4 aprile 2024
L'identity orchestration è una soluzione software per coordinare diversi sistemi di gestione delle identità e degli accessi (IAM) da più provider di identità in workflow senza attriti.
Nell'era della trasformazione digitale, le organizzazioni stanno adottando un numero sempre maggiore di soluzioni SaaS (Software-as-a-Service), passando ad ambienti di multicloud ibrido e abbracciando il lavoro da remoto. Gli ecosistemi IT aziendali di oggi contengono un mix multivendor di app e asset basati sul cloud e on-premise che servono vari utenti, da dipendenti e appaltatori fino a partner e clienti.
Secondo un report, i reparti aziendali utilizzano in media 87 diverse applicazioni SaaS..1 Queste applicazioni dispongono spesso di diversi sistemi di identità, che potrebbero non integrarsi facilmente tra loro. Di conseguenza, molte organizzazioni si trovano ad affrontare landscape di identità frammentati ed esperienze utente complesse.
Ad esempio, un dipendente potrebbe avere account separati per il sistema di gestione dei ticket dell'azienda e il portale di gestione delle relazioni con i clienti (CRM). Questo può rendere difficile un compito semplice, come la risoluzione dei ticket del servizio clienti. L'utente deve destreggiarsi tra diverse identità digitali per ottenere i dettagli dei ticket da un sistema e i dati pertinenti dei clienti da un altro.
Nel frattempo, i team IT e di cybersecurity hanno difficoltà a tracciare l'attività degli utenti e ad applicare criteri di controllo degli accessi coerenti in tutta la rete. Nell'esempio precedente, il dipendente può ritrovarsi con più privilegi di quelli di cui ha bisogno nel sistema di gestione dei progetti, mentre le sue autorizzazioni CRM potrebbero essere insufficienti e non consentirgli di accedere ai record dei clienti che sta servendo.
Il software di orchestrazione delle identità aiuta a semplificare la gestione delle identità e degli accessi organizzando servizi di identità e autenticazione distinti in workflow coerenti e automatizzati.
Tutti gli strumenti di identità di un'azienda si integrano con il software di orchestrazione, che crea e gestisce le connessioni tra di loro. Questa funzionalità consente all'organizzazione di creare un'architettura IAM personalizzata, come i sistemi single sign-on (SSO) indipendenti dal fornitore, senza sostituire o riorganizzare i sistemi esistenti.
Tornando all'esempio precedente, l'organizzazione può utilizzare una piattaforma di orchestrazione delle identità per collegare gli account del dipendente nei sistemi di gestione dei ticket e CRM a una piattaforma SSO e collegare il tutto a un elenco utenti centrale. In questo modo gli utenti possono accedere all'SSO una sola volta per accedere a entrambe le app, e la directory centrale verifica automaticamente le loro identità e applica le autorizzazioni di accesso corrette per ogni servizio.
Rafforza la tua intelligence sulla sicurezza
Rimani al passo con le minacce con notizie e insight su sicurezza, AI e altro ancora, ogni settimana con la newsletter Think.
Nell'informatica, l'orchestrazione è il processo di connessione e coordinamento di strumenti eterogenei per automatizzare workflow complessi costituiti da più fasi. Ad esempio, nell'ambito dell'orchestrazione della sicurezza, un'organizzazione potrebbe mettere insieme un secure e-mail gateway, una piattaforma di threat intelligence e un software antimalware per creare un workflow automatico di rilevamento e risposta al phishing.
L'identity orchestration connette e coordina le funzionalità di strumenti per l'identità eterogenei per creare workflow di identità unificati e ottimizzati.
Gli strumenti per l'identità sono gli strumenti utilizzati da un'organizzazione per definire, gestire e proteggere le identità degli utenti, come i sistemi di verifica dell'identità e le piattaforme di gestione dell'identità e dell'accesso dei clienti.
I workflow di identità sono i processi attraverso i quali gli utenti si spostano attraverso gli strumenti di identità. Esempi di workflow di identità includono gli accessi degli utenti, l'onboarding e il provisioning degli account.
Gli strumenti di identità non sempre si integrano facilmente, soprattutto quando le organizzazioni hanno a che fare con strumenti SaaS ospitati su cloud diversi o cercano di colmare le lacune tra i sistemi on-premise e quelli basati su cloud. Le piattaforme di orchestrazione delle identità possono connettere questi strumenti anche quando non sono progettati per l'integrazione.
Le piattaforme di identity orchestration fungono da piani di controllo centrali per tutti i sistemi di identità in una rete. Ogni strumento per l'identità si integra con la piattaforma di orchestrazione, creando un'architettura di identità completa chiamata identity fabric.
Le organizzazioni non devono codificare nessuna di queste integrazioni. Le piattaforme di orchestrazione,infatti, utilizzano una combinazione di connettori preconfigurati, interfacce di programmazione delle applicazioni (API) e standard comuni come SAML e OAuth per gestire le connessioni tra gli strumenti.
Una volta che i sistemi di identità sono integrati in un identity fabric, l'organizzazione può utilizzare la piattaforma di orchestrazione per coordinare le proprie attività e controllare il modo in cui gli utenti si spostano tra gli strumenti durante i workflow di identità. In particolare, la piattaforma di orchestrazione disaccoppia l'autenticazione e l'autorizzazione dalle singole applicazioni, rendendo possibili complessi workflow di identità.
Come accennato in precedenza, in assenza di una soluzione di orchestrazione i diversi sistemi di identità potrebbero non comunicare tra loro. Se, ad esempio, un'organizzazione utilizza uno strumento di gestione delle relazioni con i clienti (CRM) e un sistema di gestione dei documenti (DMS) di fornitori diversi, ogni app potrebbe avere il proprio sistema IAM.
Gli utenti devono mantenere account separati in ogni app. Per accedere a entrambe le app, gli utenti accederanno direttamente a quel servizio. L'autenticazione e l'autorizzazione avvengono all'interno del sistema IAM distinto di ciascuna app e non vengono trasferite da un'app all'altra.
Con una soluzione di orchestrazione, le cose sono diverse. Quando un utente accede a una delle app, la richiesta passa prima attraverso la soluzione di orchestrazione. La soluzione instrada la richiesta al giusto servizio di verifica delle identità e di controllo degli accessi, che può essere una directory centrale esterna a entrambe le app.
Una volta autenticato e autorizzato l'utente dalla directory centrale, la piattaforma di orchestrazione attiva l'app per consentire all'utente di accedere con le autorizzazioni corrette.
Per implementare l'identity orchestration nella pratica, le organizzazioni utilizzano piattaforme di orchestrazione delle identità per creare workflow di identità. Chiamati anche "user journey", i workflow relativi alle identità sono processi che determinano il modo in cui un utente si sposta attraverso gli strumenti di identità e come questi strumenti interagiscono in situazioni definite, ad esempio quando si accede a un'app.
I workflow possono essere semplici o relativamente complessi, con logica condizionale e percorsi ramificati. Possono coinvolgere molti sistemi diversi, inclusi alcuni che non sono strettamente considerati strumenti per l'identità, come i servizi di posta elettronica e i siti di social media.
Le soluzioni di identity orchestration consentono alle organizzazioni di creare user journey senza scrivere nuovo codice. Queste soluzioni dispongono di interfacce visive, drag and drop e no-code in grado di definire eventi, collegare strumenti per l'identità e costruire percorsi utente.
Per capire cosa sono i workflow relativi alle identità, potrebbe essere utile dare un'occhiata a un esempio. Ecco un ipotetico workflow per l'onboarding e l'accesso dei nuovi assunti che un'organizzazione può costruire tramite una piattaforma di orchestrazione.
- Innanzitutto, il nuovo assunto crea un account in un portale HR self-service. In questo modo si avvia il workflow di onboarding.
- La piattaforma di identity orchestration attiva la creazione di un'identità utente unica per il nuovo assunto nel servizio di directory centrale dell'organizzazione. Al nuovo assunto viene assegnata automaticamente anche una serie di privilegi di accesso basati sui ruoli.
- La piattaforma di orchestrazione fornisce quindi agli account dei nuovi assunti tutti i servizi rilevanti, comprese le app che utilizzeranno sul lavoro e i sistemi di back-office come i software per la gestione delle paghe. Questi account sono associati all'identità utente principale del nuovo assunto nella directory centrale.
- Ora che il dipendente è nel sistema, può accedere alla propria app di posta elettronica aziendale. Anziché passare direttamente attraverso l'app di posta elettronica, la richiesta di accesso viene trasferita alla piattaforma di orchestrazione.
- La piattaforma di orchestrazione instrada la richiesta attraverso un sistema di rilevamento delle frodi, cercando segnali di comportamenti sospetti. Poiché il nuovo assunto accede al proprio account di posta elettronica per la prima volta, viene contrassegnato come a rischio più elevato.
- Successivamente, la richiesta di accesso viene inviata alla piattaforma SSO dell'organizzazione. Poiché il nuovo assunto è stato contrassegnato come a rischio più elevato, entra in gioco l'autenticazione adattiva. Di conseguenza, deve utilizzare l'autenticazione a più fattori (MFA) per accedere al proprio account.
- Il nuovo assunto completa le richieste di autenticazione e viene autenticato e autorizzato dalla directory centrale. La piattaforma di orchestrazione trasmette queste informazioni alla piattaforma SSO, che gli consente di accedere al proprio account di posta elettronica, e a tutte le altre app dietro l'SSO, con i giusti privilegi.
Nonostante questo processo si svolga in diversi passaggi, occorre ricordare che tutto ciò avviene automaticamente in background senza che l'utente se ne accorga. La piattaforma di orchestrazione supervisiona il processo dall'inizio alla fine. Inoltre, gli accessi futuri sono ancora più semplici. L'utente accede all'SSO, che ora lo riconosce e gli concede l'accesso a tutto ciò di cui ha bisogno.
Le piattaforme di identity orchestration non sostituiscono i sistemi di identità esistenti. Creano connessioni tra questi sistemi, consentendo a varie app e strumenti di lavorare insieme anche se non sono stati progettati per farlo. Questa funzionalità può aiutare le organizzazioni a risolvere alcuni problemi comuni.
Molte organizzazioni utilizzano più provider di cloud e strumenti on-premise di fornitori diversi. Quando questi sistemi non si integrano, le organizzazioni perdono visibilità sul comportamento degli utenti in tutta la rete. I team IT e di sicurezza non possono tracciare un singolo utente tra Microsoft Azure e Amazon Web Services, ad esempio, perché utilizzano account separati per ciascun cloud.
Questo landscape frammentato può anche rendere difficile applicare criteri di accesso coerenti e controlli di sicurezza su tutte le app e gli asset di un'azienda.
Queste lacune in termini di visibilità e sicurezza creano l'opportunità per hacker e insider malevoli di creare scompiglio senza essere scoperti. La posta in gioco è particolarmente alta quando si tratta di sistemi di identità, che sono obiettivi primari per i criminali informatici. Secondo l' X-Force Threat Intelligence Index, gli attacchi informatici che si basano sull'utilizzo di credenziali rubate o compromesse sono aumentati del 71% tra il 2022 e il 2023.
Le organizzazioni possono ipoteticamente evitare i silos di identità utilizzando solo strumenti di un unico fornitore o solo strumenti progettati per essere integrati. Tuttavia, in questo modo le organizzazioni non sono sempre libere di scegliere gli strumenti giusti per ogni lavoro da svolgere.
L'identity orchestration può abbattere i silos di identità e ripristinare la visibilità senza modifiche massicce ai sistemi esistenti. Le organizzazioni possono creare directory centralizzate per supportare un'unica identità digitale per ciascun utente, consentendo all'azienda di monitorare il comportamento e individuare le minacce in tempo reale su app e asset. Le aziende possono anche utilizzare l'orchestrazione per applicare controlli di accesso uniformi in tutta la rete.
Inoltre, le piattaforme di identity orchestration possono centralizzare la gestione del ciclo di vita delle identità per tutti i tipi di utenti, inclusi dipendenti, clienti e altro ancora. Le organizzazioni possono introdurre solidi controlli di cybersecurity nelle attività rivolte ai consumatori, senza compromettere l'esperienza del cliente.
L'SSO consente agli utenti di accedere a più sistemi con un unico set di credenziali, ma ogni piattaforma SSO potrebbe non essere compatibile con tutte le app e gli asset di un'azienda. Questo perché diversi SSO possono utilizzare standard diversi, come SAML o OIDC, per scambiare informazioni di autenticazione tra sistemi. Se un'app o un asset non può utilizzare lo stesso standard di un determinato SSO, non può comunicare con esso.
Le piattaforme di identity orchestration possono connettere gli SSO con app che non si integrano in modo nativo. Le app e l'SSO si integrano con la piattaforma di identity orchestration, anziché in modo diretto tra loro. La piattaforma di identity orchestration gestisce quindi la comunicazione tra i sistemi, consentendo alle organizzazioni di riunire tutte le app e gli asset sotto lo stesso SSO indipendentemente dalla compatibilità.
Spesso, le organizzazioni desiderano estendere nuove misure di sicurezza come l'autenticazione MFA o senza password alle app legacy. Tuttavia, tali sforzi di modernizzazione possono essere lunghi e costosi, e spesso richiedono un codice personalizzato o una sostituzione totale del sistema.
L'identity orchestration può semplificare il processo. Le organizzazioni possono utilizzare le interfacce visive delle piattaforme di orchestrazione per progettare workflow di identità che integrino gli strumenti di sicurezza più recenti nelle app legacy. Questo consente loro di unire gli asset sul cloud e on-premise in un'unica architettura zero trust.
Le organizzazioni necessitano di visibilità sul comportamento degli utenti per conformarsi a normative quali il General Data Protection Regulation (GDPR) o l'Health Insurance Portability and Accountability Act (HIPAA).
Queste normative impongono alle organizzazioni di applicare rigorose politiche di controllo degli accessi ai dati sensibili, come i numeri delle carte di credito e le informazioni sanitarie, e di monitorare ciò che gli utenti fanno con questi dati. Quando gli utenti hanno più identità digitali, può essere difficile garantire che solo le persone giuste accedano ai dati giusti per i giusti motivi.
L'identity orchestration può aiutare le organizzazioni a soddisfare i requisiti di conformità semplificando il monitoraggio del comportamento degli utenti e l'applicazione di autorizzazioni di accesso coerenti. Alcune piattaforme di orchestrazione conservano anche i registri dei workflow di identità, il che può essere utile in caso di controllo.