Le motivazioni che spingono alla realizzazione di un progetto di Identity Management sono generalmente di natura tecnologica: spesso l’obiettivo è la semplice automatizzazione del processo di abilitazione/disabilitazione delle utenze sulle varie risorse aziendali.

Spesso è prevista l’analisi e la revisione del modello organizzativo, per renderlo più funzionale ai processi da automatizzare. Si potrebbe inoltre avere l’esigenza di gestire, oltre al processo di abilitazione/disabilitazione, anche l’assegnazione di autorizzazioni addizionali in base ai processi approvativi (WorkFlow) o alle mansioni aziendali dell’utente (Ruolo).

Già da questa breve descrizione si evince che un progetto Identity Management può arrivare ad un grado di complessità notevole, che impatta sia gli aspetti tecnici che quelli aspetti organizzativi di un’azienda.

L’esperienza consiglia di affrontare questi progetti per fasi distinte, con una metodologia definita bottom-up che ha l’obiettivo quella di non coinvolgere strutture aziendali esterne all’IT o all’ufficio sicurezza durante la prima fase.

Fase 1

La Fase 1 prevede:

  1. Identificazione dei sistemi / applicazioni coinvolti nel progetto
  2. Identificazione delle relative tipologie di utenze
  3. Identificazione “as-is” dei processi di abilitazione/disabilitazione alle applicazioni
  4. Identificazione “a grana grossa” di eventuali profili base da assegnare nel processo di abilitazione
  5. Personalizzazione della soluzione in base a quanto definito nei primi 4 punti
  6. Caricamento iniziale dei dati ed avvio dei nuovi processi

I benefici ottenuti al termine di questa fase sono immediatamente apprezzabili dai responsabili aziendali del progetto.

Per dare evidenza anche all’esterno di quanto implementato, generalmente s’introducono le funzionalità utente di:

  1. Cambio password centralizzato
  2. Self-Service forgotten password

Come anticipato, questa fase coinvolge solo marginalmente strutture aziendali diverse rispetto all’IT: l’alto contenuto tecnico contribuisce a creare il consenso necessario ad affrontare la seconda e più complessa fase.

La fase 2 si pone l’obiettivo di gestire i processi di assegnazione delle abilitazioni non prese in considerazione nella fase 1, e di spostare la responsabilità delle abilitazioni applicative dall’IT (o Ufficio Sicurezza) al “business onwer” (es.: Manager dell’utente).

Fase 2

La fase 2 prevede:

  1. Identificazione delle assegnazioni in essere sulle varie applicazioni;
  2. Identificazione dei criteri utilizzati a monte per l’assegnazione;
  3. Identificazione della struttura organizzativa dell’azienda, se funzionale all’assegnazione delle autorizzazioni;
  4. Progettazione del catalogo di Ruoli secondo il “modello RBAC” (più livelli: Business Role, Functional Role e Technical Role);
  5. Progettazione dei WorkFlow per le assegnazioni discrezionali delle autorizzazioni;
  6. Formazione degli attori coinvolti;
  7. Caricamento iniziale delle autorizzazioni/ruoli ed avvio dei nuovi processi.

Al termine del progetto di “Identity Management” si otterrà un sistema in grado di:

  1. Automatizzare l’assegnazione di tutte le abilitazioni sui sistemi oggetto del progetto;
  2. Esprimere le assegnazioni con un concetto di ruolo, che semplifica sia l’assegnazione che la leggibilità;
  3. Coinvolgere nel processo delle assegnazioni discrezionali gli attori naturali (business owner), che non dovranno più delegare quest’attività all’IT;
  4. Mantenere i dati delle identità coerenti tra tutte le applicazioni;
  5. Offrire all’utente finale la funzionalita di cambio password e self-service forgotten centralizzato;

E’ comunque importante evidenziare come un progetto di “Gestione delle Identità” non coinvolga generalmente un largo numero di applicazioni ma si tenda ad implementearlo sulle applicazioni più critiche.