Applicazioni per la gestione della identità

Operare scelte che riducono le fonti di autorizzazione e, di conseguenza, il numero di utenti da gestire è molto utile, come utile è formare l'utente e renderlo conscio dei processi di identificazione, che non sono necessariamente uno strumento di controllo, ma una esigenza di sicurezza.

La complessità tecnologica, il numero dei sistemi, le leggi e tanto altro rendono comunque complesso la gestione dei vari meccanismi necessari ad implementare e gestire l'identità.

In auto vengono alcuni strumenti e applicazioni che alleggeriscono la gestione delle identità e l’accesso ai sistemi migliorando anche il livello di sicurezza.

Alcuni di questi strumenti come il Single Sign-On forniscono un beneficio all’utenza, mentre altri all’amministratore dei sistemi e al management aziendale.

Di seguito vengono descritti sommariamente alcuni meccanismi, ritenuti interessanti, senza la pretesa di coprire l'intera casistica.

SSO - Single Sign-On

Con Single Sign-On si fa riferimento ad una procedura che si interpone fra i meccanismi di autenticazione delle applicazioni e l’utenza.

L’utente fa il primo, e tendenzialmente unico, accesso al sistema con una propria username e password con la complessità e i modi definiti dalle politiche aziendali. I successivi accessi ad ulteriori procedure: posta, ERP, sistemi legacy, ecc, sono gestiti in modo automatico e trasparente all’utente, dal SSO.

Per riuscire nell’intento, la procedura di SSO deve conoscere le credenziali dell’utente del sistema da accedere. Il SSO ‘impara’ le credenziali al primo accesso dell’utente. Le credenziali sono poi memorizzate in modo sicuro (criptate e quant’altro) in un database, spesso un directory. I successivi accessi alla risorsa vengono fatti automaticamente dal SSO che utilizza le credenziali memorizzate.
Il DB delle credenziali è normalmente centralizzato e lo scambi di informazioni fra DB e workstation è via rete. Per consentire il login anche a workstation sconnessa (ad esempio con un notebook), è possibile avere una copia sicura, delle proprie credenziali, anche in locale sulla workstation.

Per completare l’automazione la procedura di SSO può scatenare delle script agli eventi di login, per gestire automaticamente varie funzioni come ad esempio il cambio periodico della password. Con meccanismi simili è possibile aumentare la sicurezza di sistemi legacy che, ad esempio, non supportano politiche di complessità della password.

Secure Login di Novell è certamente una dei più interessanti sistemi di SSO. [4]

Aggiungi un commento [5]

Categoria:

identità [2]

infrastruttura [6]

Sicurezza [3]

Web SSO - Web Single Sign-On

Procedure di SSO sono disponibili anche per ambienti WEB.

I meccanismi classici di SSO richiedono una procedura client installata sulla workstation, nel caso di portali e siti web in genere, l’uso di un client non è consigliabile. Il grosso vantaggio dei siti e delle procedure web e la possibilità di accedervi, anche in remoto senza particolari prerequisiti, se non un browser, quindi da u nportatile, ma anche da un internet-caffè, da una postazione in un albergo o da casa. In queste occasioni, spesso, non è possibile installare un client ed è comunque poco pratico.

La soluzione è di adottare un intermediario, sicuro e gestito dalla azienda, praticamente un reverse proxy, specializzato per la gestione degli accessi. L’intermediario cattura le credenziali dell’utente al primo login, e le riutilizza per gli accessi successivi.

L'intermediario può anche fornire procedure e controlli non disponibili sul sito originale.

Anche in questo caso le credenziali vengono memorizzati in un ambiente sicuro.

Il meccanismo consente di chiedere autenticazione anche per pagine o interi siti che non la prevedono.

Il meccanismo descritto ha il grosso vantaggio che non richiede modifiche ai siti gestiti, spesso amministrati da entità diverse se non fisicamente inaccessibili.

Access Manager di Novell è una ottima soluzione di web SSO. Qui per maggiori dettegli [7]

Aggiungi un commento [8]

Categoria:

identità [2]

infrastruttura [6]

Sicurezza [3]

Gestione dell’identità

[9]Le moderne tecnologie informatiche vedono l’integrazione di diversi sistemi. Ogni sistema ha un proprio meccanismo di autenticazione: dalle utenze di rete, agli accessi a database, al sistema gestionale, alla posta elettronica e molti altri.
Questa situazione presenta difficoltà nella gestione delle utenze con gravosi e costosi compiti per amministrare il ciclo di vita dell’identità.

Un utente è definito con una username e password, differenti su vari sistemi. La modifica di attributi (il numero di telefono, il nome o l’e-mail) deve essere fatta su ogni data base di autenticazione, moltiplicando gli oneri e le possibilità di errore. Allo stesso modo, la cancellazione di un utente presenta il rischio di ‘dimenticare’ qualche accesso attivo. Queste situazioni comportano spesso preoccupanti lacune di sicurezza.

Identity manager permette l'amministrazione centralizzata delle utenze e la gestione dell’intero ciclo di vita della identità: dalla creazione, alle successive modifiche, alla cancellazione.
Le operazioni di Identity Manager evolvono sui sistemi aziendali in base a regole aziendali, ad esempio, la creazione di una utenza può abilitare accessi standard, mentre gli accessi a risorse più importanti possono essere regolati attraverso workflow autorizzativi gestibili anche dai vari responsabili aziendali (come l'ufficio personale e non sempre e semplicemente il responsabile CED) attraverso una comoda interfaccia web.

Gli attributi delle utenze, username, nome, cognome, e-mail, ecc., sono propagati e sincronizzati in base a precise regole aziendali. Sistemi lagacy che non prevedono politiche di complessità o di periodicità delle password, possono essere gestiti e adeguati alle normative di legge.
Le operazioni eseguite vengono registrate e sono disponibili dettagliati report per dimostrare l’effettiva aderenza alle politiche aziendali e la piena conoscenza di chi ha accesso a cosa.

Il deprovisioning (cancellazione dell’utenza) è altrettanto semplice e immediata eliminando ogni rischio di sicurezza.

Per maggiori informazioni contattare rfc@rfc [10].it o consultare i seguenti link:

http://www.novell.com/it-it/products/identitymanager/ [11]
http://www.novell.com/products/identitymanager/features/identitymanager-... [12]
http://www.novell.com/products/identitymanager/technical-information/ [13]
http://www.novell.com/products/identitymanager/demo.html [14]
http://www.novell.com/it-it/products/identitymanager/drivers/ [15]
http://www.novell.com/docrep/2009/11/magic_quadrant_user_provisioning_en... [16]
http://www.novell.com/docrep/2009/09/Camera_dei_Deputati_IT_it.pdf [17]

Categoria:

applicativi [18]

identità [2]

Sentinel

Due interessanti prodotti di novell per la gestione dei log sono Sentinel e Sentinel Log Manager.

Sentinel è uno strumento in grado di raccogliere dati, tipicamente log, da diverse fonti, anche remote, normalizzare i dati raccolti, per consentirne un confronto, correlare i dati e gli eventi che rappresentano, produrre dei report e memorizzare i dati in forma non ripudiabile. Un modo veramente efficiente per controllare le politiche di sicurezza aziendale, un vero strumento per la security information and event management (SIEM).

Sentinel log manager, è una versione ridotta di Sentinel, dove la correlazione dei dati non è disponibile. Il prodotto, più semplice, è particolarmente adatti per far fronte agli obblighi di legge in materia di amministratori dei sistemi [19].

Maggiori dettagli sono disponibili ai link:

http://www.novell.com/products/sentinel/?tab=1 [20]

http://www.novell.com/products/sentinel-log-manager/ [21]

Aggiungi un commento [22]

Categoria:

prodotti [23]

Sicurezza [3]

Server Radius

Esistono diverse implementazioni per un server RADIUS, fra le più usate il RADUIS di Cisco, è FreeRADUIS, una applicazione open source [24].

FreeRADIUS è quindi liberamente scaricabile dal sito http://freeradius.org/ [25] o disponibile nelle varie distribuzioni.

In rete si trovano anche la descrizione delle più comuni configurazioni.

Aggiungi un commento [26]

Categoria:

applicativi [18]

networking [27]

Sicurezza [3]

RFc -Restori Fabrizio Consulenze- S.da Buffolara, 67 -43126 Parma- Tel. +39 335 240228 Fax +39 0521 940035 P.IVA 01788460341

webmaster: Fabrizio
Note

var _gaq = _gaq || []; _gaq.push(['_setAccount', 'UA-37939674-1']); _gaq.push(['_trackPageview']); (function() { var ga = document.createElement('script'); ga.type = 'text/javascript'; ga.async = true; ga.src = ('https:' == document.location.protocol ? 'https://ssl' : 'http://www') + '.google-analytics.com/ga.js'; var s = document.getElementsByTagName('script')[0]; s.parentNode.insertBefore(ga, s); })();

var _paq = _paq || []; _paq.push(["trackPageView"]); _paq.push(["enableLinkTracking"]); (function() { var u=(("https:" == document.location.protocol) ? "https" : "http") + "://www.rfc.it/piwik/"; _paq.push(["setTrackerUrl", u+"piwik.php"]); _paq.push(["setSiteId", "1"]); var d=document, g=d.createElement("script"), s=d.getElementsByTagName("script")[0]; g.type="text/javascript"; g.defer=true; g.async=true; g.src=u+"piwik.js"; s.parentNode.insertBefore(g,s); })();