Identity & Access Management (IAM)

I sistemi utilizzati per l’Identity Access Management, ovvero per la gestione delle identità e degli accessi (IAM), includono sistemi Single Sign-On, autenticazione multifattoriale e gestione degli accessi, integrate con uno strato “middleware”, ovvero piattaforme Enterprise Service Bus (ESB), con la responsabilità primaria di connettere fra loro applicazioni e servizi eterogenei di una Service-Oriented Architecture (SOA). Queste tecnologie offrono anche la possibilità di archiviare in modo sicuro dati di identità e di profilo, offrendo alti standard di Sicurezza.

Con Identity Management (IM) si intendono i sistemi integrati di tecnologie, criteri e procedure in grado di consentire alle organizzazioni di facilitare – e al tempo stesso controllare – gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.

Sono molti i software e sistemi che offrono servizi di Identity Management. Questi sistemi offrono un insieme di servizi: i principali sono:

  • Account Management
  • Compliance Management
  • Multifactor Authentication
  • Single Sign On
  • Password Management
  • User Activity Monitoring
  • Role Management

Un “Identity and access management (IAM)” è un framework per processi aziendali che facilita la gestione di identità elettroniche o digitali. Il framework include le politiche organizzative per la gestione dell’identità digitale e le tecnologie necessarie per supportare la gestione delle identità.

Lo scenario in cui una soluzione IAM si applica è un contesto caratterizzato da realtà aziendali multi-funzionali dove occorre costantemente rispettare l’esigenza di conformità a leggi, normative e standard, in cui l’ambito tecnologico è sempre più complesso e richiede una forte regolamentazione e controllo delle credenziali degli utenti e del controllo, ovvero gestire ciò che viene definita “Identità Digitale”.

In questo contesto, l’accesso è la capacità di un singolo utente di eseguire un’attività specifica, come visualizzare, creare o modificare un file. I ruoli sono definiti in base alla competenza professionale, all’autorità e alla responsabilità all’interno dell’azienda.

ESB: Enterprise Service Bus

Un ESB (enterprise service bus) è una piattaforma integrata che fornisce servizi di interazione e comunicazione fondamentali per applicazioni software complesse tramite un motore di messaggistica basato su eventi e basato su standard, o bus, realizzato con tecnologie di prodotto dell’infrastruttura middleware.

L’ESB è un’architettura di integrazione di applicazioni su un’infrastruttura Bus, caratterizzata da una serie di regole e principi. Questo middleware ha la responsabilità primaria di connettere fra loro applicazioni e servizi eterogenei di una SOA (Service-Oriented Architecture). L’ESB è importante per trasferire, trasformare, inviare messaggi (dati che il sistema invia all’utente o ad un provider di servizi – SP – per informarli sullo stato di un’operazione, o di errori o altre condizioni) al provider di servizio più opportuno. In questo modo, si semplificano i compiti sia dell’utente che del provider dei servizi. Infatti, esso unifica i diversi metodi usati dai diversi componenti per ricevere e mandare informazioni alle altre applicazioni.

Benefici nell’uso di un ESB

Utilizzare un ESB all’interno di un’architettura di Servizi Aziendali consente, alle applicazioni che la formano, di comunicare tra loro attraverso, attraverso appunto un Bus. Ciò ha il vantaggio di ridurre il numero di connessioni point-to-point necessarie per far comunicare le applicazioni fra loro. L’aggiornamento delle applicazioni diviene più veloce e trasparente.

I principali benefici nell’utilizzare un ESB sono:

  • Scambio di segnali e messaggi più veloce e più economico tra i sistemi esistenti;
  • Maggiore flessibilità, in quanto diventa più semplice apportare dei cambiamenti quando ci sono delle modifiche dei requisiti alle applicazioni;
  • Disponibilità di una piattaforma standardizzata per l’integrazione dei sistemi. Esempi di standard ampiamente utilizzati sono:JDBC, JCA, JMS, JMX , WSDL, UDDI, SOAP, JAX-RPC, JAXM, JAXR, SSAJ, XQuery, XPath, JBI, BP4WLS,…;
  • Una maggiore scalabilità, cioè il passaggio da soluzioni point-to-point a una comunicazione a livello “Enterprise” tra le applicazioni (bus distribuito);
  • Disponibilità di tipi predefiniti di servizi pronti all’uso;
  • Nessun sistema di regolamentazione centrale. Le logica d‘integrazione non è più centralizzata su di un Hub, ma è distribuita lungo gli endpoint connessi al bus. Decentralizzando la logica di integrazione lungo il bus si migliora la scalabilità teorica ed è possibile effettuare il deploy delle funzionalità di integrazione strettamente necessarie (selective-deployment).
  • Patching incrementale con inattività pari a zero, l’impresa diventa così adatta al refactoring.
  • Riduce il “vendor lock-in”, ovvero i costi di licenze e manutenzione e permettere una maggiore garanzia di portabilità del codice e di interoperabilità.

Come si evince dall’elenco soprastante, i principali vantaggi nell’usare un ESB sono più legati al modo di usarlo che alle sue caratteristiche.

Un Entreprise Service Bus, dunque, implementa un sistema di comunicazione tra software eterogenei che interagiscono tra loro in una Architettura Service Oriented.

KeyWords

SOA: Service Oriented Architecture

ESB: Enterprise Service Bus

ETL: Extract Transform Load

ELT: Extract Load Transform

BPEL: Business Process Execution Language

BPMN: Business Process Modeling Notation

WSCL: Web Service Conversation Language

I sistemi utilizzati per l’Identity Access Management, ovvero per la gestione delle identità e degli accessi (IAM), includono sistemi Single Sign-On, autenticazione multifattoriale e gestione degli accessi. Queste tecnologie offrono anche la possibilità di archiviare in modo sicuro dati di identità e di profilo, offrendo alti standard di Sicurezza.

Single Sign On (SSO)

Il Single sign-on (SSO, traducibile come autenticazione unica o identificazione unica) offre un servizio di Identity Management. Esso traduce la proprietà di un sistema di controllo d’accesso che consente ad un utente di effettuare un’unica autenticazione valida per più sistemi software o risorse informatiche alle quali è abilitato.

Nell’implementazione di un modello di Single Sign-On le richieste di autenticazione sono gestite da un sistema di terze parti che ha certificato in precedenza le credenziali dell’utente connesso. Ciò significa che ogni qualvolta l’utente decida di accedere ad un servizio per il quale è accreditato, le sue richieste verranno inoltrate al sistema centralizzato il quale gestirà il meccanismo di autenticazione per esso. All’utente non sarà quindi richiesto di inserire nuovamente le credenziali.

La principale spinta all’adozione di un sistema di Single Sign-On è la necessità di rendere trasparente all’utente finale il processo di autenticazione. All’utente, infatti, non è chiesto di farsi carico della gestione degli accessi, con evidenti vantaggi anche per gli amministratori di sistema in termini di sicurezza e manutenibilità.

Un sistema di Single Sign-On presenta i seguenti vantaggi:

  • Semplificazione della gestione delle password. Maggiore è il numero delle password del singolo utente e più è alta la probabilità che le stesse siano semplici da ricordare e/o che le medesime password siano utilizzate per l’accesso a servizi differenti.
  • Semplificazione accesso ai servizi.
  • Aumento della sicurezza e gestione ottimizzata delle politiche di sicurezza.
  • Adempimento delle misure minime previste dal Decreto Legislativo in materia sicurezza e gestione dei dati.

Per la natura stessa dei processi di Single Sign-On, l’entità terza che autentica gli utenti ai vari servizi cui accedono è considerato l’elemento cruciale e dalla sua corretta implementazione della funzionalità di autenticazione dipendono l’efficacia e l’affidabilità dell’intero sistema.
Un sistema di terze parti che ad esempio non riesce a gestire contemporaneamente l’intera utenza per cui è accreditato, potrebbe portare all’indisponibilità dei servizi per molti degli utenti. Discorso analogo qualora il sistema per qualunque motivo smettesse di funzionare.

Architettura

Vi sono tre approcci per la creazione di un sistema di SSO: l’approccio centralizzato, l’approccio federativo e l’approccio cooperativo:

     Approccio Centralizzato

Il principio è di disporre di un database globale e centralizzato di tutti gli utenti e di centralizzare allo stesso modo la politica della sicurezza. Questo approccio è destinato principalmente ai servizi dipendenti tutti dalla stessa entità, per esempio all’interno di una azienda.

     Approccio Federativo

Con questo approccio differenti gestori (“federati” tra loro) gestiscono dati di uno stesso utente. L’accesso ad uno dei sistemi federati permette automaticamente l’accesso a tutti gli altri sistemi.

Un viaggiatore potrebbe essere sia passeggero di un aereo che ospite di un albergo. Se la compagnia aerea e l’albergo usassero un approccio federativo, potrebbero stipulare un accordo reciproco sull’autenticazione dell’utente finale. Il viaggiatore potrebbe ad esempio autenticarsi per prenotare il volo ed essere autorizzato, in forza di quella sola autenticazione, ad effettuare la prenotazione della camera d’albergo.

Questo approccio è stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni gestore federato mantiene il controllo della propria politica di sicurezza.

   Approccio Cooperativo

L’approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l’autenticazione viene effettuata dal gestore che ha in carico l’utente per l’accesso alla rete.

Come per l’approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica di sicurezza.

L’approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono dipendenti da una entità, come ad esempio università, laboratori di ricerca, amministrazioni, etc.

 

Arancia-ICT si propone come System & Innovation integrator per soddisfare le richieste in ambito IAM, su tecnologie innovative e open source, grazie al proprio team di professionisti con relativa esperienza pluriennale.

Richiedi Informazioni
Per saperne di più contatta il nostro team…

Questo sito web utilizza i cookie

Utilizziamo i cookie per personalizzare contenuti ed annunci, per fornire funzionalità dei social media e per analizzare il nostro traffico. Condividiamo inoltre informazioni sul modo in cui utilizzi il nostro sito con i nostri partner che si occupano di analisi dei dati web, pubblicità e social media, i quali potrebbero combinarle con altre informazioni che hai fornito loro o che hanno raccolto dal tuo utilizzo dei loro servizi. Acconsenti ai nostri cookie se continui ad utilizzare il nostro sito web.

Approfondisci Chiudi