Come scegliere un Identity and Access Management

Posted by Massimo Manara on Jun 12, 2019 8:15:00 AM
Massimo Manara
Find me on:

 

Le principali funzionalità da avere e quali sono i punti di attenzione?

IDM_2_post

Come scegliere uno strumento di gestione delle identità aziendali?

 

Ehi, se ti sei perso perché e cos'è uno strumento di IDM, leggi qui!

La compatibilità di connessione verso i sistemi (Cloud ed On premise)

Per sua natura un sistema di User Access Management si deve collegare a potenzialmente tutti i sistemi presenti nel landscape aziendale. Deve essere verificata quindi la disponibilità di connettori pre-definiti e presenti nella soluzione.

 

La possibilità di creare connettori verso sistemi non gestiti nativamente dalla soluzione deve essere possibile.

 

Quanto inoltre un access management systems riesce a coprire le esigenze dei sistemi on premise verso quelli on cloud ma soprattutto gli scenari ibridi?

 

Molti infatti ad oggi sono gli scenari che potrebbero ricadere nel terzo caso.

 

La compatibilità con i sistemi SAP

Anche se SAP è probabilmente il sistema ERP più utilizzato, ancora oggi esistono soluzioni di identity dove non è previsto il connettore verso i sistemi SAP.

 

Attenzione, non è sufficiente verificare che ci sia la compatibilità verso i sistemi SAP. Ogni sistema SAP ha infatti delle peculiarità autorizzative. Non esiste solamente l'ERP.

 

A titolo di esempio, nei sistemi CRM Customer Relationship Management esistono delle strutture autorizzative chiamate Business role. Questi ultimi possono essere assegnati direttamente nella struttura organizzativa dello strumento.

Anche l'attribuzione di questi ruoli particolari può avvenire in diversi modi, è meglio verificare in precedenza la compatibilità di questi scenari.

 

Così come nei sistemi legati al mondo delle utility, per la gestione dei business partner.

 

La possibilità di effettuare delle reportistiche

Negli strumenti di IDM spesso non esistono reportistiche già pronte.

 

Questo è dovuto principalmente al fatto che le personalizzazioni di questi sistemi sono così elevate che non sarebbe utile fornire dei report di default (rispetto ai pochi eventualmente già presenti).

 

Diventa quindi fondamentale capire se lo strumenti scelto ha un suo motore di reportistica oppure se può essere connesso ad uno strumento di reporting specifico. Dove pubblicare documenti utili per i fruitori del sistema.

 

La gestione della Segregation of Duties

Uno degli aspetti da valutare e la possibilità di effettuare analisi di separazione dei compiti (SoD - Segregation Of Duties). Possono esserci infatti due macro scenari:

 

  • Il sistema di IDM si collega ad un sistema/servizio esterno che effettua la risk analysis
  • IDM ha un suo motore per eseguire la risk analysis

 

Anche se il primo caso di fatto aumenta la complessità/costi di gestione e magari licenze, in questo scenario, con due sistemi separati tra IDM e risk analysis, è probabile che il sistema per eseguire la risk analysis possa coprire meglio quelle esigenze.

 

Cosa intendo dire?

Gli strumenti IDM presenti sul mercato spesso non hanno un motore SoD che riesca a tenere conto di tutti gli aspetti tecnologici presenti in SAP.

Inoltre, non esistono solo sistemi SAP. Diventa quindi importante capire se la SoD può essere cross system, sistemi SAP e non.

 

Il processo di gestione della SoD prevede anche la gestione di eventuali controllli mitigativi. Questo processo può essere gestito nel sistema di analisi dei rischi (probabilmente già predisposto per questi workflow) rispetto ai workflow presenti in uno strumento di identity.

 

Vediamo cosa avviene nel mondo SAP.

 

Esistono due strumenti distinti:

 

Di fatto sono due sistemi separati, quindi costi di gestione e licenze. Ma ognuno di questi è progettato per assolvere al meglio il proprio scopo.

 

Riprendendo l’esempio sopra, SAP IDM chiama SAP GRC per effettuare una Risk analysis. Il sistema SAP IDM non è in grado autonomamente di eseguire una risk analysis quindi.

 

Il processo di gestione della SoD prevede anche la gestione di eventuali controlli mitigativi.

 

Questo processo può essere gestito nel sistema di analisi dei rischi (probabilmente già predisposto per questi workflow) rispetto ai workflow presenti in uno strumento di identity.

 

I workflow di rivalidazione ed HR

Possono essere definiti diversi processi di rivalidazione o certificazione all'interno dello strumento. Anche in relazione alla conformità del GDPR ad esempio. 

 

Sono già presenti o devono essere costruiti da zero? La validazione degli accessi o User Access Review (UAR) è sicuramente uno dei workflow da attivare o verificare l’esistenza nella soluzione di identity scelta. Leggi qui quali sono gli owner nei processi di gestione degli accessi.

Iscriviti al blog se ancora non lo hai fatto!

Topics: idm, SAP IDM, workflow security SAP, IAG, identity management system

Voglio iscrivermi!

Blog Aglea, cosa puoi trovare?

Ogni mercoledì pubblichiamo articoli, interviste e documenti relativi alla security SAP.

Cosa puoi trovare:

  • Suggerimenti su come mettere in sicurezza i sistemi SAP
  • Come fare a … (How To)
  • Checklist
  • Gli errori comuni che spesso vengono fatti in ambito Security SAP
  • Interviste con esperti del settore
  • Chi è AGLEA quale è la nostra vision security SAP

Post recenti

Post By Topic

Visualizza tutte