Concetti fondamentali

Capitolo 5: Gestione del ciclo di vita delle identità

Aggiornato: 29 aprile 2004

La maggior parte delle organizzazione deve gestire più archivi di identità. Quando un ambiente di rete presenta più di una posizione nella quale memorizzare identità digitali, si pone il problema della gestione di identità multiple.

La gestione del ciclo di vita delle identità comprende i processi e le tecnologie che consentono l'implementazione, l'annullamento dell'implementazione, la gestione e la sincronizzazione di identità digitali e conformi ai criteri governativi. La riuscita della gestione di identità e accessi si basa soprattutto sull'efficienza della gestione del ciclo di vita delle identità digitali.

I servizi di gestione del ciclo di vita delle identità consentono la creazione di identità di protezione, la gestione degli attributi, la sincronizzazione, l'aggregazione e l'eliminazione. Inoltre, tali azioni devono essere eseguite in modo protetto con un itinerario di controllo completo. In questa sezione viene illustrato come i prodotti Microsoft rispondono a questi requisiti.

Integrazione delle identità

I servizi di integrazione delle identità (IdI, Identity integration) collegano informazioni sulle identità in più directory, database e altri archivi delle identità. Forniscono una visualizzazione unificata degli utenti e sono in grado di implementare identità o di annullarne l'implementazione su più archivi.

Microsoft offre due applicazioni correlate per l'integrazione delle identità illustrate in questa sezione. Tali applicazioni sono:

  • Microsoft® Identity Integration Server 2003, Enterprise Edition (MIIS 2003).

  • Identity Integration Feature Pack per Active Directory di Microsoft Windows Server™.

MIIS 2003 potenzia il servizio directory Microsoft Active Directory® offrendo ampie capacità di interoperabilità che comprendono:

  • Integrazione con un'ampia gamma di archivi di identità.

  • Implementazione di informazioni sulle identità su più archivi.

  • Associazione di informazioni sulle identità, rilevamento automatico degli aggiornamenti e sincronizzazione delle modifiche sui sistemi.

  • Trasformazione dei dati di un archivio di identità perché corrispondano allo schema di un altro archivio.

Identity Integration Feature Pack per Active Directory di Microsoft Windows Server è una versione con una serie ridotta di funzionalità di MIIS 2003, disponibile per il download gratuito. Il feature pack consente di integrare informazioni sulle identità tra elenchi di indirizzi globali di Active Directory, ADAM ed Exchange 2000/2003. È possibile scaricare il feature pack dalla pagina Identity Integration Feature Pack for Microsoft Windows Server Active Directory dell'area di download del sito Web Microsoft all'indirizzo: http://www.microsoft.com/downloads/details.aspx? FamilyID=d9143610-c04d-41c4-b7ea-6f56819769d5.

Microsoft offre inoltre prodotti che consentono l'integrazione con specifiche piattaforme. Questi prodotti consentono di integrare sistemi operativi non Microsoft in un ambiente Windows e possono essere utili per alcuni scenari non completamente supportati in MIIS 2003 oppure nel caso sia semplicemente necessario eseguire l'integrazione con un'altra piattaforma. Tali prodotti comprendono:

  • Services for UNIX. Questo prodotto potenzia i record di Active Directory perché includano credenziali e diritti UNIX, consentendo di amministrare utenti e gruppi UNIX in modo identico agli utenti e gruppi Windows. Il prodotto consente inoltre la sincronizzazione di password tra UNIX e Active Directory.

  • Services for NetWare. Questo prodotto fornisce un servizio altamente flessibile che offre una soluzione di interoperabilità completa tra Active Directory e Novell eDirectory 8.7 e relativo bindery. Il prodotto riduce il costo della gestione di identità e accessi mediante la sincronizzazione di password bidirezionale tra i sistemi Active Directory e Novell.

  • Services for Macintosh. Questo prodotto abilita un componente integrato di Microsoft Windows Server perché consenta a computer che eseguono sistemi operativi Windows e Macintosh di condividere file e stampanti. Inoltre, Windows Server può funzionare da router AppleTalk. Services for Macintosh include inoltre Microsoft User Authentication Module (MSUAM), che fornisce un meccanismo SSO protetto per l'accesso dei client Macintosh alle applicazioni che eseguono Windows Server 2003.

  • Host Integration Server (HIS). Questo prodotto consente l'integrazione di applicazioni, dati e reti per estendere l'accesso da sistemi operativi Windows a sistemi host precedenti come AS/400 e mainframe che eseguono DB2, RACF, ACF2 e altri sistemi operativi. HIS è inoltre in grado di associare ID e password utente da un sistema operativo Windows a un sistema host senza modificare l'ambiente di protezione dell'host.

Inizio pagina

Implementazione

Il problema centrale della gestione dei cicli di vita delle identità digitali è assicurare la possibilità di aggiungere e rimuovere identità di protezione nell'archivio di identità centralizzato gestito da Active Directory, oltre che in altri archivi di identità per applicazioni non completamente integrate con Active Directory. In genere si fa riferimento a questo scenario come a uno scenario "hire/fire".

Aggiunta di flussi di lavoro all'implementazione

L'implementazione di identità spesso deve legarsi con le procedure operative dell'organizzazione. Ad esempio, quando si assume un nuovo dipendente, il responsabile del dipendente potrebbe dover approvare il processo di implementazione della relativa identità. Sono disponibili tre modi principali per aggiungere flussi di lavoro al meccanismo di implementazione delle identità.

  • Estensioni delle regole MIIS 2003: è possibile applicare l'implementazione semplice, basata su flusso di lavoro mediante le estensioni delle regole MIIS 2003. Una modifica dello stato di un database connesso, come un'applicazione RU, darebbe il via a una sequenza di implementazione automatica. Le estensioni delle regole in MIIS 2003 regolano la risultante creazione di identità digitali negli archivi di identità appropriati. Tuttavia, questo meccanismo non consentirebbe processi di approvazione manuali.

  • Flusso di lavoro semplice: un'altra opzione sarebbe implementare una singola applicazione di flusso di lavoro, probabilmente con un'interfaccia basata sul Web che consenta passaggi manuali del flusso di lavoro nel processo di implementazione automatico. Questa opzione potrebbe includere uno scenario in cui un nuovo dipendente richiede l'approvazione del responsabile, ma un responsabile può approvare solo i propri nuovi dipendenti. Quando il reparto RU crea un account per il nuovo impiegato, inserisce i dettagli sul responsabile per inviare una notifica via posta elettronica al relativo responsabile. Quando il responsabile accede al sito Web, visualizza un elenco dei nuovi dipendenti da approvare. Quando concede l'approvazione vengono creati i nuovi account utente in tutti i relativi archivi delle identità.

  • Orchestrazione di Microsoft BizTalk® 2004: le orchestrazioni di BizTalk 2004 offrono funzionalità di flusso di lavoro avanzate per ambienti complessi ed eterogenei.

Implementazione di account shadow

Nel Capitolo 6, "Gestione degli accessi", viene illustrato il modo in cui è possibile utilizzare account shadow come alternativa alla creazione di trust tra due domini altrimenti considerati non reciprocamente attendibili. Per mantenere questo meccanismo e renderlo solido, è preferibile automatizzare la creazione e la rimozione di account shadow tra domini diversi. MIIS 2003 rappresenta uno strumento eccellente per l'implementazione e la sincronizzazione di account shadow.

Inizio pagina

Amministrazione delegata

La gestione del ciclo di vita delle identità comprende la delega della possibilità di gestire determinati aspetti delle identità digitali gestite in Active Directory. È possibile ottenere tale operazione utilizzando il controllo dell'accesso preciso integrato in Active Directory tramite una serie di interfacce. Se lo schema è dotato di criteri di autorizzazione configurati in modo corretto per gli elenchi di controllo di accesso (ACL) di Active Directory, gli snap-in MMC (Microsoft Management Console) consentono di delegare la gestione di qualsiasi oggetto in Active Directory, inclusi gli account utente che rappresentano identità digitali.

Un'altra diffusa possibilità di scelta di interfaccia di gestione è creare un'applicazione Web integrata in Active Directory che fornisca la gestione di account e attributi. I partner Microsoft specializzati nella gestione degli accessi in genere includono questa funzionalità nei loro prodotti.

Per ulteriori informazioni sulle funzionalità di amministrazione delegata di Active Directory, vedere "Design Considerations for Delegation of Administration in Active Directory" nel sito Web Microsoft TechNet all'indirizzo: http://www.microsoft.com/technet/prodtechnol/windows2000serv/ technologies/activedirectory/plan/addeladm.mspx.

Inizio pagina

Self-Service

La possibilità per i normali utenti di gestire qualche sottoinsieme dei relativi attributi di directory rappresenta un fattore fondamentale per la riduzione dei costi di gestione delle identità. I prodotti Microsoft supportano questa funzionalità in modo indiretto, attraverso l'autorizzazione dettagliata a livello di attributo in Active Directory. Molti clienti Microsoft hanno sviluppato interfacce proprie, in genere pagine Web, per la modifica autonoma di attributi mediante Visual Studio.NET. Per i clienti che desiderano acquistare un prodotto esistente, i partner Microsoft forniscono interfacce Web di facile utilizzo che consentono agli utenti di gestire autonomamente determinate informazioni sugli attributi.

Inizio pagina

Gestione delle credenziali

Meccanismi di autenticazione diversi spesso utilizzano credenziali differenti (come i certificati x.509, le password del protocollo di autenticazione Kerberos e le password di Microsoft Passport), per cui qualsiasi piattaforma che supporta più meccanismi di autenticazione dovrebbe offrire la possibilità agli utenti di gestire le proprie credenziali multiple. In Windows, questa funzionalità è denominata Gestione credenziali di Windows.

Gestione credenziali di Windows fornisce agli utenti finali la possibilità di memorizzare nella cache le credenziali e di associarle a specifiche posizioni. Ad esempio, è possibile utilizzare diversi account Microsoft Passport con diversi siti Web ed è possibile identificare certificati differenti per l'uso con diverse applicazioni Web.

Gestione delle password

Molti ambienti includono sistemi e applicazioni che non possono essere integrate facilmente con le funzionalità di protezione in Windows Server 2003 e Active Directory. Questi sistemi si basano in genere su protocolli di autenticazione differenti o utilizzano un archivio separato delle identità per l'autenticazione.

Tuttavia, molti di questi sistemi utilizzano le password per l'autenticazione. È possibile ottenere una migliore esperienza degli utenti (sebbene probabilmente aumentando anche la superficie soggetta ad attacchi) attraverso l'implementazione e la sincronizzazione degli account e la gestione delle credenziali (password) utilizzate per l'accesso ad Active Directory con account e password utilizzate in altri sistemi. I prodotti Microsoft che consentono la gestione delle password comprendono:

  • MIIS 2003. Questo prodotto consente la propagazione delle password tra directory connesse mediante un'interfaccia WMI (Windows Management Instrumentation, Strumentazione gestione Windows). L'interfaccia WMI viene utilizzata dalle pagine Web predefinite per la modifica e la reimpostazione delle password fornite con MIIS o da una soluzione personalizzata che utilizza altre funzionalità di Windows, come il filtro di notifica delle password descritto nella voce finale di questo elenco.

  • Services for UNIX. Questo prodotto consente la propagazione delle password tra Active Directory e la piattaforma UNIX.

  • Services for NetWare. Questo prodotto consente la propagazione delle password tra Active Directory e NetWare.

  • Host Integration Server (HIS). Questo prodotto consente la sincronizzazione delle password tra Active Directory e diversi sistemi basati su host.

  • Filtro di notifica della password personalizzata di Active Directory. Nel Software Development Kit (SDK) della piattaforma Windows e nel documento relativo alla gestione delle password di questa serie sono riportate informazioni sullo sviluppo di un filtro di notifica della password personalizzata per implementare servizi di gestione delle password potenziati.

È possibile gestire account e password con altri sistemi, specialmente altri sistemi di directory e database di memorizzazione delle identità attraverso MIIS 2003. Il prodotto è dotato di connettori che si integrano con i più diffusi servizi di directory e database, semplificando la distribuzione di un meccanismo di gestione delle password. MIIS 2003 supporta la gestione delle password nei modi seguenti:

  • Reimpostazione da parte dell'assistenza tecnica: gli addetti all'assistenza tecnica reimpostano le password utente mediante l'interfaccia Web fornita con MIIS. È possibile configurare la modifica delle password perchè passi ad Active Directory e ad altre directory supportate da MIIS 2003 per la gestione delle password.

  • Modifiche avviate sul Web: gli utenti modificano le password attraverso un'applicazione comune per la modifica delle password basata sul Web. La password viene quindi distribuita a tutte le directory e i sistemi supportati da MIIS, incluso Active Directory.

  • Modifiche avviate in Windows: gli utenti modificano le password attraverso la finestra di dialogo Cambia password nei computer client Windows. Il filtro di notifica delle password di Active Directory ottiene la password modificata e la distribuisce ad altri sistemi mediante MIIS 2003. Questa funzionalità non è attualmente integrata in MIIS 2003 ma può essere implementata mediante Visual Studio .NET con codifica personalizzata, come illustrato nell'esempio incluso nel documento relativo alla gestione delle password di questa serie.

  • Modifiche avviate da altri sistemi: gli utenti modificano le password attraverso sistemi operativi non Windows. La password viene ottenuta attraverso meccanismi supportati sul sistema operativo e quindi distribuita mediante MIIS 2003. Questa funzionalità è supportata solo mediante l'uso di applicazioni non Microsoft che si integrano con Active Directory o MIIS 2003.

Qualunque sia il sistema di gestione delle password impiegato, se ne sfrutteranno i vantaggi solo se è semplice da utilizzare e se gli utenti comprendono come accedervi.

Inizio pagina