Customer Identity Access Management (CIAM) significa risolvere la gestione dell’identità e degli accessi del cliente alle informazioni e ai servizi. Il CIAM, dunque, è diventato un tema caldo della governance (e lo sarà sempre più). Non c’è organizzazione che non vorrebbe garantire ai propri clienti di accedere ai servizi giusti e ai dati giusti al momento giusto, assicurando un’esperienza piacevole e senza interruzioni. Secondo gli esperti, chiunque stia valutando di acquistare una soluzione di CIAM dovrebbe prima porsi alcune domande:
- Quali caratteristiche sono più rilevanti?
- Perché è necessario valutare con attenzione le modalità di supporto alla sicurezza?
- Cosa tenere in considerazione prima di procedere all’implementazione?
Le risposte a queste domande dipendono dal tipo di organizzazione. Gli elementi da considerare prima di implementare uno strumento di Customer Identity Access Management, infatti, sono di carattere funzionale, operativo e strategico. Detto questo, ci sono alcune caratteristiche imprescindibili da considerare.
Customer Identity Access Management: a ogni organizzazione il suo
In termini funzionali, ci sono due aspetti molto importanti da tenere a mente per scegliere una soluzione di CIAM, ovvero user experience e sicurezza. È infatti proprio dall’analisi dei processi e dei comportamenti degli utenti che è possibile garantire un’esperienza ottimale, costruendo una sicurezza che funziona. Una user experience fluida e senza attriti, infatti, non è banale e nemmeno scontata, ma parte dalla valutazione dei mille atteggiamenti e comportamenti adottati dagli utenti nelle loro varie interazioni. A questo proposito è importante confrontarsi con il team di assistenza clienti in merito a tutti gli aspetti di gestione account, profili utente e così via, in modo da capire come possa essere semplificata in modo coerente ma anche più efficiente.
A questo proposito, gli esperti sottolineano come una soluzione CIAM efficace debba avere come requisito cardine l’adattabilità. Il modo con cui i clienti interagiranno con i servizi e le applicazioni aiuta a capire non solo come sviluppare le interfacce, ma anche a come gestire e risolvere tutti i problemi legati:
- all’autenticazione avanzata laddove richiesto (ad esempio quella multifattore),
- il fingerprinting del dispositivo,
- la registrazione dell’utente,
- il self-service con reset della password,
- le caratteristiche della pagina di accoglienza,
- la flessibilità relativa alle nuove implementazioni a caldo,
- l’adattabilità delle informazioni di personalizzazione e di appartenenza che il sistema memorizza su un determinato cliente e recuperabili anche tramite social attraverso le API.
Ad esempio, un CIAM che si concentra solo sull’archiviazione e sul recupero degli ID utente è già presente nella maggior parte delle organizzazioni, ma un CIAM funzionale è molto più sofisticato: oltre alla gestione dell’ID utente, ci sono altri aspetti importanti e anche qui gli esperti aiutano a capire, ponendo alcune domande fondamentali per impostare correttamente un CIAM:
- A che livello di servizio appartengono i clienti?
- In che modo gli piace ricevere informazioni?
- Quali sono le loro preferenze sulla privacy?
Un CIAM per la gestione delle informazioni dei clienti e dei servizi al cliente dovrebbe aiutare a supportare l’archiviazione, il recupero e la modifica di tutti questi dati in modo estremamente rapido e senza alcun impatto sulla risposta osservabile dall’utente.
Attenzione all’integrazione con i provider e i social
Un’altra caratteristica importante di un CIAM è la capacità di gestire al suo interno la federazione dei provider, relazionandosi con i fornitori di identità esterni. È molto più probabile che un utente si registri se si trova davanti a un accesso facilitato tipo “piattaforma di social media X” rispetto a quando si ritrova di fronte un modulo di creazione del suo account utente molto dettagliato e quindi dispendioso in termini di tempo. Ma l’integrazione social è solo la punta dell’iceberg.
Un altro tema strategico è la gestione delle autorizzazioni senza soluzioni di continuità quando un cliente si ritrova nello stesso ambiente. È qui che la capacità di una soluzione CIAM di supportare degli standard garantisce la sua reale flessibilità. Ad esempio, è possibile utilizzare OAuth 2.0 per usufruire di LinkedIn come provider di identità (per semplificare l’acquisizione dei clienti) e Security Assertion Markup Language per passare la sessione del cliente al partner del provider di servizi di assistenza clienti (perché è ciò che supportano).
Sicurezza e compliance, oggi e domani
E poi c’è la questione della compliance. Non bisogna infatti mai dimenticare i requisiti di sicurezza e la conformità normativa (attuale e futura). Ancora una volta, il tema è la scalabilità di una soluzione CIAM: per esempio, è possibile decidere che il riconoscimento dei dispositivi e l’autenticazione basata sulla conoscenza (knowledge based authentication) oggi possano essere corretti per il self-service delle password ma le cose cambiano. Basti pensare al caso di quando si dovrà implementare l’autenticazione multifactor per un trasferimento di fondi. La capacità di gestire specifici parametri dei clienti rilevanti per la sicurezza, come il GDPR, è un altro fattore importante per garantire la conformità normativa, perché fornisce al cliente la possibilità di modificarli, ad esempio, rinunciando ai servizi di marketing.
Gli sviluppatori nel centro del mirino
Quando si parla di CIAM il supporto agli sviluppatori è un altro aspetto critico. Tutti gli strumenti CIAM utilizzati interagiranno in modo molto spinto con le applicazioni rivolte ai clienti, per questo è essenziale che gli sviluppatori siano in grado di capire appieno dinamiche, servizi, codici e regole di utilizzo.
Il rischio, infatti, è che il CIAM risulti poi inefficace: ciò significa che un prodotto per la gestione dell’accesso alle identità del cliente che risulti developer friendly più che auspicabile e desiderabile sarà fondamentale anche in termini di sicurezza.
Considerazioni sull’integrazione
Quando si esaminano la serie di prodotti CIAM disponibili sul mercato, un altro utile punto di partenza è la comprensione, in dettaglio, del flusso previsto delle interazioni con il cliente che sarà necessario supportare al di fuori del perimetro aziendale.
Molti team di sicurezza, infatti, si sono concentrati in modo massivo sulla sicurezza della rete e molto meno sulla sicurezza delle applicazioni. il che significa che spesso i team di sicurezza non comprendono o non esaminano attentamente le sfumature associate al flusso delle applicazioni, dei casi d’uso o delle storie dei clienti o dei protocolli che governano il modo in cui interagiscono i componenti delle applicazioni.
Un altro punto di attenzione sono i cicli di sviluppo del software, che stanno diventando sempre più veloci col passare del tempo (e che gli approcci DevOps hanno reso ancora più veloci). Allo stesso modo, tecnologie come i container funzionano come un servizio mentre altre aiutano nella programmazione, ma possono rendere la comprensione del substrato più complicata e più dispendiosa in termini di tempo. A questo proposito se si dispone già di prototipi di modellazione delle minacce, come i diagrammi del flusso di dati, è possibile capitalizzarne l’utilizzo per risparmiare tempo durante il processo di sviluppo integrando la security fin dalle fasi di sviluppo (DevSecOps).