Cos’è e a cosa serve la gestione delle identità e degli accessi in azienda

Cos’è e a cosa serve la gestione delle identità e degli accessi in azienda

Gestione delle identità e degli accessi

Nell’ambito aziendale, l’autenticazione degli utenti è necessaria per vari motivi nel corso del lavoro quotidiano; l’accesso alla rete, alle applicazioni, ai dati e alla posta elettronica ne sono esempi tipici. Gli utenti possono collegarsi tramite un unico accesso a tutte le risorse, applicazioni e dati a cui l’utente è autorizzato ad accedere. Per gestire questi accessi controllati (gestione delle identità e degli accessi) è necessaria, in una rete basata su prodotti Microsoft, un’infrastruttura di Active Directory che fornisca il supporto di base per molti servizi richiesti dall’organizzazione, tra cui messaggistica e collaborazione, gestione dei sistemi e servizi di protezione.

Generalmente, a causa dei differenti uffici dove sono situati gli utenti, come ad esempio proposal department, administration department, technical department, è necessario gestire le informazioni relative ad ogni utente e il loro utilizzo delle risorse informatiche con un unico sistema di autenticazione coerente che possegga le caratteristiche necessarie per rendere il più efficace possibile la gestione di queste informazioni, a tal proposito è necessario il sistema per la gestione delle identità e degli accessi.
L’azienda gestisce dunque una grande quantità di dati personali relativi ad ogni utente, e tali dati sono soggetti alla legge sulla privacy (d. lgs 30 giugno 2003, n.196):

“I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l’utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente dati anonimi od opportune modalità che permettono di identificare l’interessato solo in caso di necessità.”

Il Codice prevede, per chi intende trattare dati, una serie di obblighi e di diritti. Infatti chiunque voglia utilizzare i dati personali di un soggetto deve informarlo, preventivamente, indicando con chiarezza le finalità per cui prevede di utilizzare tali dati e le relative modalità di utilizzo. Inoltre deve avere il consenso da parte del soggetto interessato. In base a tale legge, l’azienda deve adempiere l’obbligo della protezione e trattamento dei dati dei singoli utenti. Per fare ciò ogni utente appartiene ad un gruppo ed ogni gruppo può accedere, tramite username e password, solo ad alcune risorse che vengono affidate in base alle competenze del loro ruolo all’interno dell’azienda. Anche le risorse, dati e servizi, vengono suddivisi in gruppi, il cui accesso verrà permesso o negato ai vari gruppi in base alla necessità.

Cos'è, come funziona e a cosa serve l'Active Directory in azienda

Active Directory

L’Active Directory è un insieme di servizi di rete meglio noti come directory service adottati dai sistemi operativi Microsoft. Si fonda sui concetti di dominio (inteso come un mondo in cui vengono concentrate tutte le risorse della rete a partire da: account utente, account computer, cartelle condivise, stampanti ecc) e di Directory. L’insieme dei servizi di rete di Active Directory, ed in particolare il servizio di autenticazione Kerberos, realizzano un’altra delle caratteristiche importanti: il Single Sign-On (SSO). Tramite tale meccanismo un utente, una volta entrato nel dominio ed effettuato quindi il login ad esso da una qualsiasi delle macchine di dominio, può accedere a risorse disponibili in rete (condivisioni, mailbox, intranet ecc.) senza dover effettuare nuovamente l’autenticazione. Questo facilita di molto la gestione degli utenti.

A tal proposito, il sistema di autentificazione:

  • È organizzato e presentato come una directory.
  • È supportato un metodo comune di richiesta, indipendentemente dal tipo di dati richiesto.
  • Le informazioni con caratteristiche simili sono gestite in modo analogo.

Il servizio directory viene implementato invece mediante l’uso di cinque categorie di directory:

  • Directory ad uso specifico
  • Directory delle applicazioni
  • Directory incentrate sulla rete
  • Directory a scopo generale
  • Metadirectory

L’ amministratore Active Directory ha il controllo completo sul modo in cui vengono presentate le informazioni nella directory. Queste informazioni sono raggruppate in contenitori denominati unità organizzative (OU), spesso organizzati in modo da semplificare l’archiviazione gerarchica dei dati. I tipi di dati archiviati nella directory vengono definiti tramite uno schema che ne specifica le classi denominate oggetti. Un oggetto utente, ad esempio, corrisponde alla classe Utente definita nello schema, gli attributi dell’oggetto utente contengono informazioni, quali nome, password e numero di telefono dell’utente. L’amministratore può aggiornare lo schema in modo da includere nuovi attributi o classi, quando ve ne è la necessità.

La struttura logica di Active Directory è considerata come una serie di directory logiche denominate domini. L’insieme dei domini è denominato foresta poiché i dati della directory in ogni dominio in genere sono organizzati in una struttura ad albero che rispecchia l’organizzazione.

L’implementazione e la progettazione della struttura logica consiste nelle seguenti operazioni:

  1. Requisiti di progettazione della struttura logica: Le funzionalità di Active Directory per la delega amministrativa sono fondamentali nella progettazione della struttura logica. L’amministrazione delle OU organizzative può essere delegata per ottenere l’autonomia o l’isolamento di un servizio o dei dati. La delega amministrativa viene effettuata per soddisfare i requisiti legali, operativi e organizzativi della struttura.
  2. Progettazione della foresta: Un modello di progettazione della foresta viene selezionato dopo aver determinato il numero appropriato di foreste nel processo di progettazione del servizio; ad esempio, quando sono necessarie diverse directory o le definizioni degli oggetti cambiano all’interno di un’organizzazione.
  3. Progettazione del dominio: Viene selezionato un modello di dominio per ogni foresta.
  4. Progettazione radice della foresta: Le decisioni relative alla radice della foresta si basano sulla progettazione del dominio. Se viene selezionato un modello di dominio singolo, quest’ultimo funziona da dominio radice della foresta. Se viene selezionato un modello di dominio regionale, il proprietario della foresta deve determinare la radice della foresta.
  5. Pianificazione dello spazio dei nomi di Active Directory: Una volta determinato il modello di dominio per ogni foresta, è necessario definire lo spazio dei nomi per la foresta e i domini.
  6. Infrastruttura DNS per supportare Active Directory: Dopo aver progettato le strutture di dominio e la foresta di Active Directory, è possibile completare la progettazione dell’infrastruttura Dynamic Name System (DNS) per Active Directory.
  7. Creazione della progettazione di un’unità organizzativa: Le strutture delle OU sono univoche per il dominio a differenza della foresta, quindi ogni proprietario di dominio è responsabile della progettazione della struttura della OU per il proprio dominio.

Pubblicato da Vito Lavecchia

Lavecchia Vito Ingegnere Informatico (Politecnico di Bari) Email: [email protected] Sito Web: https://vitolavecchia.altervista.org

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *