CIAM è l’acronimo di Customer Identity Asset Management. Rispetto ai tradizionali sistemi di gestione delle identità e degli accessi qual è la differenza? La considerazione di partenza è che ciò che può funzionare con i propri dipendenti non è sempre funzionale ai propri clienti finali; consumatori, ad esempio, non sono tenuti a firmare alcun manuale d’uso del consumatore. Questo fondamentale truismo può sembrare ovvio, ma la sua comprensione è alla base di un confronto tra un modello CIAM e un modello IAM.
CIAM versus IAM: quali sono le differenze
I clienti hanno esigenze, aspettative e motivazioni generalmente molto diverse rispetto a quelle dei dipendenti: a cambiare sono i tempi e i modi di come, quando e perché interagiscono con un’organizzazione; di conseguenza, sono diversi anche i sistemi che supportano l’accesso, in quanto devono rispondere a obiettivi e requisiti anche molto differenti.
Le caratteristiche e i criteri di valutazione mettono in crisi i professionisti della sicurezza che, in genere, con le loro impostazioni di default non considerano gli aspetti di interaction design che sono una componente cardine del servizio clienti.
Servizi per i clienti: come coniugare semplicità e sicurezza
Storicamente, le organizzazioni mettono sul tavolo degli sviluppatori la questione dell’identità del cliente; sono loro, infatti, a creare tutte le applicazioni che i clienti dovranno utilizzare. In base alla tipologia di programmazione possono cambiare le impostazioni degli accessi: per esempio, nelle applicazioni più datate la gestione in genere è basata su un’identità proprietaria, assegnata al cliente al momento della registrazione (memorizzata, ad esempio, in una tabella utente specifica dell’applicazione in un database); nel caso di un’applicazione che si rivolge a una popolazione relativamente modesta di utenti, le misure di controllo dell’accesso e di autenticazione possono essere incorporate nella stessa applicazione.
Il CIAM, invece, è un modello di gestione delle identità e degli accessi pensato per andare incontro alle esigenze dei clienti moderni. Il vantaggio è triangolare scalabilità, agilità e sicurezza, garantendo un’interazione semplice, veloce e intuiva.
I clienti non vogliono gestire la complessità applicativa: vogliono accedere a servizi e informazioni nel modo nel modo più rapido possibile. Dunque, laddove possibile, all’interno dell’ecosistema di un’organizzazione si aspettano di utilizzare più servizi e applicazioni all’interno senza doversi ogni volta autenticare. E, soprattutto, vogliono accedere senza soluzioni di continuità tra dispositivi fissi e dispostivi mobili, includendo ogni tipo di touchpoint: smartphone, tablet, smart TV o automobili (oggi sempre più connesse).
Non solo: i servizi devono essere garantiti 24 ore su 24: gli utenti multicanale, infatti, interagiscono in qualsiasi momento del giorno o della notte. In questo caso bisogna ragionare per battere la concorrenza: se non fornite queste cose, ma il vostro concorrente lo fa, dove pensate che andranno i clienti?
CIAM vs. IAM: caratteristiche e differenze
Cosa differenzia una soluzione CIAM da un modello IAM in termini funzionali? Ci sono alcune differenze chiave, ma forse la più significativa dal punto di vista architettonico è la scalabilità. Un CIAM ha bisogno di scalare in modi che sarebbero stati impensabili solo pochi anni fa: parliamo di un bacino di utenti potenziali nell’ordine dei milioni o delle decine di milioni di record utente, con un livello di throughput superiore a quanto ci si potrebbe aspettare. Si prenda, ad esempio, il caso di LinkedIn: come ipotizzare il rilascio di un sistema di gestione delle identità da lunedì al sabato, dalle 8:00 alle 21.00? I sistemi CIAM devono gestire i picchi e devono farlo senza problemi: i clienti non devono rilevare alcun alcun degrado del servizio rispetto ai tempi di risposta. Questo livello di scalabilità, se non è stato architettato fin dall’inizio, può essere molto impegnativo da sistemare in un secondo tempo.
Un sistema di CIAM deve supportare un’autenticazione rapida e flessibile per più applicazioni da più dispositivi. Deve consetire di accedere potenzialmente a dozzine di applicazioni modulari e componenti di servizio potenzialmente distribuite su più ambienti (tra fornitori di servizi cloud o locali), con accesso senza interruzioni a servizi e applicazioni forniti da altri come, ad esempio, portali di assistenza clienti in outsourcing o interfacce di chat di vendita o di assistenza clienti. Questo deve essere fatto senza interruzioni, ma anche senza modalità di accesso aggiuntive. E, come accennato in precedenza, lo stato di autenticazione deve essere preservato su diversi dispositivi (alcuni distributori CIAM chiamano questa funzione omnicanale). Ciò significa che se un cliente si trova nel bel mezzo di una chat con un rappresentante vendite o assistenza clienti sul proprio computer, deve essere in grado di passare a un altro dispositivo, come il proprio telefono, senza riavviare l’intera sessione da zero o riautenticazione.
In tutto questo, gli esperti ricordano come anche le soluzioni IAM debbano comunque mirare alla flessibilità come parte del set di funzionalità di base in modo che, man mano che si cresce, il sistema possa adattarsi a nuovi usi. Nella gestione degli accessi, infatti, sempre e comunque bisogna ragionare anche nel medio e nel lungo termine. Situazioni in cui ci sono servizi a cui accedono solo due utenti potrebbero evolvere e imporre di estendere l’abilitazione a più utenti diversi. amministratori e utenti regolari.
A questo punto sarebbe opportuno impostare la gestione delle identità e degli accessi già in partenza, prevedendo più livelli di servizio: abbonati regolari, oro e platino, ad esempio. Le informazioni su chi è il cliente consentono in prospettiva di personalizzare ulteriormente l’esperienza consentendo anche di monitorare lo stato di appartenenza, che a sua volta può orchestrare l’autorizzazione a determinate funzionalità o, in alcuni casi, gestire i requisiti per un’autenticazione avanzata.
Ciò che è chiaro in un confronto tra una soluzione CIAM e una soluzione IAM è che il primo deve fornire una posizione condivisa, accessibile, altamente disponibile e (idealmente) “a prova di futuro” in cui è possibile memorizzare le informazioni sui clienti. A seconda del caso d’uso e degli obiettivi previsti, potrebbe trattarsi di una directory come quella che impiegata per gli utenti interni oppure di un meccanismo alternativo. In entrambi i casi, a causa dei requisiti aggiuntivi per i clienti e dei diversi livelli di scala coinvolti, i vendor hanno iniziato a specializzare i prodotti che offrono per gestire l’identità dei clienti in modo più specifico. Ciò non vuol dire che non si possa utilizzare uno strumento IAM tradizionale ma l’evoluzione delle esigenze richiede la ricerca di un set di strumenti diversi, più flessibili e scalabili per realizzare questi obiettivi.