Definizione, funzionamento e gestione dell’identità digitale in informatica
Il concetto d’identità digitale deriva dal riconoscimento reciproco tra soggetti digitali, siano essi rappresentazioni di persone, cose o servizi, per personalizzare l’interazione tra essi. Ciò è reso possibile associando ad ogni soggetto digitale, detto principal, un insieme di caratteristiche che lo differenziano dagli altri, dette attributi. L’insieme degli attributi associati a un determinato principal costituisce il profilo utente del soggetto digitale.
Con gestione dell’identità digitale o più brevemente gestione dell’identità, si intendono le numerose problematiche che sorgono quando si ha a che fare con l’identità digitale di soggetti fisici. I meccanismi di corrispondenza tra soggetti fisici e principal, la rappresentazione degli attributi dei soggetti, l’integrità e la coerenza dei profili, la gestione dei privilegi per l’accesso a risorse o servizi sono solo alcuni esempi delle problematiche trattate in questa vasta area tematica.
Ciclo di vita dell’identità
La gestione dell’identità digitale è fondamentale quando si tratta di regolamentare e limitare l’accesso a risorse o servizi in base alle caratteristiche del soggetto richiedente.
All’interno di questo tipo di interazione si distinguono tre fasi principali: la fase di autenticazione, durante la quale viene instaurata una corrispondenza tra un soggetto fisico e un principal, e la fase di autorizzazione, durante la quale è deciso se e con che privilegi il principal potrà accedere al servizio o alla risorsa.
Inoltre un sistema di gestione dell’identità solitamente incorpora strumenti per il trasferimento degli attributi utente tra sistemi e per la memorizzazione dello storico degli accessi a risorse o servizi, in modo da poter risalire agevolmente all’identità degli utenti in caso di abusi.
Sistemi di gestione dell’identità
In questo ambito è possibile effettuare una classificazione dei sistemi di gestione dell’identità, a seconda dell’approccio seguito nella progettazione e nell’implementazione del sistema stesso.
Gestione orientata al servizio
Si ha un approccio orientato al servizio quando il sistema di gestione dell’identità è legato esclusivamente alla risorsa o al servizio locale al sistema stesso. Un esempio è un sito web con un’area pubblicamente visitabile e una riservata agli utenti registrati: sarà quindi implementato un sistema di gestione dell’identità per permettere la registrazione di nuovi utenti, il loro accesso e la personalizzazione dell’area riservata.
Questo approccio, in cui Identity Provider e Service Provider sono accorpati in un unico sistema, è attualmente il più diffuso, grazie anche alla grande disponibilità di sistemi in grado di implementare questa architettura. Alla facilità di configurazione di sistemi di questo tipo si oppone l’aumento del numero di credenziali di cui l’utente deve disporre (una per ogni differente servizio) e l’alta probabilità di incoerenze tra gli attributi dei diversi profili riguardanti l’utente.
Gestione orientata all’istituzione
Si ha un approccio orientato all’istituzione quando lo stesso sistema di gestione dell’identità è utilizzato per accedere a diverse risorse o servizi. Un esempio è una università che offre a studenti e docenti diversi servizi separati tra loro. Il sistema assocerà ad ogni principal un unico profilo che permetterà al servizio di autorizzare o no l’accesso al sistema di posta elettronica, al pagamento delle tasse universitarie o alla verbalizzazione degli esami.
Questo approccio, che prevede un unico Identity Provider e diversi Service Provider, si sta nel tempo diffondendo tra le grandi istituzioni per via della semplificazione della gestione dei profili e degli attributi.
L’aggiunta di un nuovo servizio interno all’istituzione comporta l’implementazione di un sistema per collegare il servizio al sistema centralizzato.
Gestione federata dell’identità
Si ha un approccio federato alla gestione dell’identità quando istituzioni diverse si accordano per riconoscere reciprocamente i propri principal, in modo che i singoli sistemi di gestione dell’identità interoperino tra loro, mantenendo la gestione dei profili locale alle istituzioni.
Un esempio è una biblioteca universitaria che offre un servizio di consultazione di periodici on-line anche ad altre università: una volta individuata l’istituzione di provenienza del principal, il sistema si metterà in comunicazione con essa per reperirne il profilo.
L’insieme degli Identity Provider, dei Service Provider, degli accordi tra essi e dei meccanismi che permettono loro di interoperare è detta federazione d’identità, o infrastruttura di autenticazione e autorizzazione, detto AAI.
I vantaggi di una gestione federata dell’identità sono i medesimi di una gestione orientata all’istituzione, applicati però in un contesto in cui istituzioni differenti operano tra di loro con uno scopo comune, come l’insegnamento o la ricerca, condividendo risorse e servizi.
Gestione dell’identità orientata all’individuo
Si ha un approccio orientato all’individuo quando il sistema di gestione dell’identità è locale a un dispositivo, hardware o software, in possesso dell’utente.
Un esempio è l’uso di smartcard: il dispositivo di lettura, una volta rilevata la presenza della smartcard, procede all’identificazione del principal e si occupa di comunicarne il profilo, immagazzinato all’interno della carta stessa, ai servizi a cui l’utente vuole accedere.
Questo approccio, che prevede un Identity Provider per ogni utente o punto di accesso e diversi Service Provider, si sta affermando per quanto riguarda servizi quali posta elettronica certificata o internet banking. Il principale vantaggio e la principale differenza architetturale rispetto al modello federato consiste nella decentralizzazione dell’Identity Provider, che evita i costi relativi alla gestione dei profili interna all’istituzione. Tuttavia risulta particolarmente onerosa la fase di creazione dell’infrastruttura, e di distribuzione dei dispositivi agli utenti.
