Introduzione
Ora che si è appreso come effettuare il provisioning delle risorse cloud e come gestirle, il passaggio successivo consiste nell'apprendere come gestire chi ha accesso alle risorse. In primo luogo, è necessario essere in grado di identificare ogni utente che accede alle risorse cloud di un'organizzazione. In secondo luogo, gli amministratori devono avere la possibilità di definire le autorizzazioni in modo che il sistema possa decidere se consentire l'accesso. Per "accesso" si può intendere la capacità di modificare una macchina virtuale, eliminarla o semplicemente determinarne l'esistenza.
L'obiettivo, in termini di sicurezza, è abilitare gli utenti ad accedere alle risorse necessarie per svolgere le proprie funzioni lavorative e nient'altro. Un amministratore di database può richiedere l'autorizzazione per aggiungere una tabella a un database di cui è proprietario, ma probabilmente non dovrà essere autorizzato a modificare o eliminare la macchina virtuale che ospita il database o la rete di cui fa parte la macchina virtuale.
Il concetto di identità digitale, ovvero l'assegnazione di un'identità quale "Bob" o "Alice" a un utente che accede a una risorsa cloud o si connette a un sito Web, ha diverse sfaccettature e le soluzioni disponibili sono varie e numerose. La soluzione "giusta" dipende dallo scenario. Ad esempio, un sito Web pubblico che richiede agli utenti di eseguire l'accesso per visualizzare determinate pagine, ad esempio quelle contenenti articoli a pagamento, necessita di un sistema di identità che consenta agli utenti esterni all'organizzazione di creare un account ed eseguire l'accesso. Gli utenti che accedono alle risorse cloud di un'organizzazione devono invece essere identificati dagli account aziendali che sono stati loro assegnati dal personale IT e l'accesso esterno deve essere attentamente controllato.
In questo modulo verranno esaminati i concetti fondamentali che sono alla base dell'identità nel mondo digitale. Verranno illustrati i tipi di entità a cui è possibile assegnare identità, ad esempio utenti, gruppi e applicazioni. Verranno inoltre illustrate le tecniche per estendere l'identità di una persona in modo che, ad esempio, Alice possa usare le sue credenziali aziendali per accedere a risorse locali e risorse cloud.
Infine, verrà introdotto il concetto di controllo degli accessi in base al ruolo e si vedrà come questo venga usato dai provider di servizi cloud. Il controllo degli accessi in base al ruolo consente ai clienti di controllare l'accesso alle risorse di cui effettuano il provisioning. Si tratta del principale meccanismo usato dagli amministratori cloud per applicare le autorizzazioni alle risorse cloud e definire le azioni consentite e non consentite agli utenti relativamente a singole risorse o gruppi di risorse. In futuro, questo meccanismo avrà un ruolo centrale per gli amministratori cloud.