1. FEDERATE IDENTITY AND ACCESS MANAGEMENT Laureando: Dott. Michele Manzotti Relatore : Dott. Fausto Marcantoni Correlatrice: Dott.sa Barbara Re 17 Giugno 2010
2. Agenda Identity Access Management Concetto di Identità Identity Access Management Federato Concetto di Federazione Concetto di Identità Federata Vantaggi dell’Identity e Access Management Federato ICAR e IDEM Infrastruttura di Test Tecnologie adoperate Conclusioni e sviluppi futuri 17 Giugno 2010 Michele Manzotti 2
13. Identity e Access Management Identità e Attributi 17 Giugno 2010 Michele Manzotti 4
14. Identity e Access Management Accessi e Risorse 17 Giugno 2010 Michele Manzotti 5
15. Identity e Access Management In letteratura… In passato OECD – Organisation for Economic Co-Operation and Development NIST – National Institute of Standards and Technology Attualmente FP7 – Seventh Research Framework Programme della Commissione Europea PICOS, SWIFT, FIDIS, GUIDE, PRIME 17 Giugno 2010 Michele Manzotti 6
16. Identity e Access Management Organizzazione… La gestione degli accessi è autonoma per ogni servizio offerto; La gestione degli accessi è centralizzata. ? 17 Giugno 2010 Michele Manzotti 7
17. Identity e Access Management Piano di progetto Le tempistiche con le quali s’intendere procedere. Le componenti tecnologiche utilizzate. Le figure responsabili. Il periodo di transizione. Il documento di progetto. 17 Giugno 2010 Michele Manzotti 8
18. Identity e Access Management Identity e Access Management Federato 17 Giugno 2010 Michele Manzotti 9
19. Identity e Access Management Federato Identity e Access Management Federato Che cos’è la Federazione? E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia. 17 Giugno 2010 Michele Manzotti 10
20. Identity e Access Management Federato Identity e Access Management Federato La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni. Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni. 17 Giugno 2010 Michele Manzotti 11
21. Identity e Access Management Federato Single Sign On 17 Giugno 2010 Michele Manzotti 12
22. Identity e Access Management Federato Compiti della federazione Definire le finalità e valutare la propria capacità di gestione dell’identità Sviluppare dei sistemi di directory Scegliere un adeguato sistema di autenticazione Implementare il sistema di gestione dell’identità, Definire le regole che la caratterizzano Documentazione su come aderire alla federazione Predisporre corsi di formazione 17 Giugno 2010 Michele Manzotti 13
23. Identity e Access Management Federato Vantaggi (1/2) Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO) Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza Facilità di gestione della consistenza dei dati 17 Giugno 2010 Michele Manzotti 14
24. Identity e Access Management Federato Vantaggi (2/2) Minore carico amministrativo per la gestione delle identità e delle credenziali Maggiore controllo sui sistemi di autenticazione e autorizzazione Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza 17 Giugno 2010 Michele Manzotti 15
25. Identity e Access Management Federato Cenni storici e Stato dell’Arte Prime ricerche: Burton Group e OASIS Advancing Open Standards for Information Society Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0 17 Giugno 2010 Michele Manzotti 16
28. Miglioramento in termini di efficienza nella fruizione di serviziPossono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione 17 Giugno 2010 Michele Manzotti 17
31. INF-3 sistema federato di autenticazione In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate. 17 Giugno 2010 Michele Manzotti 18
32.
33. Identity e Access Management Federato Architettura 17 Giugno 2010 Michele Manzotti 20
34. Identity e Access Management Federato Standard sul formato e scambio credenziali X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI. SAML: Standard basato su XML per la creazione di tokens di sicurezza. 17 Giugno 2010 Michele Manzotti 21
35. Identity e Access Management Federato Realizzazione dell’infrastruttura Sistema Operativo: Windows o Linux Server Web: Apache o IIS Web Container: Tomcat Protocollo: SAML Directory: OpenLDAP, LDAP Applicativo: Shibboleth, PAPI, SimpleSAMLphp 17 Giugno 2010 Michele Manzotti 22
36. Identity e Access Management Federato Shibboleth Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2 Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso. Pacchetti per l’installazione: Identity Provider Service Provider Discovery Service 17 Giugno 2010 Michele Manzotti 23
49. Identity e Access Management Federato Metadata - Shibboleth Identity Provider shibboleth-idp/metadata/idp-metadata.xml Service Provider http://SP/Shibboleth.sso/Metadata Metadata condiviso 17 Giugno 2010 Michele Manzotti 26
50. Identity e Access Management Federato Architettura dell’infrastruttura Accesso alla risorsa Shibboleth lato SP protegge l’accesso SP interroga i metadati condivisi e reindirizza l’utente all’IdP L’utente inserisce le credenziali e l’IdP controlla il database Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa 17 Giugno 2010 Michele Manzotti 27
51. Identity e Access Management Federato Integrazione SimpleSAMLphp Google Estensioni sui CMS Joomla Drupal Moodle Wordpress Tutorial 17 Giugno 2010 Michele Manzotti 28
52. Identity e Access Management Federato Conclusioni e sviluppi e futuri Autenticazione con Smart card Autenticazione per le reti Wireless Possibile utilizzo con i servizi di esse3 (caso Unipd) Minimo skill di base Configurazioni non sono così banali Lavoro interessante e stimolante 17 Giugno 2010 Michele Manzotti 29
53. Identity e Access Management Federato Grazie per l’attenzione I docenti Dott. Fausto Marcantoni Ing. Alberto Polzonetti Dott.ssa Barbara Re Il gruppo e-lios I camerti Gli osimani La mia famiglia e la mia ragazza 17 Giugno 2010 Michele Manzotti 30