Come funziona la gestione delle identità?

Come parte di un framework IAM generale a copertura della gestione degli accessi e delle identità, le aziende utilizzano in genere sia un componente di gestione degli utenti che un componente di directory centrale come Active Directory per Windows o Apache Directory Studio o Open LDAP per i sistemi Linux.

Il componente di gestione degli utenti gestisce la delega dell'autorità di amministrazione, il monitoraggio dei ruoli e delle responsabilità per ciascun utente e gruppo, il provisioning e il deprovisioning degli account utente e la gestione delle password. Alcune o tutte queste funzioni, come la reimpostazione della password, sono in genere self-service per ridurre il carico sul personale IT.

La directory centrale è un repository di tutti i dati di utenti e gruppi per l'azienda. Pertanto, un ruolo importante di questo componente è quello di sincronizzare la directory o il repository all'interno dell'azienda, che può estendersi a componenti on-premise, private cloud o public cloud. Ciò consente un'unica vista sugli utenti e le loro autorizzazioni in qualsiasi momento e ovunque in un'infrastruttura hybrid cloud o multi-cloud.

Un framework IAM include anche due componenti di accesso. L'autenticazione risolve problemi come l'accesso (e il Single Sign-on), la gestione delle sessioni attive e un'autenticazione forte tramite token o dispositivo biometrico. L'autorizzazione utilizza ruoli, attributi e regole in un record utente per determinare se un determinato utente, dispositivo o applicazione debba essere autorizzato ad accedere a una risorsa.

Qual è la differenza tra gestione delle identità e gestione degli accessi?

Gestione delle identità

L'identità digitale è la chiave che garantisce l'accesso. Le identità contengono informazioni e attributi che definiscono un ruolo, forniscono o negano specificamente l'accesso a una determinata risorsa e indicano ad altri utenti nell'organizzazione chi o cosa ne è il titolare, come contattarli (laddove si tratti di un individuo) e a che livello della gerarchia aziendale si trovano. La creazione di un'identità può riflettersi in altre forme in tutta l'organizzazione, ad esempio un nuovo account di posta elettronica, un nuovo record di dipendente o una nuova voce in un organigramma. Le identità sono "vive" in quanto possono cambiare nel tempo, ad esempio se un dipendente assume un nuovo ruolo o si trasferisce in una nuova sede di lavoro.

Il compito della gestione delle identità è tenere traccia e gestire le modifiche a tutti gli attributi e le voci che definiscono un'identità nel repository aziendale. In genere queste modifiche possono essere apportate solo da poche persone selezionate nelle organizzazioni, ad esempio un rappresentante delle risorse umane che segna un aumento di retribuzione o un proprietario dell'applicazione che concede a un gruppo di dipendenti come i rappresentanti del servizio clienti l'accesso a una nuova funzionalità del sistema CRM.

Gestione degli accessi

La gestione degli accessi è l'autenticazione di un'identità che richiede l'accesso a una particolare risorsa, e le decisioni di accesso sono semplicemente di tipo sì/no.

Può trattarsi di un processo a più livelli, con servizi di accesso che determinano se un utente è autorizzato a un dato accesso alla rete, e livelli di accesso inferiori che autenticano se l'identità in questione debba avere accesso a specifici server, unità, cartelle, file e applicazioni.

Autenticazione non è la stessa cosa di autorizzazione. Sebbene un'identità (utente) possa essere autorizzata a entrare nella rete aziendale e disponga di un account nella directory, ciò non le garantisce automaticamente la possibilità di accedere a tutte le applicazioni a livello aziendale. L'autorizzazione per una determinata applicazione o risorsa sarà determinata dagli attributi dell'identità, come il gruppo o i gruppi a cui appartiene, il suo livello nell'organizzazione o un ruolo specifico assegnato in precedenza.

Come con l'autenticazione, la concessione dell'autorizzazione può avvenire in più livelli all'interno dell'organizzazione, ad esempio come servizio centralizzato e poi di nuovo localmente per una determinata applicazione o risorsa, sebbene l'autenticazione a livello di risorsa o servizio sia disincentivata in quanto l'autenticazione centrale fornisce un controllo più coerente.

Differenza tra gestione delle identità e gestione degli accessi

La differenza tra la gestione delle identità e la gestione degli accessi può essere così semplificata:

La gestione delle IDENTITÀ riguarda la gestione degli attributi relativi all'UTENTE, al gruppo di utenti o ad altre identità che potrebbero richiedere l'accesso di volta in volta.

La gestione degli ACCESSI consiste nel valutare quegli attributi in base alle policy esistenti e nel prendere una decisione di accesso di tipo sì/no in base a tali attributi.

Perché avremmo bisogno della gestione delle identità?

Un recente studio (ISC)² ha rilevato che l'80% delle violazioni è dovuto a problemi di accesso delle identità, ovvero credenziali deboli o mal gestite. Se non sono in atto controlli adeguati o se le procedure e i processi IAM non vengono seguiti correttamente, le password potrebbero risultare compromesse, attacchi di phishing potrebbero raggiungere gli utenti e violazioni o attacchi ransomware potrebbero diventare realtà. Fortunatamente, le moderne piattaforme IAM offrono l'automazione di molte delle funzioni per garantire l'utilizzo dei controlli, ad esempio la rimozione di un utente dalla directory quando il sistema delle risorse umane indica che un dipendente ha lasciato l'organizzazione.

Poiché la creazione di nuova legislazione sulla privacy e sulla segretezza dei dati avviene molto di frequente, IAM può svolgere un altro ruolo importante, cioè aiutare l'organizzazione a mantenere la conformità con la miriade di mandati normativi e di governance in vigore, garantendo da un lato che solo gli utenti autorizzati abbiano accesso ai dati, e dall'altro che i dati stessi siano dove dovrebbero essere. Alla fine, la sicurezza IT riguarda principalmente l'accesso, quindi una solida strategia IAM rappresenta una componente fondamentale della sicurezza IT complessiva e offre una prima linea di protezione contro qualsiasi minaccia, sia dall'esterno che dall'interno del firewall.

Quali sono i vantaggi offerti dalla gestione delle identità?

La capacità di proteggere le risorse, comprese le risorse digitali, può avere un impatto diretto sui sul valore dell'organizzazione. IAM accelera il time-to-value per chiunque abbia bisogno di accedere alle risorse aziendali per svolgere il proprio lavoro, spesso accelerando da giorni a minuti il tempo tra l'onboarding di un nuovo dipendente e l'accesso alle risorse di sistema.

Oltre a fornire più valore aziendale come risultato di una maggiore sicurezza, ci sono altri vantaggi aziendali tangibili. L'automazione delle attività IAM concede all'IT il tempo di dedicarsi a progetti focalizzati sui profitti, e gli strumenti di gestione delle identità self-service migliorano la produttività complessiva di dipendenti, collaboratori esterni e altri utenti che accedono alle risorse aziendali.

L'implementazione di un framework IAM globale può fornire opportunità di crescita, migliorando la scalabilità dei servizi critici per l'onboarding di nuovi utenti, mentre la riduzione della manodopera IT si traduce in un ROI migliore per l'organizzazione IT nel suo insieme.

La gestione dell'identità e degli accessi è diventata la base di tutti questi vantaggi aziendali e continua a proteggere l'azienda da minacce che potrebbero portare a furto di dati, attacchi dannosi o esposizione di informazioni sensibili su clienti, pazienti o aspetti legali.