IAM 2.0: le nuove Sfide per un SI

Marco MolinaroManager

Agenda

• Regole di implementazione

• Sfide attuali e future

• IAM 2.0 e Identity 2.0

• Q&A

2

Cosa fare e cosa NON fare sullo IAM

Cosa fare:– Scrivere Applicazioni Modularipp

• Questo permette di applicare una modello autorizzativo granulare sui singoli moduli. E’ un strada percorribile per le applicazioni sviluppate in casa mentre è una strada insidiosa per applicazioni legacy o di terze parti.p pp g y p

– Centralizzare sullo IAM il maggior numero di applicazioni nuove e legacylegacy

• La autenticazione/autorizzazione di applicazioni Web è facilmente gestibile attraverso un unico layer WAM. Un unico layer WAM può gestire infinite

li i i W bapplicazioni Web.• Le applicazioni legacy basano il proprio livello di sicurezza su credenziali

di OS, credenziali di Database etc. Questo è un problema per la gestione della sicurezza perché è meno flessibile e molto dispendioso.L’idea è quella di ricondurre le applicazioni legacy ad applicazioni Web o spostando il repository autenticativo su LDAP o esponendole via Web A li ti

3

Application

Cosa fare e cosa NON fare sullo IAM

Cosa fare:– Usare la Strong Authenticationg

• Le soluzioni di Strong Authentication sono ormai mature. Questo tipo di soluzione permette di ridurre i costi relativi alla “password dimenticata” ed incrementa il livello di sicurezza

– Implementare un repository centrale su IAM di Eventi e LogO i t tti i d tti IAM ti lt b li E ti d i L l ti i• Ormai tutti i prodotti IAM gestiscono molto bene gli Eventi ed i Log relativi ad autenticazione/autorizzazione e gestione delle identità. Tutti i prodotti IAM hanno integrato strumenti di reportistica efficaci e funzionali.

• I prodotti SIEM posso usare il repository IAM come sorgente per correlarli con gli altri eventi di sicurezza recuperati dalle altre sorgenti (AD log, application log, router log)

4

Cosa fare e cosa NON fare sullo IAM

Cosa fare:– Creare un cross-unit/cross-geography project con un forte commitment g g p y p j

aziendale• Un progetto IAM di successo deve essere sponsorizzato sia da HR, sia da

organizzazione e ovviamente da IT. I problemi devono essere affrontatiorganizzazione e ovviamente da IT. I problemi devono essere affrontati con una visione di gruppo già dalle prime fasi di progetto.

Farsi supportare da un SI per l’analisi e l’implementazione– Farsi supportare da un SI per l analisi e l implementazione• E’ opportuno farsi aiutare da un SI con capacità tecnologiche e di

processo per l’implementazione dello IAM, per modellare al meglio il sw ll i i i li d ibil i i isulle proprie esigenze e migliorare, dove possibile, i propri processi.

• Se l’azienda ha già competenze tecnologiche e di processo può essere utile avere un supporto estremamente specializzato esterno.

5

Cosa fare e cosa NON fare sullo IAM

Cosa NON fare:– Non forzare una singola fonte autoritativag

• Una azienda complessa potrebbe avere più di una fonte autoritativa. Non cercare di modificare i processi convogliando tutto in unica fonte autoritativa perché questo richiederebbe un elevato sforzo e un forte p qrallentamento (probabilmente una ibernazione) del progetto

Non forzare un singolo Enterprise Directory– Non forzare un singolo Enterprise Directory• La directory consolidation non deve essere parte di un progetto di Identity

Management. L’esistenza di più Directory può essere giustificata da molteplici fattori E di isione fisica tra tenti interni/ tenti esterni differentimolteplici fattori. Ex divisione fisica tra utenti interni/utenti esterni, differenti tipologie di utenti, gestione dei Directory da parte di BU differenti

6

Cosa fare e cosa NON fare sullo IAM

Cosa NON fare:– Non utilizzare l’Enterprise Directory come repository per lo User p y p y p

Provisioning• Lo scopo di un Enterprise Directory è quello di raccogliere le autorizzazioni

degli utenti. Lo scopo di un Directory Autoritativo è quello di essere ildegli utenti. Lo scopo di un Directory Autoritativo è quello di essere il repository per lo User Provisioning. L’unificazione potrebbe creare problemi di performance.

– Non integrare tutte le applicazioni contemporaneamente• Affrontare il problema suddividendo il perimetro in segmenti più piccoli.

I i i d i t l li i i iù li i i i ttIniziare ad integrare le applicazioni più semplici ma con maggiore impatto aziendale. Se possibile dare priorità ai target gestiti da unit convinte nei benefici dello IAM e quindi collaborative.

7

Cosa fare e cosa NON fare sullo IAM

Cosa NON fare:– Non implementare l’Enterprise SSO per tutte le applicazioni

• Sebbene i prodotti di E-SSO sono molto maturi e permettono di gestire la maggior parte delle schermate di autenticazione potrebbero presentarsi schermate non facilmente riconoscibili dal prodotto di E-SSO (Windows p (sign-on pop-up dialogues e terminal emulators non usano le application programming interfaces (APIs))

– Non implementare il 100% dei ruoli• Identificare i veri ruoli aziendali e non includere all’interno dei ruoli le

“eccezioni” Non è corretto avere ruoli assegnati ad un singolo utenteeccezioni . Non è corretto avere ruoli assegnati ad un singolo utente perché di fatto questo non è un modello Role-Based bensì on-Demand

8

Cosa fare e cosa NON fare sullo IAM

Cosa NON fare:– Non considerare SOLO soluzioni tattiche per problemi tattici

• Il password management e l’ESSO potrebbero permettere di gestire problemi tattici. Il WAM è una soluzione strategica, ma di fatto se un progetto di idM deve integrare un WAM piuttosto che molteplici Web p g g p pApplication si riduce la difficoltà di implementazione. Questo non sminuisce i vantaggi di ESSO ma bisogna avere una visione a 360° del problema e delle possibili soluzioni.

– Non sviluppare un idM proprietario• In passato alcune grosse aziende hanno dovuto implementare soluzioni• In passato alcune grosse aziende hanno dovuto implementare soluzioni

proprietarie di idM in quanto i principali prodotti non rispondevano alle loro esigenze. Oggi i prodotti di IdM sono maturi e permettono di costruire sopra i più svariati sviluppo custom Questi prodotti sono più semplici dasopra i più svariati sviluppo custom. Questi prodotti sono più semplici da mantenere e fare evolvere.

9

Sfide Vecchie e Nuove

Sfide affrontate– Applicazioni a valore aggiunto:

• Selfcare• Pwd Reset• Integrazione• Integrazione• Deleghe Amministrative

Sfide da affrontate– Identità digitale– idee?!?

L fid è d ll l IAM ll i d l Cli t NON– La vera sfida è modellare lo IAM sulle esigenze del Cliente e NON modellare il Cliente sulle esigenze dello IAM (al contrario del “paradigma SAP”)

10

Password Reset

Fonte Gartner:– Circa il 30% delle chiamate all’Help Desk

riguardano il PWD Reset

I tool di PWD Reset possono ridurre le relative– I tool di PWD Reset possono ridurre le relative chiamate all’Help Desk di circa il 70%

– Il costo dell’Help Desk è tra i 3€ e i 18€• 3€ se Help Desk svolge funzioni amministrative e

si appoggia poi a tecnicisi appoggia poi a tecnici• 18€ se Help Desk effettua il PWD Reset

11

Password Reset

Le Soluzioni proposte da un SI:– IAM PWD Reset by intermediario/Collega

– IAM PWD Reset by intermediario/Capo Ufficio

– IAM PWD Reset by Challenge/Response

12

Password Reset by intermediario/Collega

Ri hi t PWD R tRichiesta PWD Reset

13

Password Reset by Challenge/Response

Raccomandazioni:Creare domande complesse ma conosciute solo– Creare domande complesse ma conosciute solo dagli utenti

– Evitare domande che un attaccante può facilmente indovinare o scoprire

– Implementare un meccanismo Challenge/Response con lo stesso livello di sicurezza degli standard aziendali:aziendali:

• Se è l’unico metodo di verifica utilizzare almeno 5 domande/risposte (suggerite 7)

• Se è un meccanismo supplementare utilizzare almeno 3• Se è un meccanismo supplementare utilizzare almeno 3 domande/risposte (suggerite 5)

14

Integrazione

Esigenza di Terze Parti:– idM strumento per la centralizzazione della creazione/gestione utenze– Integrare le funzionalità di provisioning all’interno di molteplici

applicazioni

15

Integrazione

Soluzione:– Sviluppo di un layer che espone le API del TIM mediante Web

Services.• Facilitazione all’integrazione con l’idM anche da parte di sviluppatori senza

approfondite nozioni di Sicurezza -> Riduzione dei Costi• Riuso del Software in ottica SOA -> Riduzione dei Costi• “Approccio a LEGO”: modulare, implemento solo quello che mi serve e

ribalto i costi all’ente che trae beneficio da quella funzionalità e che quindiribalto i costi all ente che trae beneficio da quella funzionalità e che quindi è disposto ad investire per averla.

16

Deleghe Amministrative

Esigenze:– Perché la mia azienda deve prendersi carico della gestione delle

utenze dei propri fornitori?

– Perché devo prendermi carico delle seguenti attività:– Perché devo prendermi carico delle seguenti attività:• Pwd dimenticata• Sblocco account• Blocco account (dovuto a cambio consulente)

P d i i h d ll ti tti ità– Posso non prendermi carico anche delle seguenti attività:• Creazione utenze• Abilitazione nuove applicazioni/sistemi• Blocco account

17

Deleghe Amministrative

Soluzione:– Delego ad un “amministratore” del fornitore le attività di

• Pwd dimenticata• Sblocco account• Blocco account (dovuto a cambio consulente)• Blocco account (dovuto a cambio consulente)• Creazione utenze• Abilitazione nuove applicazioni/sistemi• Blocco account

mediante un applicazione che sfrutta le API del TIM.

– Se espongo le funzionalità delle API mediante metodi standard posso:• Sfruttare i miei programmatori per estendere le funzionalità del TIM

senza richiedere supporto agli esperti di Sicurezza• Sfruttare moduli già implementati per altre esigenze

18

Selfcare

Esigenza:– Demandare all’utente l’aggiornamento dei propri dati personali sui gg p p p

singoli target (principalmente la GAL):• N. Ufficio / Palazzo / Sede• N Telefono• N. Telefono• N. Cellulare• Note

Soluzione:– ACI TIM– ACI TIM

• Immediata da Realizzare– Applicazione SelfCare

• Estremamente Friendly e Customizabile

19

Una Applicazione a forte valore aggiunto

20

Sfide Nuove

Sfide da affrontare– ...– ...– ...

– La vera sfida è modellare lo IAM sulle esigenze del Cliente e NON gmodellare il Cliente sulle esigenze dello IAM (al contrario del paradigma SAP)

21

IAM 2.0

IAM 2.0:• ha introdotto funzionalità che ne permettono una facile integrazione verso applicazioni di

terze partip• ha incrementato la sua flessibilità nelle Provisioning• si modella alle esigenze aziendali e NON modella l’azienda alle sue esigenze• Maggiormente User-Centricoagg o e te Use Ce t co• Aperto agli standard (OpenID, Facebook Connect, MS Passport)• idM + WAM che hanno incrementato il loro grado di stabilità

Oggi lo IAM è 1 5 forse 1 75Oggi lo IAM è 1.5 forse 1.75

22

Identity 2.0

Identity 2.0, also called digital identity, is the anticipated revolution of identity verification on the internet using emerging user-centric technologies such as Information Cards or OpenID. Identity 2.0 stems from the Web 2.0 theory of the p y yworld wide web transition. Its emphasis is a simple and open method of identity transactions similar to those in the physical world, such as driver's license. (Wikipedia)

23

Q&A?

24

Contatti

info@reply.it

25