La gestione dell'identità e dell'accesso (IAM) è semplicemente diventata troppo complessa per molte aziende. "Non deve essere così", dice Andreas Martin di FirstAttribute.
ITB: Cosa distingue una soluzione IAM intelligente per lei?
Martin: Omette deliberatamente le funzioni che sono poco utili, così come i connettori complicati e i processi di workflow con sincronizzazioni soggette a errori. È progettato come un portale per la gestione delle identità (IdM) con gestione integrata delle autorizzazioni, in cui il self-service degli utenti gioca un ruolo centrale. E convince nel design e nel linguaggio con un'interfaccia utente semplice in cui i dettagli tecnici rimangono sullo sfondo per gli utenti e questi vedono solo ciò che devono vedere.
ITB: Ma come possono le aziende essere sicure che il loro portale IdM lasci fuori funzioni senza valore aggiunto per gli utenti fin dall'inizio?
Martin: A FirstAttribute, abbiamo costantemente lavorato in anticipo. In molti workshop con clienti, sviluppatori di software e consulenti, ci siamo interrogati criticamente su ciò di cui gli utenti hanno effettivamente bisogno e su quali funzioni possono essere utilizzate con profitto per l'azienda. Abbiamo ripulito tutte le altre funzioni o non le abbiamo sviluppate affatto. In questo modo, abbiamo già ridotto la complessità a livello funzionale.
ITB: L'uso di complicati connettori e processi di workflow mi sembra inevitabile in un sistema IAM. Ma lei dice che anche di questo si può fare a meno nella maggior parte dei casi. Come è possibile?
Martin: Usando Active Directory come servizio centrale di directory all'interno del portale IdM scelto, usando l'amministrazione degli utenti di Active Directory e usando un cosiddetto servizio Power Shell. Tramite Active Directory come servizio di directory centrale, è possibile accedere a ogni oggetto AD. Questo significa che l'amministrazione non si limita solo alle identità e alle loro autorizzazioni, ma include anche altri oggetti come client e stampanti. Gli oggetti non Microsoft possono essere integrati nella directory AD tramite le estensioni Power Shell. Molti produttori di questi sistemi offrono tali estensioni Power Shell. Con l'amministrazione degli utenti di Active Directory, le autorizzazioni possono essere gestite facilmente e in modo sicuro per mezzo di ruoli. Tra le altre cose, questo apre una delega dei compiti amministrativi basata sui ruoli, che, rispetto ai flussi di autorizzazione con una sincronizzazione complicata, può essere gestita molto più facilmente e anche senza errori. Il servizio Power Shell traduce le azioni e il linguaggio dell'interfaccia nelle strutture, nella logica e nei formati dei sistemi di destinazione coinvolti. Questo evita l'uso di connettori complessi con sincronizzazioni soggette a errori. Il servizio power shell è anche l'istanza di esecuzione in background per la delega basata sui ruoli dei compiti amministrativi.
ITB: Lei ha evidenziato un orientamento coerente come un portale IdM in cui un self-service utente gioca un ruolo centrale. Non è lo stato attuale dell'arte anche per le classiche suite IAM che sono cresciute nel tempo?
Martin: No. A prima vista, hanno tutte un portale self-service. Tuttavia, questi portali sono adatti al self-service solo in misura limitata, perché sono stati creati in seguito. Per le aziende, questo significa che le modifiche degli utenti sono spesso sincronizzate solo dopo ore nei sistemi di destinazione, collegati tramite connettori. Questo è diverso quando il servizio Power Shell entra in azione direttamente. Poi le modifiche sono scritte ad hoc per i sistemi di destinazione interessati. Le modifiche sono quindi immediatamente attive. Questa implementazione veloce naturalmente motiva anche il personale a utilizzare il portale self-service con impegno.
Un portale IdM con gestione delle autorizzazioni e Active Directory ha molti vantaggi. Tramite LDAP, i sistemi possono essere integrati senza un'estensione Power Shell. Con SAML e Kerberos, il single sign-on è più facile e più sicuro da implementare che con gli strumenti a bordo delle classiche suite IAM. L'autorizzazione può essere centralizzata tramite Radius. OAuth limita l'accesso a certe applicazioni e Azure AD apre una semplice autenticazione a due fattori contro i cloud Microsoft.
Andreas Martin è Board of Directors e CEO della società di consulenza FirstAttribute AG. Sta battendo il tamburo pubblicitario per il portale IdM in-house FirstWare: secondo Martin, le aziende possono ridurre i loro costi di licenza di almeno il 50 per cento con questa soluzione rispetto alle classiche suite IAM.
ITB: In che misura il produttore del portale IdM deve aver fatto un lavoro preliminare per un'interfaccia utente semplice?
Martin: La consistente riduzione della complessità tecnica va anche a vantaggio di un'interfaccia utente facilmente visibile. C'è più spazio per un'interfaccia contemporanea in termini di design e linguaggio, che raccoglie gli utenti vicino alla loro organizzazione e ai loro compiti. Con Active Directory, le strutture del servizio di directory centrale rimangono comunque in background per gli utenti e gli amministratori. Inoltre, l'amministrazione basata sui ruoli e la delega possono essere utilizzate per controllare che gli utenti vedano solo ciò che hanno bisogno di vedere sull'interfaccia utente per svolgere i loro compiti. L'implementazione tecnica delle attività di amministrazione e delega è implementata nell'interfaccia Active Directory sottostante. Quindi, non possono essere influenzati o manipolati dall'interno dell'interfaccia utente. Per l'azienda, questa è una caratteristica di sicurezza aggiuntiva.