digital Defense Report Security Response Center Blog di Microsoft Security Eventi di Microsoft Security Community tecnica Microsoft Documentazione Raccolta di contenuti tecnici Formazione e certificazioni Compliance Program per Microsoft Cloud Centro protezione Microsoft Service Trust Portal Microsoft Secure Future Initiative Hub soluzioni aziendali Contatto vendite Scarica la versione di valutazione gratuita Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft Teams Windows 365 Intelligenza artificiale di Microsoft Azure Space Realtà mista Microsoft HoloLens Microsoft Viva Calcolo quantistico Istruzione Automotive Servizi finanziari Enti pubblici Settore sanitario Produzione Vendita al dettaglio Trova un partner Diventa un partner Rete di partner Microsoft Marketplace Aziende software Blog Microsoft Advertising Centro per sviluppatori Documentazione Eventi Gestione delle licenze Microsoft Learn Microsoft Research Visualizza mappa del sito
Un lavoratore in un contesto industriale usa un tablet per consultare delle informazioni

Che cos'è OIDC?

Scopri di più su OpenID Connect (OIDC), un protocollo di autenticazione che verifica le identità degli utenti quando effettuano l'accesso per accedere alle risorse digitali.
Scopri di più su Microsoft Entra ID

Definizione di OpenID Connect (OIDC)

OpenID Connect (OIDC) è un protocollo di autenticazione delle identità che è un'estensione di open authorization (OAuth) 2.0 per standardizzare il processo di autenticazione e autorizzazione degli utenti quando accedono ai servizi digitali. OIDC fornisce autenticazione, ovvero verifica che gli utenti siano chi dichiarano di essere. OAuth 2.0 autorizza i sistemi a cui tali utenti sono autorizzati ad accedere. OAuth 2.0 viene in genere usato per consentire a due applicazioni non correlate di condividere informazioni senza compromettere i dati utente. Ad esempio, molte persone usano i propri account di posta elettronica o di social media per accedere a un sito di terze parti anziché creare un nuovo nome utente e una nuova password. OIDC viene usato anche per fornire l'accesso Single Sign-On. Le organizzazioni possono usare un sistema di gestione delle identità e degli accessi (IAM) come Microsoft Entra ID (in precedenza Azure Active Directory) come autenticatore principale delle identità e quindi usare OIDC per passare tale autenticazione ad altre app. In questo modo, gli utenti devono effettuare l'accesso una sola volta con un nome utente e una password per accedere a più app.

Componenti chiave di OIDC

In OIDC sono disponibili sei componenti principali:
 
  • L'autenticazione è il processo di verifica dell'identità dell'utente.
  • Un client è il software, ad esempio un sito Web o un'applicazione, che richiede token usati per autenticare un utente o accedere a una risorsa.
  • Le relying party sono le applicazioni che usano provider OpenID per autenticare gli utenti.
  • I token di identità contengono dati sull'identità, tra cui il risultato del processo di autenticazione, un identificatore per l'utente e informazioni su come e quando l'utente viene autenticato.
  • i provider OpenID sono le applicazioni per cui un utente ha già un account. Il loro ruolo in OIDC consiste nell'autenticare l'utente e passare tali informazioni alla relying party.
  • Gli utenti sono persone o servizi che cercano di accedere a un'applicazione senza creare un nuovo account o fornire un nome utente e una password.

Come funziona l'autenticazione OIDC?

L'autenticazione OIDC funziona consentendo agli utenti di accedere a un'applicazione e di ricevere l'accesso a un'altra applicazione. Ad esempio, se un utente vuole creare un account in un sito di notizie, potrebbe avere un'opzione per usare Facebook per creare il proprio account anziché crearne uno nuovo. Se scelgono Facebook, usano l'autenticazione OIDC. Facebook, definito come provider OpenID, gestisce il processo di autenticazione e ottiene il consenso dell'utente per fornire informazioni specifiche, come un profilo utente, al sito di notizie, che è la relying party.

Token ID

Il provider OpenID usa i token ID per trasmettere i risultati dell'autenticazione ed eventuali informazioni pertinenti alla relying party. Esempi del tipo di dati inviati includono un ID, un indirizzo di posta elettronica e un nome.

Ambiti

Gli ambiti definiscono le operazioni che l'utente può eseguire con l'accesso. OIDC fornisce ambiti standard, che definiscono elementi quali la relying party per cui è stato generato il token, la data di generazione del token, la scadenza del token e il livello di crittografia usato per autenticare l'utente.

Un tipico processo di autenticazione OIDC include i passaggi seguenti:
 
  1. Un utente passa all'applicazione a cui vuole accedere (il relying party).
  2. L'utente digita il nome utente e la password.
  3. Il relying party invia una richiesta al provider OpenID.
  4. Il provider OpenID convalida le credenziali dell'utente e ottiene l'autorizzazione.
  5. Il provider OpenID invia un token di identità e spesso un token di accesso al relying party.
  6. Il relying party invia il token di accesso al dispositivo dell'utente.
  7. All'utente viene concesso l'accesso in base alle informazioni fornite nel token di accesso e nella relying party. 

Che cosa sono i flussi OIDC?

I flussi OIDC definiscono la modalità di richiesta e recapito dei token alla relying party. Alcuni esempi:
 
  • Flussi di autorizzazione OIDC: il provider OpenID invia un codice univoco alla relying party. La relying party quindi invia di nuovo il codice univoco al provider OpenID in cambio del token. Questo metodo viene usato in modo che il provider OpenID possa verificare il relying party prima di inviare il token. Il browser non può visualizzare il token in questo metodo, che quindi rimane al sicuro.
  • Flussi di autenticazione OIDC con estensione PKCE: questo flusso è lo stesso del flusso di autorizzazione OIDC, ad eccezione del fatto che usa una chiave pubblica per l'estensione PKCE (Code Exchange) per inviare le comunicazioni come hash. Ciò riduce le probabilità che il token venga intercettato.
  • Credenziali client: questo flusso consente di accedere alle API Web usando l'identità dell'applicazione stessa. In genere viene usato per la comunicazione da server a server e per script automatizzati che non richiedono alcuna interazione da parte dell'utente.
  • Codice dispositivo: questo flusso consente agli utenti di effettuare l'accesso e accedere alle API basate sul Web su dispositivi connessi a Internet che non hanno browser o presentano un'esperienza tramite tastiera scadente, ad esempio una smart TV.
I flussi aggiuntivi, ad esempio il flusso implicito OIDC, progettato per le applicazioni basate su browser, non sono consigliati perché rappresentano un rischio per la sicurezza.



Confronto tra OIDC e OAuth 2.0

OIDC è stato basato su OAuth 2.0 per aggiungere l'autenticazione. Il protocollo OAuth 2.0 è stato sviluppato per primo e quindi è stato aggiunto OIDC per migliorare le funzionalità. La differenza tra i due è che OAuth 2.0 fornisce l'autorizzazione, mentre OIDC fornisce l'autenticazione. OAuth 2.0 consente agli utenti di accedere a un relying party, usando il proprio account con un provider OpenID, e OIDC consente al provider OpenID di passare un profilo utente al relying party. OIDC consente inoltre alle organizzazioni di offrire agli utenti l'accesso Single Sign-On.



Vantaggi dell'autenticazione OIDC

Riducendo il numero di account necessari agli utenti per accedere alle app, OIDC offre diversi vantaggi a singoli utenti e organizzazioni:

Riduce il rischio di furto di password

Quando gli utenti devono usare più password per accedere alle app necessarie per il lavoro e la vita privata, spesso scelgono password facili da memorizzare, ad esempio Password1234!, e usano la stessa password in diversi account. Ciò aumenta il rischio che un attore non valido possa indovinare una password. E una volta che conoscono la password di un account, potrebbero essere in grado di accedere anche ad altri account. Riducendo il numero di password che un utente deve memorizzare, aumenta le probabilità che usi una password più forte e più sicura.

Migliora i controlli di sicurezza

Centralizzando l'autenticazione in un'app, le organizzazioni possono anche proteggere l'accesso tra più app con controlli di accesso avanzati. Supporto OIDC a due fattori e l'autenticazione a più fattori, che richiedono agli utenti di verificare la propria identità usando almeno due dei seguenti elementi:
 
  • Qualcosa che l'utente conosce, in genere una password.
  • Qualcosa che possiedono, ad esempio un dispositivo attendibile o un token non facilmente duplicabile. 
  • Qualcosa che l'utente è, come un'impronta digitale o una scansione del viso.
L'autenticazione a più fattori è un metodo collaudato per ridurre la compromissione dell'account. Le organizzazioni possono anche usare OIDC per applicare altre misure di sicurezza, ad esempio gestione degli accessi con privilegi, protezione delle password, protezione degli accessi o protezione delle identità, in più app.

Semplifica l'esperienza utente

L'accesso a più account durante la giornata può richiedere molto tempo ed essere frustrante per le persone. Inoltre, se perdono o dimenticano una password, la reimpostazione può compromettere ulteriormente la produttività. Le aziende che usano OIDC per fornire l'accesso Single Sign-On ai dipendenti contribuiscono a garantire che la forza lavoro passi più tempo al lavoro produttivo anziché tentare di ottenere l'accesso alle app. Le organizzazioni semplificano anche l'iscrizione dei clienti ai loro servizi consentendo loro di usare il proprio account Microsoft, Facebook o Google per l'accesso.

Standardizza l'autenticazione

OpenID Foundation, che include marchi di alto profilo come Microsoft e Google, ha creato OIDC. È stato progettato per essere interoperabile e supporta molte piattaforme e librerie, tra cui iOS, Android, Microsoft Windows e i principali provider di identità e cloud.

Semplifica la gestione delle identità

Le organizzazioni che usano OIDC per fornire l'accesso Single Sign-On per i propri dipendenti e partner possono ridurre il numero di soluzioni di gestione delle identità che devono gestire. In questo modo è più semplice tenere traccia della modifica delle autorizzazioni e consentire agli amministratori di usare un'unica interfaccia per applicare criteri e regole di accesso tra più app. Le aziende che usano OIDC per consentire agli utenti di accedere alle proprie app usando un provider OpenID riducono il numero di identità che devono gestire.

Esempi e casi d'uso di OIDC

Molte organizzazioni usano OIDC per abilitare l'autenticazione sicura tra app Web e per dispositivi mobili. Ecco alcuni esempi:
 
  • quando un utente si registra per un account Spotify, gli vengono offerte tre opzioni: Registrati con Facebook, Registrati con Google, Registrati con il tuo indirizzo e-mail. Gli utenti che scelgono di registrarsi con Facebook o Google usano OIDC per creare un account. Verranno reindirizzati a qualsiasi provider OpenID selezionato (Google o Facebook) e quindi, dopo aver eseguito l'accesso, il provider OpenID invierà i dettagli del profilo di base di Spotify. L'utente non deve creare un nuovo account per Spotify e le password rimangono protette.
     
  • LinkedIn offre anche agli utenti un modo per creare un account usando il proprio account Google anziché creare un account separato per LinkedIn.
     
  • Un'azienda vuole fornire l'accesso Single Sign-On ai dipendenti che devono accedere a Microsoft Office 365, Salesforce, Box e Workday per svolgere il proprio lavoro. Invece di richiedere ai dipendenti di creare un account separato per ognuna di queste app, l'azienda usa OIDC per fornire l'accesso a tutte e quattro le app. I dipendenti creano un account e ogni volta che accedono ottengono l'accesso a tutte le app necessarie per il lavoro.

Implementa OIDC per l'autenticazione sicura

OIDC fornisce un protocollo di autenticazione per semplificare le esperienze di accesso per gli utenti e migliorare la sicurezza. Si tratta di un'ottima soluzione per le aziende che vogliono incoraggiare i clienti a iscriversi ai propri servizi senza dover gestire gli account. Consente inoltre alle organizzazioni di offrire ai propri dipendenti e ad altri utenti l'accesso Single Sign-On sicuro a più app. Le organizzazioni possono usare soluzioni di identità e accesso che supportano OIDC, ad esempio Microsoft Entra, per gestire tutte le identità e i criteri di sicurezza di autenticazione in un'unica posizione.



Risorse

Scopri di più su Microsoft Security

  1.
Un uomo e una donna seduti a un tavolo, con la donna che scrive su un libro e un portatile visibile.

Microsoft Entra ID

Connetti in modo sicuro dipendenti, clienti e partner alle app, ai dispositivi e ai dati con una soluzione cloud di gestione delle identità e degli accessi.
Scopri di più su Microsoft Entra ID
Una persona seduta alla scrivania che usa un portatile.

Microsoft Entra ID Governance

Garantisce automaticamente che le persone giuste abbiano accesso alle app corrette.
Scopri di più su Microsoft Entra ID Governance
Una donna che guarda il suo cellulare.

ID verificato di Microsoft Entra

Fornisci identità decentralizzate con un servizio di credenziali verificabili gestite in base a standard aperti.
Scopri di più sull'ID verificato di Microsoft Entra
Un gruppo di tre persone in un ufficio luminoso, sorridenti e concentrate mentre guardano un portatile tenuto da una sola persona.

ID dei carichi di lavoro di Microsoft Entra

Gestisci e proteggi le identità garantite ad app e servizi.
Scopri di più su ID dei carichi di lavoro di Microsoft Entra
Torna alla sezione Prodotti correlati
DOMANDE FREQUENTI

Domande frequenti

  • OIDC è un protocollo di autenticazione delle identità che funziona con OAuth 2.0 per standardizzare il processo di autenticazione e autorizzazione degli utenti quando accedono ai servizi digitali. OIDC fornisce autenticazione, ovvero verifica che gli utenti siano chi dichiarano di essere. OAuth 2.0 autorizza i sistemi a cui tali utenti sono autorizzati ad accedere. OIDC e Auth 2.0 vengono in genere usati per consentire a due applicazioni non correlate di condividere informazioni senza compromettere i dati dell'utente.
  • Sia OIDC sia Security Assertion Markup Language SAML sono protocolli di autenticazione delle identità che consentono agli utenti di eseguire l'accesso in modo sicuro una sola volta e di accedere a più applicazioni. SAML è un protocollo meno recente ampiamente adottato per l'accesso Single Sign-On. Trasmette i dati usando il formato XML. OIDC è un protocollo più recente che usa il formato JSON per trasmettere i dati utente. OIDC sta acquisendo popolarità perché è più facile da implementare rispetto a SAML e funziona meglio con le applicazioni per dispositivi mobili.
  • OIDC è l'acronimo del protocollo OpenID Connect, ovvero un protocollo di autenticazione delle identità usato per consentire a due applicazioni non correlate di condividere le informazioni del profilo utente senza compromettere le credenziali utente.
  • OIDC è stato basato su OAuth 2.0 per aggiungere l'autenticazione. Il protocollo OAuth 2.0 è stato sviluppato per primo e quindi è stato aggiunto OIDC per migliorare le funzionalità. La differenza tra i due è che OAuth 2.0 fornisce l'autorizzazione, mentre OIDC fornisce l'autenticazione. OAuth 2.0 consente agli utenti di accedere a un relying party, usando il proprio account con un provider OpenID, e OIDC consente al provider OpenID di passare un profilo utente al relying party. Questa funzionalità consente inoltre alle organizzazioni di offrire agli utenti l'accesso Single Sign-On. I flussi OAuth 2.0 e OIDC sono simili, ad eccezione del fatto che usano una terminologia leggermente diversa.

    Un tipico flusso OAuth 2.0 prevede i passaggi seguenti:
     
    1. Un utente passa all'applicazione a cui vuole accedere (il server delle risorse).
    2. Il server delle risorse reindirizza l'utente all'applicazione in cui ha un account (il client).
    3. L'utente accede usando le proprie credenziali per il client.
    4. Il client convalida l'accesso dell'utente.
    5. Il client invia un token di accesso al server di risorse.
    6. Il server delle risorse concede l'accesso all'utente.
       
    Un tipico flusso OIDC prevede i passaggi seguenti:
     
    1. Un utente passa all'applicazione a cui vuole accedere (il relying party).
    2. L'utente digita il nome utente e la password.
    3. Il relying party invia una richiesta al provider OpenID.
    4. Il provider OpenID convalida le credenziali dell'utente e ottiene l'autorizzazione.
    5. Il provider OpenID invia un token di identità e spesso un token di accesso al relying party.
    6. Il relying party invia il token di accesso al dispositivo dell'utente.
    7. All'utente viene concesso l'accesso in base alle informazioni fornite nel token di accesso e nella relying party.
  • Il provider OpenID usa i token ID per trasmettere i risultati dell'autenticazione ed eventuali informazioni pertinenti all'applicazione relying party. Esempi del tipo di dati inviati includono un ID, un indirizzo di posta elettronica e un nome.

Segui Microsoft Security

Surface Pro Surface Laptop Copilot per le organizzazioni Copilot per l'utilizzo personale Microsoft 365 Esplora i prodotti Microsoft App di Windows 11 Profilo account Download Center Supporto Microsoft Store Resi Monitoraggio ordini Riciclaggio Garanzie commerciali Microsoft Education Dispositivi per l'istruzione Microsoft Teams per l'istruzione Microsoft 365 Education Office Education Formazione e sviluppo per gli insegnanti Offerte per studenti e genitori Azure per studenti
Intelligenza artificiale di Microsoft Microsoft Security Azure Dynamics 365 Microsoft 365 Microsoft 365 Copilot Microsoft Teams Piccole imprese Sviluppatore Microsoft Microsoft Learn Supporto per le app del marketplace di IA Microsoft Tech Community Microsoft Marketplace Microsoft Power Platform Aziende software Visual Studio Opportunità di carriera Informazioni su Microsoft Notizie aziendali Privacy in Microsoft Investitori Accessibilità
Italiano (Italia) Privacy per l'integrità dei consumer Riferimenti societari Contatta Microsoft Privacy Gestisci i cookie Condizioni per l'utilizzo Marchi Informazioni sulle inserzioni EU Compliance DoCs