Sto cercando di definire il confine tra due ampi tipi di utenti. I primi sono quelli che fanno uso di sistemi aziendali (contabilità, ERP, CRM, ecc.) E questo include anche utenti B2B, ad esempio consulenti esterni, partner di mercato, aziende che utilizzano i nostri servizi aziendali e così via. Il secondo tipo sono gli utenti finali che utilizzano applicazioni rivolte al cliente, come app mobili ecc.
Nella mia mente è intuitivamente chiaro, ma ho difficoltà a articolare questa distinzione. Sto cercando di trovare, in primo luogo, il vocabolario corretto per riferirsi a questi due tipi di utenti, e in secondo luogo, un semplice insieme di regole per determinare il confine tra questi due.
La ragione di ciò è perché inciderà sull'implementazione tecnica dell'autenticazione e dell'autorizzazione dell'utente. Un'idea che avevo era di differenziare in base al tipo di dati che gli utenti avrebbero usato. Il primo utilizza i dati aziendali, mentre il secondo utilizza dati personali e privati. Per il primo gruppo di utenti (l'unico tipo con cui abbiamo avuto a che fare finora) sono tutti gestiti all'interno di Active Directory e l'autenticazione / autorizzazione è implementata tramite un servizio Single Sign-On. Tuttavia, questo non è necessariamente appropriato per gli utenti di app mobili (per esempio), ma ho bisogno di dare definizioni chiare e input al nostro team di sicurezza che dovrà modificare le politiche e le direttive di sicurezza che governano il modo in cui gestiamo identità, autenticazione e autorizzazione.
Gradirei qualche indicazione, in particolare se esistono alcune best practice consolidate o standard del settore che si riferiscono alla mia domanda.