Accesso unico senza interruzioni. Perché in RooX UIDM sono uniti SSO e IDM in un'unica sistema

      SSO è diventato uno standard ormai consolidato, ma nelle grandi infrastrutture un SSO stand-alone non basta: infatti, in alcuni punti si mantiene ancora l’accesso per un dipendente licenziato, in altri l’ex appaltatore è ancora attivo nel sistema, e in altri ancora il dipendente è stato trasferito da tempo, ma i suoi diritti non sono stati aggiornati. RooX UIDM risolve questi problemi non con un insieme di integrazioni, ma come un sistema unitario, in cui SSO e IDM funzionano come un’unica entità. Spieghiamo perché questo è fondamentale e dove tali combinazioni rendono la sicurezza non solo formale, ma effettiva.

      Organizzare un accesso unico (Single Sign-On, SSO) è una delle sfide più richieste nell’implementazione di un sistema di gestione degli accessi. Tuttavia, nella pratica si scopre che nelle grandi aziende le funzioni di una semplice autenticazione non sono sufficienti per garantire un SSO stabile e sicuro. In questo ruolo riveste un'importanza cruciale il componente IDM, che assicura l’affidabilità e l’aggiornamento delle informazioni sugli utenti.

      Cosa succede senza IDM

      Nel classico SSO mancano strumenti per automatizzare l’assegnazione degli accessi. Nella maggior parte degli scenari, senza la presenza di un elemento IDM, il sistema di SSO si collega ai repository di utenti esistenti (ad esempio, AD).

      Questo schema presenta due svantaggi nelle grandi aziende:

      - Molto lavoro manuale da parte degli amministratori: creare account al momento dell’assunzione, aggiungerli ai gruppi, monitorare modifiche ai permessi in caso di trasferimenti, bloccarli durante le ferie o il licenziamento.

      - Errori dovuti al fattore umano: dimenticare di assegnare i permessi, concederne troppo pochi o troppi, non revocarli al momento opportuno e altro ancora. Ognuno di questi scostamenti rappresenta un possibile punto di fuga, rischio di audit, interruzioni operative, sovraccarico del reparto IT, insoddisfazione collettiva.

      Sei sistema IDM autonomo

      Capendo che la gestione degli accessi richiede più di quanto può offrire un semplice SSO, le aziende pensano di adottare un IDM separato. Tuttavia, in questo caso si pone un altro problema: un IDM dedicato è quasi sempre sovradimensionato. La maggior parte delle sue funzioni vengono utilizzate una o poche volte ogni cinque anni o non vengono affatto configurate, contribuendo solo ad aumentare complessità e costi di gestione.

      Inoltre, un IDM pesante introduce burocrazia: si aggiungono nuovi interfacce, ruoli, passaggi di approvazione. Anziché semplificare i processi, si crea un sistema supplementare da mantenere.

      Anche l’aspetto economico è rilevante: bisogna predisporre un budget non solo per le licenze e l’implementazione di IDM, ma anche per la sua integrazione con il sistema SSO.

      Alla fine, invece di ottenere un’automazione facile e un SSO affidabile, l’azienda si ritrova con un sistema sovraccarico, in cui l’accesso tempestivo e sicuro—il cuore dell’efficienza—si perde tra le regole.

      Cosa richiede SSO da IDM: il minimo indispensabile per ottenere il massimo

      Analizzando casi pratici e richieste di grandi aziende, abbiamo scoperto che, per risolvere il problema dell’SSO, non serve l’intero IDM, ma senza alcune funzioni chiave non si può procedere.

      - Sincronizzazione con i sistemi HR: bisogna gestire gli eventi di personale, creando o bloccando automaticamente gli account, concedendo o revocando i permessi.

      - Non solo i dipendenti: molte aziende consento l’accesso anche a soggetti esterni, come appaltatori, integratori, partner, auditor. È essenziale gestirne i diritti nello stesso modo dei dipendenti, considerando durata del contratto, status, zone di responsabilità.

      - Modello basato sui ruoli: deve supportare ruoli statici, assegnazioni automatiche secondo la struttura organizzativa, ruoli contestuali (per esempio, per progetti), eccezioni manuali.

      - Trasmissione delle modifiche ad altri sistemi: applicazioni protette o cataloghi di utenti.

      Con tutte queste funzionalità, abbiamo arricchito RooX UIDM implementando al suo interno un modulo IDM.

      Come si integra SSO+IDM in RooX UIDM

      Integrazione con i sistemi HR

      RooX UIDM si sincronizza con i sistemi HR e gestisce gli eventi di personale che influenzano la gestione degli accessi. Ad esempio, l’evento “assunzione di un nuovo dipendente” può avviare questa catena di azioni: creazione di account in RooX UIDM, AD, sistema di posta aziendale e altre applicazioni di business; assegnazione di ruoli iniziali in RooX UIDM; inserimento nei gruppi corrispondenti in AD; avvio dello scenario di primo accesso (generazione di password temporanea, impostazione di password definitiva al primo login).

      Non solo i dipendenti

      In RooX UIDM anche gli utenti esterni sono soggetti di accesso a tutti gli effetti. Il sistema permette di assegnare loro ruoli, limitare la durata di validità dei permessi e bloccare automaticamente gli account al termine delle attività o del contratto.

      Leggi anche

      Il cosmo si trasforma in infrastruttura computing con IA

      Il cosmo diventa un’infrastruttura di calcolo: satelliti con IA operano già come data center a orbita. IT-World approfondisce chi dà il ritmo in questa gara e come questa nuova infrastruttura cambia le regole del gioco.

      Modello di ruolo

      RooX UIDM supporta sia RBAC (Role-Based Access Control) che ABAC (Attribute-Based Access Control). È possibile:

      - Definire ruoli organizzativi (per esempio, “Addetto alla logistica del sito A”),

      - Creare ruoli di progetto o temporanei con scadenza,

      - Assegnare diritti diretti, senza aggregare in un ruolo—per eccezioni o scenari non standard,

      - Utilizzare più gerarchie di ruolo parallele—ad esempio, una riflette la struttura organizzativa, un’altra le caratteristiche funzionali o geografiche (per esempio, azienda ↔ reparto ↔ turno).

      Nel caso di ABAC, è possibile impostare regole basate su attributi come posizione, dipartimento, progetto, località, data di inizio, anzianità, ecc. Questo è particolarmente importante per aziende con strutture matriciali o holding, dove l’accesso dipende da più fattori contemporaneamente.

      Trasmissione delle modifiche ad altri sistemi

      RooX UIDM include un servizio di sincronizzazione dati tra diversi sistemi per la gestione degli accessi e delle identità degli utenti.

      Integrazione con sistemi di richiesta

      Dall’analisi dei requisiti abbiamo deciso che non è necessario implementare in RooX UIDM un meccanismo di richiesta di autorizzazione. Nelle grandi aziende, esistono già sistemi di approvazione usati per altre richieste. Per evitare duplicazioni, RooX UIDM si integra con i sistemi di approvazione già presenti (Naumen SD, Jira Service Management, 1C ITIL, piattaforme BPM e altre).

      In questo modo:

      - tutte le richieste sono gestite centralmente, nell’interfaccia usuale degli utenti di business,

      - non è necessario formare gli utenti a un nuovo sistema,

      - RooX UIDM automatizza il processamento delle richieste approvate e il verificarle,

      - i flussi di approvazione restano sotto il controllo della logica aziendale e dei processi IT.

      Vantaggi di questo approccio

      - Punto di gestione unico: gestione dell’autenticazione, degli account e dei permessi in un’interfaccia unificata.

      - Accesso controllato: RooX UIDM non si limita a consentire l’accesso tramite SSO, ma decide se autorizzare l’utente in base al suo stato attuale aziendale.

      - Routing flessibile: l’accesso ai diversi sistemi può richiedere fattori diversi—ad esempio, l’SSO in ERP può essere richiesto solo con MFA rafforzato.

      - Controllo alla disconnessione: in caso di licenziamento, RooX UIDM non si limita a bloccare l’accesso, ma revoca le sessioni e notifica la sicurezza informatica.

      - Audit e conformità: ogni accesso è loggato, consentendo di tracciare in qualsiasi momento chi, dove e quando ha effettuato l’accesso e se è stato autorizzato.

      Il principale risultato ottenuto dall’unificazione di SSO e IDM in un unico prodotto è la riduzione del costo complessivo di soluzione del problema per il cliente.