Vi capita mai di dover inserire la password quando utilizzate strumenti diversi in azienda?

Immagino di sì.  All’interno di un ambiente aziendale è ancora frequente avere tanti applicativi (CRM, Ecommerce, ERP, Area Documentale) che ci chiedano username e password. Ma ovviamente, noi siamo sempre noi. Che necessità c’è di inserire nuovamente la password? Ogni volta che digitiamo una password in un sistema informatico, probabilmente è perchè questo gestisce una propria anagrafica degli utenti. Ecco quindi che questo piccolo dispiacere è sintomo di un problema più grave: la mancanza di un sistema di gestione centralizzato degli accessi (IAM, Identity access management).

Perché ci serve lo IAM?

La prima motivazione che mi viene in mente è quella puramente funzionale. Inserire la password più volte è un inutile perdita di tempo e costituisce un attrito costante nell’adozione degli applicativi e delle politiche di sicurezze. Ad esempio, sono costretto a ricordare  a memoria tante password, oppure a memorizzarle sul browser, con i problemi di sicurezza che questo comporta.

In realtà, ci sono altri motivi più importanti che dovrebbero spingerci a risolvere questo problema in maniera definitiva. Elenco quelli più importanti:

• Produttività. Come già anticipato, avere un’unica credenziale di accesso semplifica il lavoro delle persone
• Sicurezza. Presidiare correttamente tanti punti di accesso è complesso, così come è costoso gestire in maniera efficiente tanti database di utenti
• Requisiti normativi. Con l’ingresso del GDPR le normative in materia di trattamento dati richiedono sempre più attenzione sulla sicurezza. Implementare policy di cambio password, autenticazione a due fattori o  semplicemente avere a disposizione dei log di accesso può essere molto costoso da implementare su tanti sistemi di autenticazione
• Carico di lavoro su help-desk. Ogni password dimenticata comporta del lavoro extra di assistenza. Più credenziali circolano, maggiore sarà il numero di richieste di reset password.

In pratica un sistema IAM ci aiuta a centralizzare tutte queste problematiche in un unico sistema, permettendoci di risolvere una volta per tutte. La buona notizia è che esistono sul mercato soluzioni già pronte che rispettano i più elevati standard di sicurezza, quindi non abbiamo scuse per non utilizzarli! Vediamo nei prossimi paragrafi come far convivere uno IAM con i sistemi aziendali esistenti e quali soluzioni tecnologiche mettere in campo.

Integrazioni con i sistemi aziendali

Molti imprenditori pensano che una soluzione IAM sia adatta solo per startup o piccole aziende, e che sia complicato integrarlo con gli applicativi esistenti. In realtà, tutti gli IAM sono già pronti per interagire con tutti i sistemi aziendali, compresi sistemi legacy come active directory.

E’ quindi possibile utilizzare i database utenti presenti in azienda, lasciando i dati dove sono (active directory, database, LDAP, API, etc…). Ad esempio, puoi continuare a tenere gli utenti su Active Directory, permettendo a tutti i pc aziendali di funzionare in maniera coordinata, ma utilizzare la stessa identità su tutti gli applicativi web, sia in intranet che extranet. Lo stesso vale anche per gli utenti che abbiamo su applicativi verticali, come gestionali o CRM. 

Il funzionamento è semplice. Il sistema IAM legge i dati da varie fonti e li espone in maniera strutturata, usando protocolli moderni come OAuth2.

Quale soluzione è adatta alla mia azienda?

Per venire incontro alle necessità di tutte le aziende, Sintra ha adottato due soluzioni leader di mercato. Che tu sia una piccola azienda o una grande con necessità di customizzazioni, c’è sicuramente una soluzione adatta per te. 

Entrambe le soluzioni permettono di:

• integrarsi con i sistemi aziendali più diffusi (Active Directory, LDAP, Saml2, databases)
• esporre API di autenticazione nei più moderni standard (Oaut2, SAML)
• implementare policy di sicurezza centralizzate
• recupero password e gestione dell’account
• implementare un meccanismo di single sign on

Di seguito le due soluzioni che propongo ai miei clienti.

Keycloak

E’ un prodotto opensource di RedHat che può essere installato in cloud o on-premise e che permette di essere customizzato tramite un sistema a plugin. E’ adatto per grandi aziende che non possono scendere a compromessi o che sono vincolate a rimanere on-prem. 

Auth0

E’ un prodotto cloud based che ci permette di attivare una soluzione IAM senza costi (il free tier gratuito è sufficiente per esigenze semplici). Implementa tutte le funzionalità necessarie e  scala con le necessità dell’azienda.

Come si svolge un progetto IAM?

Il progetto di adozione di una tecnologia IAM deve essere conservativo rispetto a quanto già presente in azienda e permettere a tutte le applicazioni già presenti di adeguarsi in maniera progressiva. Sarà l’IT a decidere i tempi di adozione, in base alle sue priorità. Anche se, dal punto di vista puramente tecnico, gli strumenti offerti dal mercato risolvono in maniera molto semplice le nostre esigenze, per quanto riguarda l’adozione è necessario fare un piano calato ad hoc nella realtà dell’azienda. La giusta contestualizzazione del progetto è fondamentale per evitare il rischio che questo strumento venga rigettato dalle varie parti in gioco (reparti di sviluppo interni, fornitori esterni, utenti).

Per questo, nel corso del tempo, abbiamo sviluppato un metodo a tre fasi che permette di raggiungere l’adozione completa senza rischi:

1. Installazione. Il prodotto viene installato, configurato e attinge da tutte le basi dati presenti in azienda.
2. Adozione per nuovi progetti. A seguito della fase uno possiamo appoggiare tutti i nuovi progetti sul nuovo sistema di autenticazione
3. Bonifica. Per quanto riguarda i progetti esistenti, lavorando per priorità, si integra la parte di autenticazione con lo IAM. In questo modo anche i vecchi progetti possono adeguarsi al nuovo sistema, diventando conformi alle policy di sicurezza

In queste fasi è conveniente farsi supportare da tecnici che hanno già seguito progetti di adozione di questo tipo, in modo da farsi aiutare nella fase di setup ma soprattutto nella pianificazione e nella fluidificazione della fase di integrazione.