Il webinar ha l'obiettivo di dare indicazioni pratiche e suggerimenti per un adeguato utilizzo dello IAM di WSO2, fornendo casi d'uso  e dettagli di integrazione con i sistemi utilizzati anche nella tua organizzazione. Verranno inoltre affrontate le tematiche di accesso sia per i propri dipendenti, sia per i clienti finali che accedono a portali e utilizzano in generale i servizi esposti. In entrambi i casi WSO2 IAM garantisce sicurezza, agilità e conformità alle normative vigenti (GDPR; PSD2, ...) Infine potrai chiedere approfondimenti tecnici al nostro esperto certificato su WSO2 Target CIO, CISO, IT Manager, Product Manager, Digital Transformation Manager

1. WSO2 Identity Server
Introduzione e Roadmap
guido.spadotto@profesia.it

2. WSO2

3. WSO2

4. Profesia

5. WSO2 Integration Agile Platform

6. Integration Platform
• L’Identity Server è un componente della WSO2 Integration Platform
che include WSO2 Enterprise Integrator e WSO2 API Manager.
• Tale piattaforma comprende componenti utili alla digital
transformation del business in un mondo sempre più API-driven.

7. Identità: un insieme di attributi
associati a un’entità [ISO 29115]

8. Laws of Identity

9. Silos e Spaghetti identity
SAML 2.0
OIDC
OIDC
OAuth2
OAuth2
SAML 2.0

10. API Esposte
• Le API sono sempre più utilizzate in
ambito business per esporre
funzionalità secondo architetture di tipo
SOA o a microservizi.
• Queste API devono essere accedute in
modo sicuro e, considerando la continua
scoperta di vulnerabilità di sicurezza, il
sistema IAM permette un approccio
olistico e integrato alla messa in
sicurezza delle API aziendali.

11. User on/offboarding

12. Recovery Credenziali

13. Conformità legislativa

14. Costi di licenza

15. WSO2 Identity Server
• WSO2 IS è un sistema IAM open source che facilita il single sign-on (SSO)
tra applicazioni e implementa la federazione delle identità tra sistemi
eterogenei. È ottimizzato per mettere in sicurezza API e microservizi.
• Implementa funzionalità di classe enterprise come identity federation,
SSO, autenticazione forte e adattiva, account management, identity
provisioning.
• È basato su standard e principi open, in modo da evitare il vendor lock-in e
aumentando la velocità di innovazione.
• Offre possibilità di integrazione esaustive e facili da applicare per
connettere applicazioni, user stores, servizi di directory utenti, e sistemi
terzi di identity management.

16. IS Capabilities

17. Identity Server – Architettura Tecnica

18. Identity Federation e SSO
• IS permette di definire User Store tramite Java Database Connectivity
(JDBC), lightweight directory access protocol (LDAP), o Active
Directory (AD), o tramite customizzazioni specifiche.
• Controllo dell’accesso fine-grained basato sui ruoli o sugli attributi
tramite il linguaggio eXtensible Access Control Markup Language
(XACML).
• Autenticazione stile “Bring your own identity” (BYOID), tramite social
logins.
• SSO tra applicazioni diverse.

19. Autenticazione adattiva
• L’autenticazione adattiva consiste nell’autenticare un utente considerando fattori di contesto come il
profilo di rischio dell’utente, attributi d’identità o ambientali, tipo di device, geolocalizzazione,
algoritmi di machine learning, ecc.
• Un amministratore può usare template di scripting customizzabili per definire le logiche di
autenticazione adattiva: controllo e applicazione di regole business, trasformazione di attributi,
provisioning/deprovisioning a runtime, ...

20. Identity Bridging
• L’Identity bridging permette di scambiare attributi d’identità o
decisioni di autenticazione tra sistemi e protocolli eterogenei.
• È possibile trasferire:
• token di accesso (OIDC, SAML2, WS-Federation),
• claim di identità tra Service Providers e Identity Providers (email, numeri di
telefono, nomi),
• Richieste di user provisioning (SCIM<->SOAP, Google apps, Salesforce)

21. Identity Provisioning
• Sono supportati diversi tipi di provisioning: inbound, outbound e just-
in-time.
• Le funzionalità di Identity Provisioning sono utili per trasferire
identità a fornitori di software as a service (SaaS).
• Utenti e Gruppi possono essere esportati ad Identity Provider esterni
tramite protocollo SCIM 2.0

22. Normative sulla Privacy
• IS è conforme GDPR “by design”, implementando inoltre la specifica
Kantara per il consent management. Adottare una specifica open per il
consent management evita il problema del vendor lock-in.
• La gestione del consent è integrata nella funzionalità di self sign-up e nei
flussi di SSO/Federazione
• Gli utenti finali hanno inoltre il controllo su quali PII (personally identifiable
information) essi siano disposti a condividere con determinati service
provider.
• Le scelte fatte in materia di privacy possono sempre essere modificate
tramite un portale “self-service” built-in
• È fornito un privacy toolkit: un insieme di programmi per l’anonimizzazione
dei log per specifici utenti, nel caso essi intendessero avvalersi di questo
loro diritto.

23. Architettura Estendibile
• L’architettura di IS è tale da permettere facilmente customizzazioni,
in modo da supportare anche i casi limite in ambito IAM.
• È disponibile un insieme di più di 40 connettori per integrazioni
specifiche.
• L’estendibilità dell’architettura riguarda sia gli autenticatori (siano
essi locali o federati) che il provisioning.

24. Architettura Estendibile

25. Scalabilità
• La scalabilità (sia orizzontale che verticale) è assicurata dal framework
Carbon, alla base di ogni prodotto WSO2, che supporta nativamente il
clustering e la possibilità di essere bilanciato.
• Use case con 75 milioni di identità gestite.

26. Integration Platform
• L’Identity Server è un componente della WSO2 Integration Platform
che include WSO2 Enterprise Integrator e WSO2 API Manager.
• Tale piattaforma comprende componenti utili alla digital
transformation del business in un mondo sempre più API-driven.
• Un esempio di tale tendenza è l’emergere del concetto di CIAM, nel
quale questi componenti collaborano al fine di unire le varie identità
di un cliente al fine di fornire un’esperienza migliore all’utente finale
e una profilazione precisa ed accurata del cliente al business.

27. CUSTOMER Identity & Access
Management (CIAM)
• I sistemi IAM focalizzati sul cliente hanno alcune differenze sostanziali
rispetto ai tradizionali IAM per la forza lavoro (Workforce IAM).
Workforce IAM è rivolta “all’interno” e gestisce le interazioni B2E
(business-to-employee) e B2B (business-to-business). Lo scopo del
workforce IAM è quello di ridurre i rischi ed i costi associati all’on-boarding
e off-boarding degli impiegati, partner, fornitori.
• D’altra parte, lo scopo del customer IAM (CIAM) è quello di generare
redditività dall’analisi dei dati di identità dei clienti e di fidelizzarli.
• Se i processi CIAM sono complicati i clienti migreranno dai competitor che
offrono processi semplificati. Questo non vale per i dipendenti: pochi
dipendenti si licenziano per via della complessità dei sistemi IAM business-
to-employee (B2E).

28. CIAM – on-boarding
• In un CIAM, l’on-boarding avviene quasi sempre tramite una form di
registrazione online. Anche nel caso in cui la maggior parte degli
attributi del cliente venisse recuperata da un Identity Provider terzo,
l’ultimo step della registrazione prevederà comunque l’invio di una
form.
• La user experience del portale di on-boarding dei clienti è una delle
priorità più importanti per un sistema CIAM, quindi non è possibile
imporre a un cliente potenziale tutti i vincoli di sicurezza che si
possono imporre ad un dipendente.
• Il giusto equilibrio tra sicurezza ed usabilità è ottenuto tramite
l’utilizzo di Google reCAPTCHA

29. CIAM – Progressive Profiling
• Un sistema CIAM fornisce gli strumenti per trasformare un utente anonimo in un
cliente ben profilato. Il Progressive profiling è il processo tramite il quale un
sistema arriva a conoscere un cliente in modo progressivo.
• In principio un utente anonimo è un semplice visitatore del sito aziendale. Le cui
preferenze possono essere tracciate tramite cookie.
• In seguito, un utente anonimo che decida di compilare una form di contatto
diventa un lead. Il sistema CIAM ha la possibilità associare le preferenze tracciate
con l’utente specifico. Nel tempo, questa attività di profilazione consente al team
di marketing o di sales di avere un’idea sempre più precisa del lead, ottimizzando
le offerte fino a renderlo un vero e proprio cliente.
• Quando un cliente si autentica con le proprie credenziali, il sistema CIAM ha la
possibiltà di tracciare e correlare tutte le interazioni utente in modo da definire
un profilo utente dettagliato e preciso.

30. CIAM – Autenticazione
• L’autenticazione in un CIAM ha alcune peculiarità rispetto ad un IAM “tradizionale” :
• I login Social sono preponderanti: l’88% dei clienti negli USA si sono loggati a un’app o sito
tramite social. I sistemi IAM scoraggiano l’uso dei social login visto che la società non ha il
controllo sulla gestione delle credenziali nell’identity provider esterno.
• L’autenticazione forte è utilizzata sia negli IAM che nei CIAM. Gli IAM normalmente
preferiscono token hardware o MFA (Multi Factor Auth), mentre i CIAM si affidano ai
cosiddetti soft Token (OTP over SMS/email o TOTP/Google Authenticator).
• FIDO U2F (Fast Identity Online Universal 2nd Factor) sta diventanto lo standard de facto
per l’autenticazione multi fattore. FIDO ha buone possibilità di diffusione in ambito CIAM,
considerato il supporto di Google e Facebook.
• Il 41% dei clienti americani è interessato all’autenticazione password-less: quasi tutte le
app mobile in ambito finanziario, retail, e di prenotazione voli supportano l’autenticazione
tramite touch ID.

31. CIAM – Autenticazione
• L’autenticazione Risk-based è un sistema di autenticazione non
statica che considera il profilo dell’agente che richiede accesso al
sistema per determinare il profilo di rischio associato alla transazione
richiesta.
• Il livello di complessità della challenge di autenticazione varia quindi
in base al profilo di rischio determinato (OTP, Knowledge Based Auth,
...).
• La stima del rischio associato alla transazione puà essere delegata ad
un componente “Risk Engine” che può utilizzare diversi criteri di
valutazione: geolocalizzazione di origine transazione, ammontare
della transazione, frequenza delle richieste, ecc.

32. CIAM – Self Service Portal
• Il self-service portal è la user interface presso la quale i clienti possono
AUTONOMAMENTE controllare/aggiornare il proprio profilo, gestire i
consensi rilasciati a applicazioni terze, reimpostare le proprie credenziali o
preferenze, configurare le opzioni per il recupero del proprio account,
elencare le sessioni autenticate concorrenti, controllare i log, richiedere
un’esportazione dei propri dati, associare login social, ecc.
• Tutte queste attività sono note a chi abbia dovuto confrontarsi con la
General Data Protection Regulation (GDPR).
• I sistemi CIAM sono spesso compliant “by design” con i vincoli legislativi
relativi alla privacy e alla sicurezza delle informazioni di identità degli utenti
finali

33. Self Service Portal

34. Consent Receipt
• Una ricevuta di consenso (consent receipt) è la prova del consenso
all’elaborazione di una Personally Identifiable Information (PII),
rilasciato dal soggetto cui tale PII si riferisce, a un’entità terza (PII
Controller).
• Tramite la consent receipt è possibile risalire alla privacy policy
applicata, agli scopi d’utilizzo per i quali essa è stata rilasciata e alle
informazioni personali cui si è consentito l’accesso.
• Fonte: Kantara Initiative

35. Self Service Portal (1/4)

36. Self Service Portal (2/4)

37. Self Service Portal (3/4)

38. Self Service Portal (4/4)

39. CIAM – Security and Compliance
• Ogni CIAM, trattando dati potenzialmente sensibili, deve essere compliant con
diverse norme legislative:
• USA
• SOX(Sarbanes-Oxley Act) e GLBA(Gramm-Leach Bliley Act) nel settore finanziario,
• FERPA(Family Education Rights and Privacy Act) nel settore dell’educazione,
• HIPAA(Health Insurance Portability and Accountability Act) nel settore sanitario.
• Europa
• GDPR: rafforza e unifica i diritti per i privati in Europa, specificando anche i modi in cui i dati
personali possano o meno essere esportati al di fuori dell’unione europea
• Singapore
• PDPA (Personal Data Protection Act) il consenso deve essere ottenuto PRIMA di ottenere i
dati personali
• Australia
• Il Privacy Act regola come gestire le informazioni personali.

40. WSO2: Technologies for digital
transformation

41. IS – Roadmap a breve termine
• Identity Federation and SSO
• OIDC front/back channel logout
• Cross protocol logout
• SP template & default sequence
• IS diagnostic tool
• Authentication
• Adaptive Authentication enhancements
• Geo-velocity solution

42. IS – Roadmap a breve termine
• Provision
• SCIM2 basic filter
• Extensions to the ID ecosystem
• Identity APIs
• Multi regional deployment patterns
• SPIFFE integration
• Prometheus/ Grafana integration
• OPA integration

44. IS – Roadmap a medio termine
• Extensions to the ID ecosystem
• Integration with 3rd party IGA,PAM, SIEM products
• Identity Administration
• Identity Admin and user login portals as SPAs
• An app dashboard for end-users (consent/preference management)
• A login flow builders for administrators
• Product APIs for cleaner integration

45. IS – Roadmap a medio termine
• Security Token Service
• Token Exchange
• Token Binding
• Authentication
• Authentication flow designer
• Identity Federation and SSO
• SAML ECP Profile

46. IS – Roadmap a lungo termine
• SSO & Identity Federation
• Identity Gateway : Support for proxy based federation (WAM)
• Make the login flow API-driven
• Authentication
• Blockchain Integration
• Extensions to the ID ecosystem
• Integration with Hashicorp vault for secret management

47. Grazie!
Unisciti al Gruppo Linkedin
100% Open Source Integration Agile Business ITALIA