Policy per identity

Da sia.
Versione del 6 ott 2023 alle 07:23 di Malvezzi (discussione | contributi) (→‎Le policy)
(diff) ← Versione meno recente | Versione attuale (diff) | Versione più recente → (diff)
Vai alla navigazione Vai alla ricerca

Policy per la gestione identità

Premesse

Perché SPID non è sufficiente

A dispetto dell'esistenza di un sistema pubblico delle identità digitali (SPID) di grande successo, l'Università di Modena e Reggio Emilia, che pure è un ente pubblico, continua a mantenere un suo sistema di identità digitale perché:

  • esistono servizi ai quali non è possibile accedere con SPID perché non sono web based (accesso ai notebook, ad esempio);
  • i dati presenti nella gestione identità di SPID si focalizzano sulla anagrafica che, certamente fondamentale, non è tuttavia sufficiente per alcuni processi dove ad esempio è necessario conoscere se un utente è uno studente oppure no (e magari in quale corso di studio).

Panorama normativo

La gestione delle identità è un campo ben presidiato normativamente: il GDPR in primis pone le basi giuridiche e concettuali. Si ricordano en passant anche misure più effimere quali la legge 155/2005 (Misure urgenti in materia di antiterrorismo) che hanno posto la necessità di identificare gli utenti che accedono ai servizi informatici.

I principi fondanti

  • Dati dalle fonti dati autoritative: evitare la duplicazione dei dati e, a seconda del tipo di utente, prendere i dati dalla fonte dove sono più sicuri ed aggiornati;
  • gli account legati ad un identità personale: non esistono identità personali 'anonime' o collettive o imprecisate (e.g. l'account di servizio di un ufficio è legato ad esempio al responsabile);
  • federazione piuttosto che riversamento: quando l'università entra in relazione con altre organizzazioni evita il trasferimento delle identità al partner e comunque non trasferisce mai le password. La soluzione preferita è la federazione delle identità: se necessario si trasferisce il minimo dei dati possibile 'in caso di uso' e non collettivamente.

Le policy

Ad Unimore è possibile ottenere una identità digitale solo per ragioni di studio, ricerca, impiego o collaborazione con l'università.

Il processo è gestito dalla struttura più vicina all'utente:

  • ufficio risorse umane per i dipendenti ed in generale per coloro che hanno un ruolo retribuito;
  • segreterie studenti per studenti;
  • ogni dipartimento, facoltà o centro ciascuno per i propri collaboratori.

Si tratta di un processo in due fasi:

  • inserimento dell'anagrafica utente in uno dei database autoritativi;
  • le scelta/creazione delle credenziali (username e password).

Il ciclo di vita della identità digitale è definito al momento della creazione (nessun identità è creata senza data di scadenza o senza un modo certo per averne notifica -- ad esempio l'evento di conseguimento del titolo per uno studente causa la scadenza della sua identità).

Quando necessario è previsto un periodo di grazia dopo la scadenza durante il quale la identità digitale non è cancellata ma opera con privilegi ridotti. Questo permette all'utente di salvare i propri dati e di chiudere autonomamente la propria posizione.

Estratto da "https://wiki.unimore.it/index.php?title=Policy_per_identity&oldid=18607"