Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà. # Federazione delle identità e Single Sign-On Garantire una gestione coerente delle identità tra i sistemi principali è fondamentale per adottare con successo e in sicurezza qualsiasi tecnologia. Gli istituti scolastici adottano sempre più spesso soluzioni di identità e single sign-on basate sul cloud come [AWS IAM Identity Center](https://aws.amazon.com/iam/identity-center/)Microsoft Entra ID (precedentemente Azure Active Directory), Okta,,, Ping Identity, e CyberArk per semplificare la gestione delle identità JumpCloud OneLogin, ridurre il carico operativo e applicare centralmente le migliori pratiche come l'autenticazione a più fattori e l'accesso con privilegi minimi. Molti di questi istituti mantengono ancora servizi di gestione delle identità e di directory come Active Directory e Shibboleth per i propri ambienti locali. Questi possono essere integrati con soluzioni basate sul cloud per consentire la gestione centralizzata delle identità e il single sign-on per studenti, docenti e personale. I fornitori di soluzioni cloud devono disporre di solide piattaforme di gestione delle easy-to-integrate identità che consentano di federare le identità tramite provider di identità cloud alle applicazioni esistenti, alle soluzioni SaaS e ai servizi cloud. Il diagramma seguente mostra un esempio di architettura. ![\[Identity management flow from on-premises systems to Servizi AWS via cloud identity providers.\]](http://docs.aws.amazon.com/it_it/prescriptive-guidance/latest/strategy-education-hybrid-multicloud/images/identity-sso.png) Questa architettura segue questi consigli: + **Seleziona un provider cloud primario e strategico.**Questa architettura viene utilizzata AWS come provider cloud principale. Integrandosi con un provider di identità cloud e i servizi di gestione delle identità e di directory esistenti in locale, questa architettura supporta il provisioning e la gestione automatizzati dell'accesso sia ai servizi del provider cloud principale che ad altre applicazioni e soluzioni SaaS. Ciò garantisce che i requisiti di sicurezza e governance siano soddisfatti in modo coerente e facile da gestire man mano che ulteriori applicazioni e servizi vengono aggiunti al portafoglio tecnologico dell'istituto. + **Distingui tra applicazioni SaaS e servizi cloud di base.**Questa architettura integra diversi tipi di sistemi di identità basati su cloud, SaaS e locali per fornire l'accesso a servizi e altre applicazioni. Cloud AWS Molti provider di identità basati su cloud e soluzioni Single Sign-On sono anche applicazioni SaaS e possono utilizzare integrazioni native e protocolli standard come SAML per funzionare in più ambienti. + **Stabilisci i requisiti di sicurezza e governance per ogni provider di servizi cloud.**Questa architettura è conforme alle linee guida sulla gestione delle identità e degli accessi emesse da numerosi framework di sicurezza, tra cui il National Institute of Standards and Technology (NIST) Cybersecurity Framework (CSF), NIST 800-171 e NIST 800-53. Le integrazioni con [AWS Organizations](https://aws.amazon.com/organizations/), [AWS Identity and Access Management (IAM)](https://aws.amazon.com/iam/) e altri servizi di [AWS sicurezza, identità e conformità aiutano a fornire controlli di accesso sicuri e granulari basati sulle autorizzazioni](https://aws.amazon.com/products/security/) di gruppo. + **Adotta servizi gestiti nativi per il cloud laddove possibile e pratico.**Questa architettura utilizza servizi gestiti basati sul cloud per la gestione delle identità e il single sign-on. Ciò riduce il tempo e l'energia spesi per la gestione dell'infrastruttura e semplifica la manutenzione di questi sistemi critici. + **Implementa architetture ibride laddove esistenti, gli investimenti locali incentivano l'uso continuato.**Questa architettura integra gli investimenti esistenti e locali nell'infrastruttura per l'hosting dei carichi di lavoro Active Directory, Lightweight Directory Access Control (LDAP) e Shibboleth e fornisce un percorso per spostare infine i principali servizi di identità in un'infrastruttura basata sul cloud. [Inoltre, se i carichi di lavoro locali richiedono un accesso alle risorse basato su certificati, puoi utilizzare Roles Anywhere. AWSAWS Identity and Access Management](https://docs.aws.amazon.com/rolesanywhere/latest/userguide/introduction.html)