search
Il media che reinventa l'impresa
Registrare un software

IAM: come gestire le identità e gli accessi degli utenti

IAM: come gestire le identità e gli accessi degli utenti

Da François Poulet

Il 28 ottobre 2024

In azienda ci sono sempre più applicazioni: SaaS e On-Premise. I movimenti del personale sono sempre più frequenti.

Per orchestrare il vostro ecosistema di utenti, automatizzare e gestire l'accesso di ogni persona al software aziendale, è giunto il momento di scoprire cosa può fare per voi il software IAM.

Che cos'è lo IAM? Definizione e principi di base

Lo IAM (Identity and Access Management ) riunisce tutti i sistemi messi in atto per gestire le autorizzazioni degli utenti al fine di controllarne l'accesso e i diritti alle applicazioni.

Se volessimo riassumere lo IAM in una frase semplice (semplicistica? 🙂 ), potremmo dire che lo IAM corrisponde alla gestione degli utenti e delle loro autorizzazioni.

Negli ultimi anni, lo IAM è diventato un vero e proprio problema al centro dei processi aziendali, anche al di là delle competenze del reparto IT.

ℹ️ Perché è così importante gestire le autorizzazioni degli utenti?

In un'azienda, i dipendenti devono accedere a software o dati con un certo numero di regole di autorizzazione per poter svolgere il proprio lavoro.

Quando ogni dipendente arriva, gran parte del processo di onboarding consiste nella creazione di 2 gruppi di risorse:

  • Risorse appartenenti al "nucleo comune". Queste includono gli strumenti di base dell'ufficio, come gli account Active Directory e la posta elettronica (Office 365, GSuite, ecc.),
  • Risorse "specifiche per l'azienda". Queste risorse corrispondono a strumenti specifici del dipendente o del reparto di appartenenza.

È inoltre importante notare che per il nucleo comune, le impostazioni di ogni risorsa sono specifiche per la funzione dell'utente. Ad esempio, quando viene creato l'account Active Directory, devono essere impostati anche i gruppi di sicurezza corrispondenti al ruolo dell'utente.

Una volta che un nuovo dipendente è entrato in azienda, è anche necessario adattare i diritti di accesso e gli strumenti dell'utente in base alla sua evoluzione all'interno dell'azienda. Quando un utente cambia lavoro, entra in un nuovo reparto o in un nuovo team, è necessario rimuovere o aggiungere diritti di sicurezza, modificare i gruppi di distribuzione a cui appartiene, assegnargli nuovi diritti su nuovi software e, soprattutto, ricordarsi di rimuovere i diritti di cui non ha più bisogno.

Tutte queste operazioni possono essere eseguite manualmente seguendo dei processi. È inoltre necessario assicurarsi che i processi si evolvano in linea con le modifiche apportate alla SI o all'ambito della stessa. A tal fine, è necessario tenere un inventario aggiornato di tutti gli account software, di tutti i tipi di autorizzazione (talvolta denominati profili di autorizzazione) e di un repository delle autorizzazioni per ogni utente, in modo da sapere chi ha accesso a cosa.

ℹ️ Perché è così importante avere questo tipo di archivio?

Perché quando qualcuno lascia l'azienda, non si vuole che il suo accesso rimanga aperto. Cisco, ad esempio, è stata violata da un ex dipendente che aveva ancora accesso a tutti i suoi strumenti diversi mesi dopo aver lasciato l'azienda.

Anche perché, in caso di audit, è necessario dimostrare di avere un controllo degli accessi a grana fine: non lasciate spazio all'approssimazione o all'artigianato quando parlate di autorizzazioni!

Per garantire una gestione rigorosa, e dato che si tratta di centinaia o migliaia di utenti, accessi e parametri di autorizzazione, è necessario utilizzare uno strumento che consenta la governance e, idealmente, l' automazione della manutenzione di questi repository.

Le 4 fasi della creazione di un IAM

Fase 1: Conoscere i propri dipendenti

Può sembrare sorprendente, ma è importante tenere un elenco di TUTTI gli utenti. Chi ha l'elenco degli utenti della vostra azienda? In realtà, nessuno!

Le Risorse Umane ne hanno una parte (dipendenti a tempo indeterminato, a tempo determinato, ecc.), i dipartimenti aziendali ne hanno un'altra (personale temporaneo, fornitori di servizi, ecc.). È quindi essenziale avere una visione unica di tutti questi utenti per poter gestire le loro autorizzazioni.

Fase 2: fare il punto sul software

Può essere un compito difficile, ma è necessario elencare tutti i software utilizzati in azienda. Rischio di girare il coltello nella piaga, ma è davvero necessario elencare tutti i software, anche quelli non gestiti/conosciuti dall'IT.

Se volete garantire la sicurezza della vostra azienda fino alla fine, in questa fase è bene annotare anche tutto l'hardware in dotazione, come badge di accesso, chiavi e apparecchiature informatiche.

Fase 3: "Riconciliare" utenti e software

In contabilità, questa operazione è nota come "lettering": si tratta di associare i diversi account di tutte le applicazioni agli utenti giusti. Questa riconciliazione definisce l'elenco degli strumenti a disposizione di ciascun utente.

Quando si esegue questa operazione di riconciliazione, si trovano account "orfani": si tratta di account "di sistema" o di account utente che non esistono o non esistono più nel repository. Si tratta dei famosi "account fantasma". Gli utenti se ne sono andati, ma gli account sono ancora attivi.

Il nostro consiglio : eseguite queste 3 fasi il più spesso possibile, per garantire la sicurezza del vostro IS.

Il software IAM può semplificare queste 3 operazioni:

Collegando la soluzione IAM al sistema HRIS, si ottiene l'elenco dei dipendenti, quindi si collega la soluzione ad Active Directory (o simili) e si ottiene l'elenco completo degli account. La soluzione riconcilia automaticamente i dati e segnala gli utenti e gli account in errore. Non richiede alcuno sforzo da parte vostra e in pochi minuti avrete tutte le informazioni di cui avete bisogno!

Il bello di una soluzione IAM è che, una volta configurata, può eseguire queste azioni quasi in tempo reale.

Fase 4: gestire i diritti di accesso

Il passo finale consiste nel gestire i diritti di accesso degli utenti. Avete appena detto chi ha il diritto di usare quale software, ma ora dovete definire cosa possono fare con esso.

L'errore più comune è quello di dare a tutti i diritti di amministratore. Se date a tutti pieni poteri, tanto vale non avere una politica di gestione dei diritti!

Quando si concede l'accesso come amministratore, bisogna pensare attentamente alle responsabilità della persona che riceverà questi diritti. Tenete d'occhio soprattutto questi accessi, perché se vengono violati, i danni saranno ovviamente catastrofici.

Alcuni sistemi IAM consentono di monitorare specificamente alcuni diritti di accesso sensibili, in modo da essere informati in caso di modifica (ad esempio, la nomina di un utente ad amministratore di una risorsa).

Gestite voi stessi gli account dei vostri utenti o scegliete una soluzione esterna?

Dopo aver letto i 4 passi per la gestione autonoma dell'identità e degli accessi, potreste pensare: o :

  • OK, lo organizzerò, OPPURE
  • sembra un po' lungo eseguire tutte queste azioni regolarmente e senza la certezza di essere esaustivi.

Quello che pensate in quel momento è già un buon indicatore della necessità o meno di una soluzione IAM completa.

Le dimensioni dell'azienda e il turnover del personale sono altri criteri importanti.

Le risposte sono semplici: se avete 100 o più dipendenti e/o se avete un elevato turnover del personale, scegliete una piattaforma IAM.

Se avete più di 200 dipendenti, non è possibile operare senza un sistema di questo tipo.

I 3 errori più comuni da non commettere quando si parla di IAM

Errore n. 1: confondere IAM e SSO

SSO è un sistema di autenticazione, mentre IAM è un sistema di gestione degli account.

IAM e SSO funzionano molto bene insieme, ma non svolgono affatto le stesse funzioni.

Alla base di questa confusione c'è la definizione dell'esigenza, che non è necessariamente molto chiara: il reparto IT vuole semplificare/centralizzare la gestione delle password degli utenti. Questa richiesta si trova all'incrocio tra IAM, SSO e password manager.

L'implementazione di un sistema SSO permette di centralizzare una parte dell'autenticazione degli utenti per i loro diversi account. Ma i vincoli tecnici di implementazione, compatibilità e manutenzione fanno sì che l'SSO venga applicato solo parzialmente alle varie applicazioni dell'azienda.



Se dovessimo usare una metafora: con l'SSO si decide chi ha il diritto di entrare in casa; con l'IAM si decide chi ha il diritto di spostare i mobili, ridipingere le pareti o semplicemente sedersi.

L'SSO non consente di gestire correttamente i livelli di autorizzazione, non si ha una visione complessiva degli strumenti e dei software, perché non sono tutti compatibili, né si ha una visione complessiva delle persone che lavorano in azienda, perché non si collega al sistema HRIS.

Errore n. 2: confondere utenti e account

Quando sono in contatto con un'azienda e chiedo loro se hanno un repository che centralizza tutti gli utenti, ricevo regolarmente la risposta: "sì, Active Directory è il riferimento". Ma è proprio questo l'errore da non fare: confondere gli utenti con gli account.

Gli utenti sono persone fisiche che hanno un cognome, un nome, una data di arrivo ed eventualmente una data di partenza.

A questi utenti vengono assegnati account di accesso in base a parametri funzionali HR.

Se comprendete questa differenza fondamentale, siete sulla buona strada per implementare una gestione intelligente delle identità nella vostra azienda.

Errore n. 3: pensare che lo strumento IAM, una volta installato, funzioni da solo.

Il progetto IAM può fallire completamente se non si incarica qualcuno della gestione dello strumento. Sì, anche la migliore soluzione IAM ha bisogno di essere curata. I nuovi arrivi, le creazioni di account e le sospensioni richiedono il vostro intervento, ed è mantenendo il vostro IS che rimarrà 'pulito' e correttamente sincronizzato con le informazioni HR.

Infine, i punti chiave per iniziare

👉 Scegliere una soluzione "user-friendly": lo strumento verrà utilizzato regolarmente e la soluzione scelta deve essere semplice ed ergonomica.

👉 Una soluzione SaaS: vi offre una flessibilità costante, senza software ingombranti da installare e mantenere. La vostra soluzione è sempre aggiornata e il TCO è molto più basso in modalità hosted.

👉 Compatibilità con le vostre applicazioni: alcune delle vostre applicazioni sono "On premise" e altre sono SaaS (Office 365, ad esempio). È importante verificare la possibilità di integrare le applicazioni, indipendentemente dalla loro tecnologia, in modo da coprire l'intera portata del sistema informativo. La difficoltà principale è spesso l'integrazione di strumenti proprietari on-premise. Ecco perché in Youzer abbiamo creato un connettore universale in modo che i nostri clienti possano "costruire" un connettore personalizzato per ciascuna delle loro applicazioni.

👉 Servizio clienti reattivo : potreste impegnarvi in una soluzione IAM per diversi anni, quindi avete bisogno di un servizio clienti reattivo che sia in grado di rispondere alle vostre domande e risolvere i vostri problemi. Se si tratta di una piattaforma di grandi dimensioni, assicuratevi di ottenere un tempo di risposta decente e che la persona con cui avete a che fare sia tecnicamente competente (in modo da non essere presi per i fondelli prima di ottenere la risposta 🙃).

👉 Una soluzione che si evolve : scegliete una soluzione che si evolve. Oggigiorno non è raro vedere piattaforme software che non si sono evolute per diversi anni o addirittura decenni. Con la tecnologia e l'utilizzo che cambiano così rapidamente, è importante scegliere una piattaforma che sia flessibile e scalabile.

Articolo sponsorizzato. I collaboratori esperti sono autori indipendenti dal team editoriale di appvizer. I loro commenti e le loro posizioni sono personali.

Articolo tradotto dal francese