Automazione del provisioning degli utenti per applicazioni cloud

Problema aziendale

Le imprese utilizzano sempre più spesso applicazioni cloud nei loro flussi di lavoro quotidiani. Ogni app cloud ha un elenco di utenti con determinati privilegi. Quando gli utenti entrano a far parte dell'azienda o la abbandonano, un amministratore deve eseguire il provisioning o il deprovisioning su tutte le applicazioni appropriate.

Questo significa che i reparti IT gestiscono i singoli ID utente e le password associati alle varie applicazioni cloud per ciascun utente. Con il provisioning automatico, i dipendenti ottengono gli strumenti di cui hanno bisogno non appena si uniscono all'azienda. Inoltre, le aziende desiderano ridurre possibili rischi di sicurezza eseguendo il deprovisioning di un utente da tutte le applicazioni cloud non appena quest'ultimo lascia l'azienda.

La tua azienda desidera ridurre il sovraccarico amministrativo necessario per gestire gli utenti in singole applicazioni cloud di terze parti utilizzate dai dipendenti. L'obiettivo: automatizzare il provisioning degli utenti per creare, aggiornare o eliminare le informazioni del profilo utente in un'unica posizione e vederle sincronizzate automaticamente su tutte le applicazioni cloud.

Soluzioni

Per l'implementazione del provisioning automatizzato, esistono Cloud Identity e alternative di terze parti.

Il provisioning automatizzato di Cloud Identity

Cloud Identity offre un catalogo di connettori di provisioning automatizzato, che fanno da ponte tra Cloud Identity e le applicazioni cloud di terze parti.

Quando avrai configurato il SAML per il Single Sign-On (SSO), potrai configurare il provisioning automatizzato degli utenti per creare, modificare o eliminare un'identità utente su tutte le tue applicazioni cloud. Gli amministratori possono autorizzare Cloud Identity a sincronizzare un sottoinsieme dei loro utenti Cloud Identity con una o più app supportate.

Vantaggi

  • Gestisce l'intero ciclo di vita dell'utente mediante la creazione, l'aggiornamento, la rimozione o la sospensione di profili utente.
  • Gestisce l'intero ciclo di vita delle app dell'utente permettendo alle aziende di aggiungere o rimuovere le app dalla loro organizzazione da una posizione centralizzata.
  • Fornisce un'esperienza utente coerente per tutte le app supportate, tra cui rapporti unificati, log di controllo e monitoraggio granulare degli eventi.

Provisioning Just-In-Time di terze parti

Per molte app che supportano il SAML è possibile eseguire automaticamente il provisioning tramite Just-In-Time (JIT). Alcuni fornitori di servizi configurano le proprie app SAML in modo che, quando un utente effettua l'accesso alla loro app, essa controlli se l'utente dispone di un account. In caso negativo, ne viene creato uno per loro.

Vantaggi

  • JIT richiede una configurazione meno complessa, perché è necessario configurare solo l'app SAML.
  • I clienti possono spingere i fornitori di servizi a supportare il provisioning JIT per le app per cui Cloud Identity non dispone al momento di connettori di provisioning automatizzato.

Svantaggi

  • JIT non supporta il deprovisioning di un utente, procedura che richiede un intervento manuale per rimuovere le licenze alle app per gli utenti che lasciano l'azienda.
  • Non tutte le applicazioni cloud di terze parti supportano il provisioning JIT.
  • Rispetto ai connettori di provisioning automatizzato coerenti di Cloud Identity, quelli di terze parti potrebbero variare in termini di modalità di funzionamento e dati inclusi nei loro rapporti e log.

Consigli

Quando il provisioning automatizzato è supportato per un'app nel catalogo SAML di Cloud Identity, ti consigliamo di utilizzare il connettore di provisioning automatico di quest'ultimo.

Se il connettore di provisioning automatico di cui hai bisogno non è nel catalogo, collabora con il tuo fornitore di servizi per sviluppare il connettore. Se supportato dal fornitore di servizi, JIT è un'altra opzione. Tuttavia, JIT in genere gestisce solo la creazione del profilo utente e non l'aggiornamento, la sospensione o l'eliminazione del profilo.

Provider di identità di terze parti

Se disponi di un provider di identità di terze parti (IdP), puoi comunque configurare il provisioning automatizzato degli utenti per le app di terze parti presenti nel catalogo di Cloud Identity. L'autenticazione dell'utente viene effettuata nell'IdP di terze parti e Cloud Identity gestisce le app cloud.

Per utilizzare Cloud Identity per il provisioning automatizzato, i tuoi utenti devono usare i propri account Cloud Identity. Accedono tramite il tuo IdP di terze parti o utilizzando una password sui propri account Cloud Identity.

Esempio

L'Azienda A utilizza Cloud Identity come IdP principale. Inoltre utilizza prodotti di Software as a Service (SaaS) per la gestione delle risorse del cliente (CRM), la messaggistica e la gestione delle richieste dei clienti. Desidera automatizzare il provisioning degli utenti ed effettuare il deprovisioning in queste app cloud usando Cloud Identity come singola fonte attendibile.

Il primo giorno nell'Azienda A, tutti i dipendenti dell'Assistenza ricevono automaticamente una licenza per l'applicazione di gestione dei ticket cliente e tutti i venditori ottengono una licenza per l'applicazione CRM. Tutti ottengono l'app di messaggistica.

Il reparto IT dell'Azienda A vuole garantire che solo il gruppo corretto di persone nell'organizzazione del cliente possa accedere a determinate applicazioni di terze parti. Questa operazione prevede la sincronizzazione dei profili utente da Cloud Identity a tutte le app di terze parti collegate che sono state assegnate a determinati utenti.

Quando un utente perde l'accesso a un'app (lascia l'azienda o non ha più bisogno dell'app), il suo profilo viene rimosso automaticamente dalle app di terze parti collegate rilevanti. Questo evita il problema delle licenze bloccate.

Il reparto IT configura le loro app cloud per il provisioning automatizzato:

  • Crea un elenco di app cloud utilizzate dai dipendenti.
  • Individua queste app nei cataloghi SAML di Cloud Identity e di provisioning automatizzato degli utenti.
  • Configura il servizio SSO per queste app, attivandolo uno per uno (se il servizio SSO non è già configurato).
  • Configura il provisioning automatizzato degli utenti per le app.

Flusso del provisioning automatizzato

L'Azienda A assume Maria. Prima del suo primo giorno del lavoro, un amministratore la aggiunge a Cloud Identity creando un account per lei. Inoltre, l'amministratore la aggiunge a un'organizzazione. Maria potrà poi accedere alle applicazioni cloud assegnate a tale organizzazione.

Cloud Identity copia l'identità di Maria su tutte queste applicazioni cloud.

Accedere ad applicazioni cloud mediante SSO.

Il suo primo giorno, Maria accede a Cloud Identity. Mediante SSO, può accedere alle app cloud di cui ha bisogno utilizzando le sue credenziali Cloud Identity.

Accedere ad applicazioni cloud mediante SSO.