Con il continuo sviluppo dell‘ e-business, nasce la necessità di gestire in modo efficiente l‘accesso ad informazioni ed applicazioni aziendali, senza diminuire il livello di sicurezza o esporre delle informazioni sensibili.Le identità utente sono replicate in modo quasi casuale attraverso molteplici applicazioni rendondo la funzione di amministratore di sistema di certo non invidiabile. All‘interno di questo articolo cerchiamo di vedere quali sono i blocchi principali di un sistema di identity management
“L‘esperienza umana di IDENTITA‘ è costruita su due elementi: un senso di appartenenza e un senso di separazione.”
Salvador Minuchin, 1974
Introduzione
“Identità ” è definito come l‘insieme dei caratteri peculiari, il complesso delle generalità , l‘insieme delle caratteristiche fisiche e dei dati anagrafici che contraddistinguono un individuo.
Le aziende sono costruite da persone che entrano a far parte di uno staff (permanente o temporaneo). Alla persona è assegnato un ruolo ed è chiesto di agire in questo contesto. Le persone cambiano ruolo, creando la necessità di gestire attivamente le informazioni di accesso alle risorse e soprattutto gestirle attraverso un ciclo di vita, spesso attraverso sistemi differenti.
Nel contempo, le attività aziendali si stanno sempre più automatizzando – sempre più dipendenti da un‘ ampio spettro di applicazioni come i CRM, ERP, SCP, HR database, corporate directory, e così via. Mentre queste applicazioni servono a razionalizzare i processi di business, creano anche un ambiente dove i dati utente sono spesso frammentati, duplicati ed obsoleti, ed i processi ridondati per mancanza di visibilità e controllo.
Le conseguenze di questa struttura così frammentata sono la mancanza di sicurezza, necessità di supportare costi elevati per l‘amministrazione utenti, mancata realizzazione di opportunità di business, mancanza di compliance agli standard e leggi in vigore, catena di supply insufficiente, perdite finanziarie.
Nasce così la necessità di un approccio integrato alla gestione delle identità utente per automatizzare, accelerare,e semplificare la creazione e manutenzione delle identità di accesso alle risorse. Identity Management (IdM) è una convergenza di tecnologie e processi di business: un set di processi, ed infrastrutture di supporto, per la creazione, manutenzione, ed utilizzo di identità digitali.
Nella Figura 1, possiamo vedere a grandi linee com‘è strutturato un sistema di Identity Management.
Un framework per identity management
Identity Management è un set di processi che si estende attraverso l‘ infrastruttura di rete aziendale che permettono all‘utente di accedere in modo sicuro ai vari sistemi interni ed esterni.
Le soluzioni di Identity Management costruiscono una solida infrastruttura di sicurezza., implementando un framework di autenticazione tramite password o certificato, permettendo quindi la manutenzione di policy di sicurezza molto rigide per il controllo accessi.
Identity management rappresenta la convergenza di prodotti, precedentemente separati, in una suite di servizi per fornire una soluzione ad una serie di problemi tra loro correlati. I sistemi di Identity Management solitamente sono scomposti in livelli, dove ogni livello offre servizi al livello superiore. Un resoconto è riportato di seguito.
Di seguito, in Figura 3, possiamo vedere come concettualemente si presenta un‘architettura di Identity Management. Al livello inferiore trovano posto le sorgenti di informazioni circa i dati di accesso per le persone già presenti in azienda. Questi dati, solitamente, si trovano in forme duplicate e senza un comune identificatore; è compito dei Data Services di integrare, uniformare e normalizzare le informazioni di identità utente. A livello intermedio, middle tier, vari strumenti collaborano per processare le informazioni, fornendo successivamente risposta al livello superiore (applicazioni) ed aggiornando le informazioni presenti nel livello inferiore. Il motore del sistema di identity management esegue le funzioni di autenticazione ed autorizzazione, ma possono anche essere integrati con altre funzioni aziendali come il motore di workflow, integrazione con applicazioni aziendali, e con i sistemi di content management. Il livello superiore, top tier, contiene le applicazioni che consumano e producono le informazioni di identity management che nella maggior parte delle circostanze, chiede l‘autorizzazione al livello inferiore (middle tier). All‘interno di quest‘ultimo sono incluse le applicazioni core del sistema di identity management: le applicazioni di provisioning, il sistema di self-service (es., per semplificare il reset delle password), il sistema di auditing e reporting. E‘ importante, quindi, che le applicazioni aziendali e dipartimentali utilizzino le risorse di identity management per autenticare ed autorizzare l‘accesso al sistema.
Soluzioni di identity management
La soluzione di Identity Management gioca un ruolo centrale nell‘infrastruttura IT, in quanto parte funzionale dei processi di business, per questo la scelta di una soluzione di IdM deve prendere in considerazione le necessità degli utenti come anche le possibili implicazioni politiche di posizionare un‘infrastruttura di Identity Management che andrà a toccare tutti i ruoli aziendali.
Possiamo distinguere tra due approcci proposti dai vari fornitori di soluzioni o prodotti di Identity Management, Point Identity Management Products e Full Suite Identity Management Solutions.
Point Identity Management Products – tipicamente focalizzati nello sviluppo di parte della più completa infrastruttura di Identity Management, come i servizi di Directory Services o Provisioning. Fornitori che offrono questo tipo di prodotto: BMC, Courion, MaxWare, Thor, ed altri.
Full Suite Identity Management Solutions – fornisce un framework completo di Identity Management – dall‘autenticazione utente ai servizi di directory integration. In alcuni casi, queste soluzioni possono essere disponibili come componenti singoli. Fornitori che offrono questo tipo di prodotto sono tipicamente software vendors, ed includono: Computer Associates, HP, IBM, Microsoft, Novell, Oracle, Siemens, Sun Microsystems, ed altri.
L‘utilizzo di soluzioni Point Identity Management richiede la successiva integrazione dei singoli prodotti per formare una piattaforma completa di Identity Management. La piattaforma risultante, a sua volta, deve poi essere integrata con ogni singola applicazione aziendale – un processo che richiede tempo e denaro, ed un grosso sforzo di consulenza professionale per completare il processo di integrazione.
Oltre questo il rischio di non conoscere la visione futura di un vendor nel rispetto di quella particolare soluzione.
Inoltre, l‘amministrazione di ogni prodotto deve essere effettuata singolarmente per prodotto, rendendo quindi onerosa e difficile le attività di organizzazione efficiente degli utenti, implementazione degli standard, e delle policy aziendali.
Le soluzioni Full Suite Identity Management, d‘altro canto, contengono al proprio interno diversi servizi pre-integrati da un singolo vendor e che possono essere installati in un ambiente certificato e supportato.
L‘architettura unificata delle soluzioni di Full Suite Identity Management facilitano l‘implementazione degli standard, policies aziendali e permettono l‘amministrazione centralizzata. Tramite questo approccio, il sistema di Identity Management diventa più facile, ed alla fine dei conti anche meno onerosa da gestire.
Sebbene le soluzioni di Point products abbiano un costo iniziale minore, il costo di integrazione di questi prodotti è di molto superiore al costo di acquisto di una soluzione Full Suite Identity Management – per questo individuata come miglior investimento.
Funzionalità chiave di una soluzione di Identity Management
Ci sono alcuni requisiti critici che l‘azienda deve considerare nella selezione di una suite di Identity Management. Queste caratteristiche giocano un ruolo importante nell‘efficienza della piattaforma di Identity Management, ed infine determinano se una soluzione fornirà o meno un ROI positivo.
L‘azienda dovrà prendere in considerazione anche i futuri requisti tecnologici dell‘ infrastruttura di Management. La piattaforma deve fornire flessibilità , in termini di supporto e scalabilità , per aderire agli standard emergenti e favorire l‘inserimento di nuovi utenti ed applicazioni.
Single Sign-On
Le funzioni di Single Sign-On sono una caratteristica cruciale che può sostenere la produttività dell‘utente finale ed elevare il livello di sicurezza. Con queste funzionalità , l‘utente può accedere a più applicazioni e processi attraverso un portale, con un singolo ID e credenziali utente. Le funzioni di Single Sign-On devono contenere il supporto per varie credenziali di sicurezza incluso i token ed i certificati digitali. In questo ambiente, l‘amministratore può gestire centralmente i privilegi di accesso degli utenti. Il livello di sicurezza è elevato perché l‘utente accede alle risorse tramite un unico punto di accesso.
PKI
La PKI crea un framework di cifratura per validare l‘identità utente tramite credenziali di sicurezza come i certificati digitali. Per molte aziende, la PKI è uno strumento critico per la comunicazione interna ed esterna, come anche per essere conformi agli standard. Una soluzione di PKI completa deve includere una Certificate Authority ed offrire il supporto per i certificati X.509 v3 e le password asimmetriche.
Directory Integration Services
I servizi Directory e di Directory Integration connettono il servizio di autenticazione alle applicazioni di back-end. Per assicurare l‘accesso alle applicazioni, questi componenti devono offrire il supporto nativo per le risorse aziendali in essere. Senza questo supporto, l‘azienda dovrebbe sostenere dei costi di integrazione per consolidare gli strumenti di amministrazione delle varie applicazioni, altrimenti frammentate per tutta l‘infrastruttura aziendale.
Flessibilità amministrativa
Concluso il processo di integrazione della soluzione di Identity Management, i privilegi di accesso da parte dell‘utente finale sono gestiti tramite il servizio di provisioning. Questa funzionalità deve essere sufficientemente flessibile per permettere la centralizzazione delle funzioni di amministrazione o la possibilità di delegare l‘attività ad uno specifico dipartimento. L‘utente finale deve essere in grado di gestire autonomamente il proprio account ed eventualmente modificare la propria password.
Se così non fosse , il rischio è quello di aumentare i costi di amministrazione, e rallentare il processo di provisioning e de-provisioning degli utenti.
Inoltre, tramite le funzionalità di self-administration, l‘utente finale può modificare la propria passwords e gestire le informazioni dell‘account utente senza richiedere l‘assistenza dello staff di help desk – funzionalità chiave per ridurre i costi di help-desk.
Federation Services
Le funzioni del servizio di Identity Management possono essere estese a partners esterni o più semplicemente ad altre aziende del gruppo tramite il servizio di Federation. Tramite il supporto di alcuni standard come SAML, Liberty Alliance, ed altri standard di federation emergenti, l‘azienda può definitivamente consolidare le relazioni di business con partners esterni. Senza questa funzionalità , gli amministratori devono mantenere dei data stores separati per terze parti e gestire manualmente i dati degli utenti esterni.
Conclusioni
Lo scopo di questo articolo è fornire una visione di massime delle definizioni e principi di una soluzione di Identity Management. Il problema che Identity Management cerca di risolvere è significativo, ed ha il suo rilievo in ogni area di business dell‘azienda. Nello stesso modo, la sfida è considerevole e comprende la soluzioni di problemi organizzativi come anche tecnici. Tra i benefici legati all‘utilizzo di una suite di Identity Management, troviamo la riduzione degli errori nell‘inserimento dei dati di autenticazione/autorizzazione,riduzione dei rischi di sicurezza legati all‘utilizzo di procedure manuali, la gestione non accurata dei ruoli e delle persone, riduzione dei costi di manutenzione legati alle operazioni manuali, miglior utilizzo delle risorse, riduzione dei tempi richiesti per l‘esecuzione delle procedure, riduzione dei costi di amministrazione consolidando i dati utente presenti su molteplici sorgenti di dati, possibilità di avere una visione completa e concreta degli utenti.
Riferimenti
[1]
The Radicati Group,Inc, “Reducing Costs and Improving Productivity with an Identity Management Suite”, white paper, 2004
[2]
Maxware, “Identity Management. Implementation and benefits”, 2002
[3]
ePresence ” Secure Identity Management: Building a Real World Infrastructure”, Digital ID World Conference, 2002