Active Directory non è un Identity Manager

Uno degli errori più comuni per cui ci ritroviamo a discutere quando proponiamo soluzioni di Identity Management, è l’idea che avere un Active Directory installato all’interno della propria infrastruttura aziendale, significa possedere un sistema di gestione delle identità.
Quello che sto dicendo quindi, è che se pensate di avere un IDM nella vostra architettura aziendale solo perché avete un Active Directory funzionante, significa che state prendendo un granchio, e di quelli grossi.

Che cos’è un Active Directory?

Come già suggerito dal nome, un Active Directory è un Directory Server, nello specifico quello sviluppato dalla Microsoft. Questi, per farla breve, sono dei sistemi comunicanti tramite protocollo LDAP che hanno una struttura molto simile a quella del File System (per questo directory). Per farla ancora più semplice, senza entrare in dettagli tecnici, un Active Directory non è nient’altro che una fonte di Identità, cioè un server sul quale è possibile salvare le informazioni di oggetti complessi, come possono essere le identità digitali dei dipendenti di un’azienda. Come del resto suggerito anche dalla Microsoft stessa in questo articolo.
Ovviamente stiamo parlando di un directory server molto evoluto, questo è indubbio, infatti al proprio interno ci sono tutta una serie di feature che permettono di poter gestire le informazioni memorizzate al fine di fornire servizi ad applicazioni terze: autenticazione, profilazione, autorizzazione, password policy, cambio password programmabile…

Che cos’è un Identity Manager?

Passiamo ora a vedere cosa sia un Identity Manager. Un IDM come Apache Syncope, è un server centralizzato che, installato all’interno di un’infrastruttura aziendale, si occupa della gestione delle identità digitali esistenti nei diversi repository interni ed esterni ad essa; soprattutto in riferimento ai dati di profilo, condivisi di solito tra diverse applicazioni.
Sempre evitando tediosi dettagli tecnici, facciamo subito un esempio: un’azienda che ha al proprio interno un Data Base dove confluiscono le informazioni dalle risorse umane, un Active Directory attraverso il quale si gestiscono gli accessi ai PC aziendali e le autenticazioni di qualche applicazione terza e un’applicazione che necessità dei dati anagrafici dell’utente per le proprie logiche di business.
In un contesto simile, la stessa persona fisica è collegata a diverse identità digitali, ognuna per ciascuno dei repository citati, con informazioni condivise o da sincronizzare. Ecco, in una simile architettura, Apache Syncope si preoccuperebbe di mantenere sincronizzati gli attributi condivisi dell’utente tra le varie parti in gioco.

Active Directory

Conseguenze di questo misunderstanding

Le conseguenze di questo malinteso sono le tipiche conseguenze di quando scegliamo di implementare determinati meccanismi nel posto sbagliato, cioè quando viene meno la regola numero uno mutuata dalla programmazione, le cose funzionano bene solo quando ogni pezzo dell’infrastruttura si occupa solo delle proprie responsabilità.
Tipiche conseguenze sono la crescita esponenziale di script (o di operazioni fatte manualmente) per poter soddisfare tutti i requisiti aziendali: script per la sincronizzazione delle password tra i vari repository, script per la copia degli utenti; cancellazione di utenti giorni dopo il momento nel quale questi dovrebbero essere effettivamente eliminati etc etc…
Questa situazione con il passare degli anni scatenerà un effetto domino che si tradurrà in difficoltà di manutenzione e supporto; spese per l’aggiornamento degli script; requisiti di sicurezza non soddisfatti.

Come superare l’impasse

Per evitare lo scenario precedente non c’è niente di difficile da fare se non installare un Identity Manager, Apache Syncope per l’esattezza (che è anche Open Source così da non pagare nemmeno i costi di licenza ;)).
Per avere un’installazione di Apache Syncope funzionante si possono percorrere due strade, una in autonomia installando tutto con i propri mezzi, una utilizzando le risorse specializzate offerte Tirasa.
Una volta installato Apache Syncope come Identity Manager, quello che succederà è che l’azienda avrà un punto unico dal quale gestire il ciclo di vita dell’identità digitale; questo comporterà minori sforzi di manutenzione, nessuno script custom o attività di copia-incollaggio di utenze, misure di sicurezza adeguate, assenza di utenti ancora esistenti anche dopo la fine del rapporto lavorativo…insomma, vantaggi in termini di tempo, e quini denaro, sicurezza e solidità.

Avete ancora dubbi? Contattatemi…

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *