Luca Annunziata

Autenticazione e programmazione

Semplificare la vita dello sviluppatore partendo dagli standard. Con un occhio alle regole e uno all'interoperabilitÓ. Vittorio Bertocci, evangelist Microsoft, illustra a Punto Informatico lo stato dell'arte dell'identity

Roma - Visual Studio 2010, il rinnovato ambiente di sviluppo di Microsoft, è disponibile da circa un mese. Tra le sue principali novità, ce n'è una che senz'altro vale la pena di essere trattata: l'autenticazione e la gestione dell'identità. Da questa release è infatti disponibile un nuovo componente, denominato Windows Identity Foundation, che si occupa di gestire per intero l'aspetto dell'identity all'interno delle applicazioni: un passo necessario a garantire maggiore indipendenza del codice da questioni relative all'accesso ai servizi, soprattutto in un'era in cui sempre più spesso le informazioni viaggiano su sistemi distribuiti o addirittura nella cloud.

Punto Informatico ha discusso di questi temi con Vittorio Bertocci, italiano trapiantato a Redmond che di fatto è l'evangelist per le questioni di identity per la piattaforma dotNET. Autore di tre libri sull'argomento, l'ultimo è in uscita, nel corso di un suo viaggio in Italia Bertocci ha accettato di rispondere ad alcune domande relative allo scenario complessivo della gestione dell'identità online (fattore quanto mai attuale, viste le recenti polemiche relative a Facebook e alla privacy), oltre ad offrirci alcuni spunti su cosa dovremo aspettarci per il prossimo futuro in questo campo.

Punto Informatico: Tanto per cominciare, una domanda che solo all'apparenza è semplice: perché parlare di identity quando si tratta di un ambiente di sviluppo?
Vittorio Bertocci: Identity è un argomento particolare. Abbiamo avuto tanti tentativi, più o meno riusciti, nella storia del software in cui sostanzialmente siamo riusciti a proteggere lo sviluppatore dal gestire direttamente alcuni dettagli o aspetti marginali dell'applicazione. Questo però non è avvenuto in questo ambito.
PI: Possiamo fare un esempio?
VB: Per esempio oggi non devi preoccuparti, se non in casi particolari, della dimensione del monitor su cui verrà presentata la tua applicazione. Quando ti occupi di autenticazione oggi, invece, devi ancora implementare le API dei servizi che vuoi usare: che si tratti di certificati, Active Directory ecc, devi conoscere le diverse tecnologie per poterle implementare. L'unico caso in cui non devi farlo è quando crei una forte dipendenza dalla tua infrastruttura: se sei nella tua intranet, tutti possono accedere ma solo perché sono sotto la supervisione del domain controller.

PI: Ed è uno scenario improbabile?
VB: Oggi è normale avere molte persone che collaborano alla tua attività: ci sono i consulenti, i reseller, i partner, i rivenditori, tutte entità che in qualche modo devi autenticare. Poi c'è la questione della salvaguardia degli asset, ovvero bisogna badare all'eventuale duplicazione dell'informazione per evitare che i dati manchino di coerenza. Se un impiegato lascia l'azienda, devi garantirti ad esempio di disabilitare i suoi account: ma se sei costretto a farlo più volte in più punti ti stai complicando la vita.

PI: Dunque ci sono buone ragioni per affrontare adesso il problema.
VB: La parola d'ordine è: razionalizzazione. Vorremmo che questo problema, come altri, non fosse un problema dello sviluppatore. Quando quest'ultimo pensa alle applicazioni, dovrebbe preoccuparsi di cosa l'applicazione dovrà fare o non dovrà fare, deve preoccuparsi dell'esperienza utente e non delle molte API da implementare. Con questo spirito, già dal 2006-2007 abbiamo guardato alla nostra offerta e alle proposte di partner e competitor: ci siamo resi conto che c'erano già gli standard necessari a lavorare coerentemente in questo ambito, in modo tale che invece di dover scrivere ogni volta il codice per creare i meccanismi di autenticazione, tu possa limitarti ad avviare una procedura formalizzata, ad alto livello.

PI: In altre parole?
VB: ╚ il concetto di service orientation applicato alla identity. Si prendono le unità di business che possiedono le informazioni riguardo agli utenti, la cosiddetta "authority" in materia, e gli si offre la possibilità di esporre un'interfaccia - magari via browser - in cui mettere a disposizione gli strumenti necessari all'autenticazione. Come programmatore tu scrivi la tua applicazione, e quando hai bisogno di informazioni sull'identificazione ti diamo le API per ottenere queste informazioni, ma senza dover conoscere i dettagli di come vengono raccolte. ╚ la base di quello che si chiama Windows Identity Foundation, che consente di fare "outsourcing" dell'autenticazione e semplifica la vita dello sviluppatore.
Notizie collegate
  • TecnologiaProgrammare il programmatore Faccia a faccia con uno dei papÓ di Visual Studio. Che racconta il percorso che conduce da una release alla successiva. E spiega che nella vita Ŕ pi¨ facile immaginare cosa desideri uno sviluppatore piuttosto che un avvocato
  • TecnologiaMicrosoft lancia Visual Studio 2010 e Silverlight 4Debuttano le nuove versioni di Visual Studio, MS.NET Framework e Silverlight, strumenti che promettono di semplificare l'intero processo di sviluppo su PC, appliance, device mobili e Web
22 Commenti alla Notizia Autenticazione e programmazione
Ordina
CONTINUA A LEGGERE I COMMENTI
Successiva
(pagina 1/2 - 6 discussioni)