Identity & Access Management: panoramica e strumenti open source

Autenticazione e Autorizzazione

Abbiamo detto che l’IAM include sia la gestione delle identità, sia la gestione degli accessi. In altre parole, comprende anche i processi associati con l’autenticazione e l’autorizzazione delle identità digitali all’interno delle aziende.
L’autenticazione è il processo di verifica del controllo di un’identità, ma non garantisce diritti di accesso. Questa verifica include l’utilizzo di credenziali, che possono essere divise in tre categorie:

• Qualcosa che si conosce (ad esempio una password)
• Qualcosa che si possiede (ad esempio una chiave di autenticazione)
• Qualcosa che si è (ad esempio l’impronta digitale)

Queste credenziali possono anche essere utilizzate insieme nella cosiddetta “autenticazione a più fattori”, o multi-factor authentication. La forma di autenticazione ammessa da un sistema tipicamente dipende dalla tipologia di accesso e dal rischio associato.
Grazie alla gestione degli accessi, le imprese possono implementare diversi di metodi di autenticazione digitale per comprovare l’identità digitale e autorizzare l’accesso alle risorse aziendali. Ecco alcuni esempi.

• Password uniche. Il tipo più comune di autenticazione digitale, che include anche le password utilizzate per il single sign-on (SSO).
• Chiave pre-condivisa (Pres-Shared Key, PSK): in questo caso, la password è condivisa tra gli utenti autorizzati ad accedere alle stesse risorse (ad esempio la password Wi-Fi dell’ufficio).
• Sistemi biometrici: i moderni sistemi IAM utilizzano la biometria per un’autenticazione più precisa (impronte digitali, iridi, volti ecc.)
• Autenticazione comportamentale: grazie all’intelligenza artificiale, è possibile riconoscere se il comportamento dell’utente o della macchina si discosta dalla norma e bloccare preventivamente accesso e operazioni.

> Scopri anche il corso Cyber Security Awareness in e-learning

Tipologie di il controllo degli accessi

Una volta che l’utente si autentica, l’accesso gli viene garantito o negato durante la fase di autorizzazione. In alcuni casi, alle risorse è associata una lista di controllo degli accessi (Access Control List, ACL) degli utenti autorizzati. La configurazione e il mantenimento di queste liste consentono alle organizzazioni di tenere traccia degli accessi agli asset digitali. Spesso però, risulta complesso determinare tutte le risorse a cui un singolo utente ha accesso, soprattutto in aziende con un vasto ecosistema di applicazioni software, alcune delle quali gestite da terze parti. Con il crescere del numero di utenti e risorse, i costi di gestione delle ACL aumentano significativamente, rendendo questo approccio poco adatto per le grandi organizzazioni.
Di conseguenza, i modelli di controllo degli accessi più comuni utilizzati nelle imprese sono:

• il controllo discrezionale degli accessi (DAC): Consente al proprietario di una risorsa di decidere chi può accedervi e chi può trasferire tale permesso.
• il controllo degli accessi basato sui ruoli (RBAC): gli utenti sono assegnati a uno o più ruoli e ricevono i permessi associati a ciascun ruolo.
• il controllo degli accessi basato sugli attributi (ABAC): Questo metodo permette di concedere o negare l’accesso in base agli attributi degli utenti e delle risorse. Gli attributi possono essere specificati e combinati in modo flessibile, permettendo un controllo degli accessi particolarmente dettagliato.

I principi fondamentali di IAM

Indipendentemente dalla scelta del modello di controllo degli accessi, ci sono principi generalmente riconosciuti che dovrebbero essere applicati nei sistemi IAM.

• Il principio del minimo privilegio afferma che gli utenti dovrebbero possedere solo i diritti minimi necessari per i loro compiti. Se un utente ha significativamente più diritti del necessario, potrebbe causare danni eccessivi al sistema in caso di attacco o abuso. I diritti di accesso dovrebbero quindi essere scelti con attenzione e riesaminati di tanto in tanto.
• Una linea guida simile è il principio della minima conoscenza, che specifica che gli utenti, ma anche gli amministratori dei sistemi IAM, dovrebbero vedere solo le risorse associate al loro compito. Inoltre, per mitigare le frodi, può essere utilizzata la separazione dei compiti per garantire che non tutti i passaggi di un’operazione critica possano essere eseguiti da un singolo utente.

Strumenti open source per la gestione delle identità e degli accessi

Vediamo ora alcuni strumenti open source per la gestione e il controllo degli accessi.

• Keycloak: una soluzione IAM open source sviluppata da Red Hat. Offre funzionalità di Single Sign-On (SSO), autenticazione a più fattori, gestione delle identità e controllo degli accessi.
• Gluu: piattaforma IAM open source che fornisce funzionalità di autenticazione, autorizzazione e single sign-on (SSO) anche tra più applicazioni. È possibile configurare metodi di autenticazione come username-password, autenticazione multifattoriale (MFA) o login social tramite provider esterni. Supporta inoltre il controllo degli accessi basato sui ruoli (RBAC).
• Shibboleth: sistema IAM open source progettato principalmente per fornire funzionalità di single sign-on (SSO) in contesti accademici e aziendali. Permette alle organizzazioni di autenticare e autorizzare utenti attraverso applicazioni e domini diversi, mantenendo il controllo sulle loro informazioni di identità. Shibboleth consente anche il controllo degli accessi basato su attributi. È altamente configurabile e può essere integrato con vari sistemi di directory e servizi web. La comunità di Shibboleth offre ampio supporto e documentazione, rendendolo una scelta affidabile per le istituzioni che necessitano di una soluzione IAM robusta e scalabile.
• OpenIAM è una piattaforma che offre soluzioni complete per la gestione delle identità e degli accessi. Include funzionalità come provisioning degli utenti, autenticazione, autorizzazione e gestione del ciclo di vita delle identità. La piattaforma è modulare, e consente alle aziende di implementare solo i componenti necessari per le loro esigenze specifiche. Offre un’ampia gamma di funzionalità, tra cui il provisioning automatico degli utenti, il workflow di approvazione, la gestione delle password e la sincronizzazione delle directory. Fornisce anche funzionalità di single sign-on (SSO), autenticazione multifattoriale (MFA) e gestione dei ruoli basata sui ruoli (RBAC).

L’Identity and Access Management (IAM) è fondamentale per garantire la sicurezza e la gestione efficace delle risorse digitali all’interno delle aziende. Con la crescente complessità delle infrastrutture IT aziendali, inclusi dispositivi IoT e applicazioni cloud, la gestione delle identità e degli accessi diventa sempre più complessa e costosa.

Per affrontare queste sfide, il futuro dell’IAM si orienta verso soluzioni più automatizzate e intelligenti, supportate dall’IA e dall’analisi dei dati per rilevare e mitigare le minacce in tempo reale. Inoltre, l’evoluzione verso approcci basati su zero trust e l’integrazione continua di nuove tecnologie di autenticazione biometrica e comportamentale promettono di migliorare ulteriormente la sicurezza e l’efficienza dell’accesso alle risorse aziendali. Le aziende che adottano una visione proattiva e integrata dell’IAM saranno meglio posizionate per affrontare le sfide future e sfruttare appieno le opportunità emergenti nel panorama tecnologico globale.