Le soluzioni di identity management promettono recupero di efficienza, rispetto delle norme e garanzia di sicurezza. A confronto le offerte rilasciate da big del settore come Computer Associates, Ibm, Microsoft, Novell, Rsa Security e Sun.
Comunicare, usufruire di servizi ed effettuare transazioni in un mondo digitale richiede, analogamente a quanto avviene in quello reale, la possibilità di identificarsi in modo univoco, affidabile e verificabile mediante un’identità digitale. Se il primo passo verso l’utilizzo dei servizi in rete è stato quello di predisporre la corrispondenza tra identità reale e digitale, l’attenzione si è successivamente spostata verso le modalità con cui organizzare e gestire in modo efficiente tali identità, al fine di soddisfare requisiti di unicità e sicurezza.
I principali problemi arrecati da una gestione inefficiente dell’identità si manifestano dal lato dell’utente come una riduzione di produttività legata alla proliferazione di identità e password da gestire per accedere a diversi servizi. Dalla parte di chi eroga il servizio si possono evidenziare, invece, problemi di sicurezza legati all’incapacità di seguire l’evoluzione nei privilegi e accessi di un utente. Come in altri settori dell’It questa tendenza ha alimentato la richiesta (e, dunque, l’offerta) di soluzioni in grado di automatizzare le procedure.
Le modalità di accesso ed erogazione
Il tema dell’identity management ruota, pertanto, intorno alle modalità con cui implementare un set di applicazioni e processi in grado di organizzare in modo automatizzato tutte le procedure di accesso e di erogazione di servizio che richiedono l’identificazione dell’utente. La messa a punto di tali procedure deve, poi, confrontarsi con la necessità di definire e configurare policy che siano facilmente assegnabili, modificabili o rimuovibili.
Si tratta di un processo che richiede l’integrazione delle diverse componenti associate all’identità, in modo tale che tutte le identità degli utenti nei diversi sistemi vengano create, modificate, sospese, revocate o eliminate in base al ruolo e alle policy applicabili all’utente. Una delle funzioni chiave di una soluzione di identity management è, pertanto, la possibilità di seguire l’evoluzione di un dipendente nel suo ciclo di vita, dall’assunzione alla risoluzione del rapporto di lavoro.
Questo vale all’interno della rete locale o della intranet ma, in un mondo che si evolve verso una logica di Web service usufruibili in modalità on demand, un’efficiente gestione dell’identità deve confrontarsi con l’esigenza di definire un’identità affidabile, oltre che per le persone, anche per applicazioni, servizi e sistemi, trovando modalità di interoperabilità all’insegna di soluzioni standard.
L’organizzazione multivendor Liberty Alliance è nata proprio sulla spinta di tali esigenze. Questa organizzazione si propone di definire e promuovere tecnologie aperte basate su standard per la gestione dell’identità in rete. In particolare, l’associazione sta indirizzando molti dei suoi sforzi verso il supporto dello standard Saml (Security assertions markup language), un insieme standard di servizi, protocolli e formati basati su Xml e Soap, per lo scambio di informazioni di autenticazione, autorizzazione e di attributi.
La filosofia di gestione dell’identità che caratterizza il lavoro di Liberty Alliance è centrata attorno a un modello di tipo federato, dove il fornitore di servizio A che decide di federarsi con il provider B, consente l’accesso ai propri servizi anche agli utenti di quest’ultimo. Quando un utente registrato presso il fornitore B accede a un servizio del fornitore A lo fa accreditandosi con le credenziali in possesso al fornitore B, che si fa garante della sua identità presso il partner federato. In base al principio federato, questa situazione può realizzarsi per servizi all’interno di uno stesso dominio o tra domini differenti, mentre le modalità con cui avviene lo scambio di informazioni di identità tra i diversi fornitori possono essere differenti. Dal punto di vista dell’utente l’aspetto fondamentale è che, attraverso questo sistema, può accedere ai servizi di tutti i provider federati utilizzando le stesse credenziali, che risiedono esclusivamente presso il fornitore scelto dall’utente.
Il mercato dell’identity management
Quello delle soluzioni di identity management è un mercato molto vivace, in cui player importanti propongono soluzioni sempre più complete e integrate. In Italia l’implementazione di questo tipo di soluzioni è ancora, per lo più, legata alle funzioni di single sign on, ma le aspettative sono importanti, soprattutto in relazione agli sviluppi che si attendono dal mondo della Pubblica amministrazione. In questo ambito, infatti, la diffusione dei sistemi di digitalizzazione sicura dei documenti, unitamente alle possibilità di gestire in modo efficace l’identità, aprono la strada a un’ampia gamma di servizi innovativi sia per lo svolgimento di attività amministrative interne, sia erogati ai cittadini, che spaziano dalla consegna di certificati fino al voto elettronico.
Tra le società impegnate in questo settore vi è Novell che, attraverso la suite Nsure, indirizzata alle esigenze di tipo enterprise, mette a disposizione una soluzione modulare per implementare all’interno dell’infrastruttura informatica una base per la gestione delle identità e dell’accesso che unifica le informazioni e le norme relative all’identità in tutti i sistemi aziendali. La suite Nsure si indirizza a gestire l’intero ciclo di vita dell’utente aziendale, rendendogli rapidamente disponibile l’accesso sicuro alle risorse aziendali necessarie per il suo lavoro. La suite Nsure raccoglie tool quali la soluzione di single sign denominata SecureLogin e Identity Manager 2, l’applicazione che fornisce funzioni quali il provisioning, la gestione delle password e l’amministrazione basata su ruoli.
Anche Computer Associates dispone di un’offerta per la gestione dell’identità che rientra nella gamma di prodotti modulari e integrati eTrust. All’interno di questa suite software di Ca si trovano prodotti quali eTrust Admin che fornisce una gestione centralizzata e automatizzata degli utenti, gestendo la creazione di user account e workflow e il provisioning delle risorse. eTrust Directory fornisce, invece, un repository robusto e scalabile per la gestione di identità e meccanismi di autenticazione, con la capacità di gestire milioni di utenti, mentre eTrust Single Sign-on è la soluzione Ca che automatizza (mediante single sign on), l’accesso in condizioni di sicurezza ad applicazioni di tipo browser, client/server e legacy. Infine vi sono le soluzioni di access management eTrust Access Control e Web Access Control che permettono l’implementazione di policy di accesso su piattaforme e sistemi operativi distribuiti e regolamentano l’accesso a risorse e servizi Web.
Membro particolarmente attivo della Liberty Alliance, Sun Microsystems propone una gamma di soluzioni infrastrutturali per la Network Identity, che la società definisce come la fusione tra sicurezza e autenticazione di rete, user provisioning e gestione del cliente, tecnologie di single sign on e delivery dei Web service. Per la costruzione di tutto ciò, Sun si basa su Solaris e sui prodotti Java System Identity Server, Java System Web Server, Java System Directory Server e Lighthouse Provisioning Manager. Più in particolare, Identity Server è una soluzione standard based per la gestione sicura dell’accesso ad applicazioni basate sul Web e non, sia su intranet sia su extranet. Supporta, infatti, gli standard per l’identità federata di Liberty Alliance e permette di usufruire di Web single sign on e di costituire un framework per l’identità federata. Java System Web Server implementa le funzioni di sicurezza per le applicazioni Web, mentre Java System Directory Server è la soluzione software che permette di realizzare un repository per la memorizzazione e la gestione dei profili di identità, i privilegi di accesso e le informazioni delle risorse applicative e di rete.
Anche Rsa Security opera all’interno della Liberty Alliance e, attraverso la soluzione Fim (Federated identity manager), rende disponibile una soluzione basata sui Web service per la gestione e la garanzia di sicurezza delle identità federate basata sulle specifiche standard Saml v1.1. L’adozione di Saml garantisce la sicurezza nello scambio di informazioni, consente di effettuare il single sign on e di personalizzare i servizi, aprendo la strada ai Web service. Fim (in precedenza implementato come modulo di Rsa ClearTrust) consente di mantenere un controllo centralizzato delle policy associate agli utenti e alle applicazioni attraverso il supporto di una serie di protocolli e tecnologie basate su standard quali Xml, Soap, Wsdl e Saml. Fornisce, inoltre, una serie di tool automatizzati per ridurre il tempo di deployment quali, per esempio, la possibilità di clonare policy di sicurezza, la disponibilità di plug in per la mappatura dei nomi e funzioni di sicurezza avanzate.
Anche Ibm è impegnata nella gestione dell’identità prevedendo, all’interno della piattaforma software modulare Tivoli, una serie di tool dedicati in modo specifico a questa tematica. La soluzione di identity management Ibm Tivoli si indirizza ad automatizzare e semplificare, attraverso l’infrastruttura di e-business, la gestione delle identità dell’utente, dei diritti di accesso e delle policy di riservatezza.
Tramite una serie di moduli dedicati, Tivoli rende disponibile una soluzione integrata che affronta le quattro aree principali dell’identity management, ovvero: identity lifecycle management (user self-care e provisioning), identity control (controllo di accesso, single sign-on e auditing), identity federation (condivisione di informazioni sull’utente tra Web service), identity foundation (directory, integrazione directory e workflow). La soluzione per la gestione dell’identità di Tivoli supporta standard aperti e consente l’integrazione con altre tecnologie Ibm fondamentali quali WebSphere Application Server, Tivoli Directory Server e Lotus Domino.
Una diversa gestione di tipo federato
Va poi considerata, in questa rassegna, anche Microsoft, che con il sistema di autenticazione .Net Passport, persegue una modalità di gestione dell’identità di tipo federato attraverso una serie di siti aderenti a un proprio circuito di registrazione/autenticazione.
.Net Passport comprende una serie di servizi di single sign on e di autenticazione basati su Web offerti agli utenti Internet che aderiscono all’iniziativa: un utente che si è registrato con .Net Passport presso un sito del circuito, può usare le stesse credenziali in tutti gli altri siti aderenti. La suite include i servizi Passport Single Sign In, Passport Express Purchase (che abilita la creazione di un portafoglio Passport per gli acquisti online) e il servizio Kids Passport (compatibile con il Children’s Online Privacy Protection Act dell’aprile 2000). Il processo di autenticazione con Passport prevede lo scambio di ticket elettronici in forma di cookie, usati per informare il sito Web a cui si accede che l’utente si è registrato con successo.
Per concludere va evidenziato che l’identity management è un tema complesso, che deve confrontarsi con questioni quali la definizione corretta dei ruoli, l’uso di policy efficienti e la capacità di integrazione. Le ripercussioni si vedono soprattutto sul versante del provisioning e della presenza di situazioni in cui coesistono directory frammentate.
