Identity and Access Management
Implementazione tecnologica di policy
(di Jeff von Munkwitz-Smith e Ann West)
Districarsi nella molteplicità dei processi per accedere ai sistemi di accesso alle informazioni universitarie in continuo stato di moltiplicazione, può essere un'incombenza poco allettante per studenti, professori e staff. Questo articolo fornisce una veloce prospettiva dei servizi di gestione dell'identità e dell'accesso (Identity and Access Management). Gli autori passano in rassegna le caratteristiche chiave e i componenti di questa nuova architettura informativa e pongono la questione del perché una università dovrebbe implementare questi servizi. Vengono discusse in particolare le questioni implementative, specialmente laddove la tecnologia interseca la politica.
Jeff è nel suo ufficio; squilla il telefono. Il display gli mostra il numero: è uno che riconosce. "Ciao Dave, cosa posso fare per te?", dice. Dave è il direttore dei Programmi dei Primo Anno ed essi si parlano abbastanza frequentemente. "Ciao Jeff! Alcuni dei miei studenti delle classi di tutoraggio sono stati registrati nella sezione sbagliata. Qual è il modo migliore per correggere l'errore?" -domanda Dave.
"Mandami la lista", risponde. Pochi minuti dopo riceve un messaggio e-mail con una lista di studenti da spostare in una diversa sezione. Egli consegna la lista ad una persona del suo staff nella sezione Servizi di Iscrizione del suo dipartimento ed un po' di tempo dopo può far sapere a Dave che gli studenti sono ora nella sezione giusta.
Più tardi una studentessa bussa alla sua porta. Sta piangendo. "Può aiutarmi? Qualche anno fa ho seguito il suo corso." - disse. "Certo Jennifer, mi ricordo di te. Di cosa hai bisogno?" "Ho perso la mia borsa e ho bisogno di un certificato per un colloqui per un tirocinio, ma non posso ottenere il certificato senza la mia ID card, cosa posso fare?" "Nessun problema, so chi sei", le dice e nel contempo informa le persone giuste dello staff che si può consegnare a Jennifer il suo certificato.
Che cos'hanno in comune queste due situazioni? In entrambe la transazione dipende dall'identità delle persone coinvolte, dall'abilità di Jeff di verificare la loro identità (e dei membri del suo staff di verificare l'identità dello stesso Jeff), e dalla pertinenza della transazione che viene loro richiesta con il loro ruolo.
Chiaramente ciò può funzionare occasionalmente. Comunque non si può allargare ad una vasta scala. Molti dei circa 2000 professori e dei 26.000 studenti desiderano che i loro problemi siamo prontamente risolti, ma Jeff vuole dormire la notte e occasionalmente vorrebbe qualche giorno libero.
Gestione delle identità e degli accessi
Gli approcci automatici a questi problemi non sono nuovi. L'accesso viene tipicamente gestito in modo differente in ciascun sistema ed inoltre ogni persona lo complica in un modo ad hoc come negli esempi sopra riportati. Questo non era un grosso problema anni fa, quando il numero dei sistemi che una persona doveva utilizzare era limitato. Ora invece a una persona dovrebbe essere garantito l'accesso e le autorizzazioni per l'e-mail, la voice-mail, il sistema informativo studenti, il sistema informativo delle risorse umane, il sistema di contabilità, il CMS (course management system), il sistema bibliotecario, ad un portafoglio elettronico, al portale universitario, al datawarehouse, alla rete locale e alla rete wireless e a chissà quali altre risorse del campus. Ciascuna di queste potrebbe richiedere applicazioni distinte per l'accesso, la profilazione, le credenziali. Districarsi nella molteplicità dei processi per ottenere l'accesso può essere un'incombenza poco allettante per ciascuno dei nuovi studenti, professori e personale tecnico ed amministrativo.
Iniziamo con i servizi di gestione delle identità e degli accessi. Questa nuova infrastruttura informativa ha alcune caratteristiche chiave.
- Integra tutte le informazione pertinenti riguardo le persone provenienti da molteplici sorgenti autoritative come quelle elencate sopra. Ciò riconcilia gli account che abbiamo in questi sistemi ed unifica le nostre identità sotto un'unica identità di campus. Usando un siffatto sistema, un'applicazione in biblioteca, per esempio, potrebbe usare l'identificativo bibliotecario di una persona per recuperare il suo indirizzo di posta elettronica e il suo ruolo per generare un messaggio che il libro richiesto è stato inviato, stampare l'etichetta che viene utilizzata per inviare il libro all'interno del campus, e per verificare il ruolo della persona nell'istituto al fine di determinare la data di restituxzione del libro, estraendo informazioni da diversi sistemi con identificatori separati.
- Analizza e trasforma le informazioni sulle persone includendo la loro affiliazione con l'istituto, lo stato giuridico e le risorse di accesso. Quindi memorizza le nuove informazioni per renderle disponibili alle applicazioni. Per esempio un sistema di informazione accessibile solo dalle matricole necessita dell'informazione sullo stato dell'iscrizione: questa informazione deve essere calcolata partendo da altre e può essere memorizzare nel sistema di gestione dell'identità. Ci sono decine di applicazioni scritte da diversi programmatori che necessitano di questa informazione. Ognuno di loro contatterà qualcuno per conoscere l'algoritmo per calcolare l'informazione. Come si farà a sapere se avranno fatto il calcolo correttamente? Chi informerà gli sviluppatori nel caso il calcolo debba essere fatto in un altro modo? Calcolare l'appartenenza alla classe una volta per tutte e rendere disponibile il risultato alle applicazioni aumenta la probabilità dell'accuratezza dei dati e la sicurezza, e riduce il tempo di sviluppo dell'applicazione. Se lo studento abbandona la scuola a metà del trimestre, l'appartenenza alla classe cambia e l'accesso non gli è più consentito.