Cos'è l'identity orchestration?

Autori

Matthew Kosinski

Staff Editor

IBM Think

Amber Forrest

Staff Editor | Senior Inbound, Social & Digital Content Strategist

IBM Think

Cos'è l'identity orchestration?

L'identity orchestration è una soluzione software per coordinare diversi sistemi di gestione delle identità e degli accessi (IAM) da più provider di identità in workflow senza attriti.

Nell'era della trasformazione digitale, le organizzazioni stanno adottando un numero sempre maggiore di soluzioni SaaS (Software-as-a-Service), passando ad ambienti di multicloud ibrido e abbracciando il lavoro da remoto. Gli ecosistemi IT aziendali di oggi contengono un mix multivendor di app e asset basati sul cloud e on-premise che servono vari utenti, da dipendenti e appaltatori fino a partner e clienti.

Secondo un report, i reparti aziendali utilizzano in media 87 diverse applicazioni SaaS..1 Queste applicazioni dispongono spesso di diversi sistemi di identità, che potrebbero non integrarsi facilmente tra loro. Di conseguenza, molte organizzazioni si trovano ad affrontare landscape di identità frammentati ed esperienze utente complesse.

Ad esempio, un dipendente potrebbe avere account separati per il sistema di gestione dei ticket dell'azienda e il portale di gestione delle relazioni con i clienti (CRM). Questo può rendere difficile un compito semplice, come la risoluzione dei ticket del servizio clienti. L'utente deve destreggiarsi tra diverse identità digitali per ottenere i dettagli dei ticket da un sistema e i dati pertinenti dei clienti da un altro.

Nel frattempo, i team IT e di cybersecurity hanno difficoltà a tracciare l'attività degli utenti e ad applicare criteri di controllo degli accessi coerenti in tutta la rete. Nell'esempio precedente, il dipendente può ritrovarsi con più privilegi di quelli di cui ha bisogno nel sistema di gestione dei progetti, mentre le sue autorizzazioni CRM potrebbero essere insufficienti e non consentirgli di accedere ai record dei clienti che sta servendo.

Il software di orchestrazione delle identità aiuta a semplificare la gestione delle identità e degli accessi organizzando servizi di identità e autenticazione distinti in workflow coerenti e automatizzati.

Tutti gli strumenti di identità di un'azienda si integrano con il software di orchestrazione, che crea e gestisce le connessioni tra di loro. Questa funzionalità consente all'organizzazione di creare un'architettura IAM personalizzata, come i sistemi single sign-on (SSO) indipendenti dal fornitore, senza sostituire o riorganizzare i sistemi esistenti.

Tornando all'esempio precedente, l'organizzazione può utilizzare una piattaforma di orchestrazione delle identità per collegare gli account del dipendente nei sistemi di gestione dei ticket e CRM a una piattaforma SSO e collegare il tutto a un elenco utenti centrale. In questo modo gli utenti possono accedere all'SSO una sola volta per accedere a entrambe le app, e la directory centrale verifica automaticamente le loro identità e applica le autorizzazioni di accesso corrette per ogni servizio.

Newsletter Think

Il tuo team sarebbe in grado di rilevare in tempo il prossimo zero-day?

Unisciti ai leader della sicurezza che si affidano alla newsletter Think per ricevere notizie selezionate su AI, cybersecurity, dati e automazione. Impara velocemente da tutorial e articoli informativi consegnati direttamente nella tua casella di posta. Leggi l'Informativa sulla privacy IBM.

L'abbonamento sarà fornito in lingua inglese. Troverai un link per annullare l'iscrizione in tutte le newsletter. Puoi gestire i tuoi abbonamenti o annullarli qui. Per ulteriori informazioni, consulta l'informativa sulla privacy IBM.

https://www.ibm.com/it-it/privacy

Come funziona l'identity orchestration?

Nell'informatica, l'orchestrazione è il processo di connessione e coordinamento di strumenti eterogenei per automatizzare workflow complessi costituiti da più fasi. Ad esempio, nell'ambito dell'orchestrazione della sicurezza, un'organizzazione potrebbe mettere insieme un secure e-mail gateway, una piattaforma di threat intelligence e un software antimalware per creare un workflow automatico di rilevamento e risposta al phishing.

L'identity orchestration connette e coordina le funzionalità di strumenti per l'identità eterogenei per creare workflow di identità unificati e ottimizzati.

Gli strumenti per l'identità sono gli strumenti utilizzati da un'organizzazione per definire, gestire e proteggere le identità degli utenti, come i sistemi di verifica dell'identità e le piattaforme di gestione dell'identità e dell'accesso dei clienti.

I workflow di identità sono i processi attraverso i quali gli utenti si spostano attraverso gli strumenti di identità. Esempi di workflow di identità includono gli accessi degli utenti, l'onboarding e il provisioning degli account.

Gli strumenti di identità non sempre si integrano facilmente, soprattutto quando le organizzazioni hanno a che fare con strumenti SaaS ospitati su cloud diversi o cercano di colmare le lacune tra i sistemi on-premise e quelli basati su cloud. Le piattaforme di orchestrazione delle identità possono connettere questi strumenti anche quando non sono progettati per l'integrazione.

Le piattaforme di identity orchestration fungono da piani di controllo centrali per tutti i sistemi di identità in una rete. Ogni strumento per l'identità si integra con la piattaforma di orchestrazione, creando un'architettura di identità completa chiamata identity fabric.

Le organizzazioni non devono codificare nessuna di queste integrazioni. Le piattaforme di orchestrazione,infatti, utilizzano una combinazione di connettori preconfigurati, interfacce di programmazione delle applicazioni (API) e standard comuni come SAML e OAuth per gestire le connessioni tra gli strumenti.

Una volta che i sistemi di identità sono integrati in un identity fabric, l'organizzazione può utilizzare la piattaforma di orchestrazione per coordinare le proprie attività e controllare il modo in cui gli utenti si spostano tra gli strumenti durante i workflow di identità. In particolare, la piattaforma di orchestrazione disaccoppia l'autenticazione e l'autorizzazione dalle singole applicazioni, rendendo possibili complessi workflow di identità.

Come accennato in precedenza, in assenza di una soluzione di orchestrazione i diversi sistemi di identità potrebbero non comunicare tra loro. Se, ad esempio, un'organizzazione utilizza uno strumento di gestione delle relazioni con i clienti (CRM) e un sistema di gestione dei documenti (DMS) di fornitori diversi, ogni app potrebbe avere il proprio sistema IAM.

Gli utenti devono mantenere account separati in ogni app. Per accedere a entrambe le app, gli utenti accederanno direttamente a quel servizio. L'autenticazione e l'autorizzazione avvengono all'interno del sistema IAM distinto di ciascuna app e non vengono trasferite da un'app all'altra.

Con una soluzione di orchestrazione, le cose sono diverse. Quando un utente accede a una delle app, la richiesta passa prima attraverso la soluzione di orchestrazione. La soluzione instrada la richiesta al giusto servizio di verifica delle identità e di controllo degli accessi, che può essere una directory centrale esterna a entrambe le app.

Una volta autenticato e autorizzato l'utente dalla directory centrale, la piattaforma di orchestrazione attiva l'app per consentire all'utente di accedere con le autorizzazioni corrette.

Workflow per l'identità

Per implementare l'identity orchestration nella pratica, le organizzazioni utilizzano piattaforme di orchestrazione delle identità per creare workflow di identità. Chiamati anche "user journey", i workflow relativi alle identità sono processi che determinano il modo in cui un utente si sposta attraverso gli strumenti di identità e come questi strumenti interagiscono in situazioni definite, ad esempio quando si accede a un'app.

I workflow possono essere semplici o relativamente complessi, con logica condizionale e percorsi ramificati. Possono coinvolgere molti sistemi diversi, inclusi alcuni che non sono strettamente considerati strumenti per l'identità, come i servizi di posta elettronica e i siti di social media.

Le soluzioni di identity orchestration consentono alle organizzazioni di creare user journey senza scrivere nuovo codice. Queste soluzioni dispongono di interfacce visive, drag and drop e no-code in grado di definire eventi, collegare strumenti per l'identità e costruire percorsi utente.

Per capire cosa sono i workflow relativi alle identità, potrebbe essere utile dare un'occhiata a un esempio. Ecco un ipotetico workflow per l'onboarding e l'accesso dei nuovi assunti che un'organizzazione può costruire tramite una piattaforma di orchestrazione.

  1. Innanzitutto, il nuovo assunto crea un account in un portale HR self-service. In questo modo si avvia il workflow di onboarding.

  2. La piattaforma di identity orchestration attiva la creazione di un'identità utente unica per il nuovo assunto nel servizio di directory centrale dell'organizzazione. Al nuovo assunto viene assegnata automaticamente anche una serie di privilegi di accesso basati sui ruoli.

  3. La piattaforma di orchestrazione fornisce quindi agli account dei nuovi assunti tutti i servizi rilevanti, comprese le app che utilizzeranno sul lavoro e i sistemi di back-office come i software per la gestione delle paghe. Questi account sono associati all'identità utente principale del nuovo assunto nella directory centrale.

  4. Ora che il dipendente è nel sistema, può accedere alla propria app di posta elettronica aziendale. Anziché passare direttamente attraverso l'app di posta elettronica, la richiesta di accesso viene trasferita alla piattaforma di orchestrazione.

  5. La piattaforma di orchestrazione instrada la richiesta attraverso un sistema di rilevamento delle frodi, cercando segnali di comportamenti sospetti. Poiché il nuovo assunto accede al proprio account di posta elettronica per la prima volta, viene contrassegnato come a rischio più elevato.

  6. Successivamente, la richiesta di accesso viene inviata alla piattaforma SSO dell'organizzazione. Poiché il nuovo assunto è stato contrassegnato come a rischio più elevato, entra in gioco l'autenticazione adattiva. Di conseguenza, deve utilizzare l'autenticazione a più fattori (MFA) per accedere al proprio account.

  7. Il nuovo assunto completa le richieste di autenticazione e viene autenticato e autorizzato dalla directory centrale. La piattaforma di orchestrazione trasmette queste informazioni alla piattaforma SSO, che gli consente di accedere al proprio account di posta elettronica, e a tutte le altre app dietro l'SSO, con i giusti privilegi.

Nonostante questo processo si svolga in diversi passaggi, occorre ricordare che tutto ciò avviene automaticamente in background senza che l'utente se ne accorga. La piattaforma di orchestrazione supervisiona il processo dall'inizio alla fine. Inoltre, gli accessi futuri sono ancora più semplici. L'utente accede all'SSO, che ora lo riconosce e gli concede l'accesso a tutto ciò di cui ha bisogno.

Casi d'uso dell'orchestrazione delle identità

Le piattaforme di identity orchestration non sostituiscono i sistemi di identità esistenti. Creano connessioni tra questi sistemi, consentendo a varie app e strumenti di lavorare insieme anche se non sono stati progettati per farlo. Questa funzionalità può aiutare le organizzazioni a risolvere alcuni problemi comuni.

Abbattere i silos di identità negli ambienti multicloud

Molte organizzazioni utilizzano più provider di cloud e strumenti on-premise di fornitori diversi. Quando questi sistemi non si integrano, le organizzazioni perdono visibilità sul comportamento degli utenti in tutta la rete. I team IT e di sicurezza non possono tracciare un singolo utente tra Microsoft Azure e Amazon Web Services, ad esempio, perché utilizzano account separati per ciascun cloud.

Questo landscape frammentato può anche rendere difficile applicare criteri di accesso coerenti e controlli di sicurezza su tutte le app e gli asset di un'azienda.

Queste lacune in termini di visibilità e sicurezza creano l'opportunità per hackerinsider malevoli di creare scompiglio senza essere scoperti. La posta in gioco è particolarmente alta quando si tratta di sistemi di identità, che sono obiettivi primari per i criminali informatici. Secondo l' X-Force Threat Intelligence Index, gli attacchi informatici che utilizzano credenziali rubate o compromesse sono tra le minacce più comuni.

Le organizzazioni possono ipoteticamente evitare i silos di identità utilizzando solo strumenti di un unico fornitore o solo strumenti progettati per essere integrati. Tuttavia, in questo modo le organizzazioni non sono sempre libere di scegliere gli strumenti giusti per ogni lavoro da svolgere.

L'identity orchestration può abbattere i silos di identità e ripristinare la visibilità senza modifiche massicce ai sistemi esistenti. Le organizzazioni possono creare directory centralizzate per supportare un'unica identità digitale per ciascun utente, consentendo all'azienda di monitorare il comportamento e individuare le minacce in tempo reale su app e asset. Le aziende possono anche utilizzare l'orchestrazione per applicare controlli di accesso uniformi in tutta la rete.

Inoltre, le piattaforme di identity orchestration possono centralizzare la gestione del ciclo di vita delle identità per tutti i tipi di utenti, inclusi dipendenti, clienti e altro ancora. Le organizzazioni possono introdurre solidi controlli di cybersecurity nelle attività rivolte ai consumatori, senza compromettere l'esperienza del cliente.
Creare sistemi SSO personalizzati

L'SSO consente agli utenti di accedere a più sistemi con un unico set di credenziali, ma ogni piattaforma SSO potrebbe non essere compatibile con tutte le app e gli asset di un'azienda. Questo perché diversi SSO possono utilizzare standard diversi, come SAML o OIDC, per scambiare informazioni di autenticazione tra sistemi. Se un'app o un asset non può utilizzare lo stesso standard di un determinato SSO, non può comunicare con esso.

Le piattaforme di identity orchestration possono connettere gli SSO con app che non si integrano in modo nativo. Le app e l'SSO si integrano con la piattaforma di identity orchestration, anziché in modo diretto tra loro. La piattaforma di identity orchestration gestisce quindi la comunicazione tra i sistemi, consentendo alle organizzazioni di riunire tutte le app e gli asset sotto lo stesso SSO indipendentemente dalla compatibilità.
Aggiornare e proteggere gli asset legacy senza riscrivere il codice 

Spesso, le organizzazioni desiderano estendere nuove misure di sicurezza come l'autenticazione MFA o senza password alle app legacy. Tuttavia, tali sforzi di modernizzazione possono essere lunghi e costosi, e spesso richiedono un codice personalizzato o una sostituzione totale del sistema.

L'identity orchestration può semplificare il processo. Le organizzazioni possono utilizzare le interfacce visive delle piattaforme di orchestrazione per progettare workflow di identità che integrino gli strumenti di sicurezza più recenti nelle app legacy. Questo consente loro di unire gli asset sul cloud e on-premise in un'unica architettura zero trust.
Soddisfare i requisiti di conformità 

Le organizzazioni necessitano di visibilità sul comportamento degli utenti per conformarsi a normative quali il General Data Protection Regulation (GDPR) o l'Health Insurance Portability and Accountability Act (HIPAA).

Queste normative impongono alle organizzazioni di applicare rigorose politiche di controllo degli accessi ai dati sensibili, come i numeri delle carte di credito e le informazioni sanitarie, e di monitorare ciò che gli utenti fanno con questi dati. Quando gli utenti hanno più identità digitali, può essere difficile garantire che solo le persone giuste accedano ai dati giusti per i giusti motivi.

L'identity orchestration può aiutare le organizzazioni a soddisfare i requisiti di conformità semplificando il monitoraggio del comportamento degli utenti e l'applicazione di autorizzazioni di accesso coerenti. Alcune piattaforme di orchestrazione conservano anche i registri dei workflow di identità, il che può essere utile in caso di controllo.
Soluzioni correlate
IBM Verify

Crea un framework di identità sicuro e vendor-agnostic, in grado di modernizzare la gestione delle identità e degli accessi (IAM), integrarsi con gli strumenti esistenti e supportare l'accesso ibrido senza aggiungere complessità.

 Esplora IBM Verify
Soluzioni per la sicurezza

Proteggi i tuoi ambienti hybrid cloud e AI con una protezione intelligente e automatizzata per dati, identità e minacce.

 Esplora le soluzioni per la sicurezza
Servizi di gestione delle identità e degli accessi

Proteggi e gestisci gli accessi degli utenti con controlli automatici dell'identità e governance basata sul rischio negli ambienti hybrid cloud.

         Esplora i servizi IAM
    Fasi successive

    Migliora la gestione delle identità e degli accessi (IAM) con Verify per un accesso ibrido ottimale e rafforza la protezione dell'identità scoprendo i rischi basati sull'identità nascosti, grazie all'AI.

         Scopri IBM Verify  Esplora la protezione delle identità di IBM Verify