Federate Identity and Access Management
Upcoming SlideShare
Loading in...5
×
 

Federate Identity and Access Management

on

  • 1,848 views

 

Statistics

Views

Total Views
1,848
Views on SlideShare
1,678
Embed Views
170

Actions

Likes
0
Downloads
37
Comments
0

2 Embeds 170

http://www.manzotti.eu 169
http://manzotti.eu 1

Accessibility

Categories

Upload Details

Uploaded via as Microsoft PowerPoint

Usage Rights

© All Rights Reserved

Report content

Flagged as inappropriate Flag as inappropriate
Flag as inappropriate

Select your reason for flagging this presentation as inappropriate.

Cancel
  • Full Name Full Name Comment goes here.
    Are you sure you want to
    Your message goes here
    Processing…
Post Comment
Edit your comment

Federate Identity and Access Management Federate Identity and Access Management Presentation Transcript

  • FEDERATE IDENTITY AND ACCESS MANAGEMENT
    Laureando: Dott. Michele Manzotti
    Relatore : Dott. Fausto Marcantoni
    Correlatrice: Dott.sa Barbara Re
    17 Giugno 2010
  • Agenda
    Identity Access Management
    Concetto di Identità
    Identity Access Management Federato
    Concetto di Federazione
    Concetto di Identità Federata
    Vantaggi dell’Identity e Access Management Federato
    ICAR e IDEM
    Infrastruttura di Test
    Tecnologie adoperate
    Conclusioni e sviluppi futuri
    17 Giugno 2010
    Michele Manzotti
    2
  • Identity e Access Management
    Che cos’è l’AIM ?
    “Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”
    Principalitemiaffrontati :
    • Autenticazione
    • Confidenzialità
    • Autorizzazione
    • Integrità dei dati
    • Prova della fonte
    • Non ripudio
    • Userprofiling
    • Formato e interoperabilità
    • Single Sign On
    • Servizi di directory
    17 Giugno 2010
    Michele Manzotti
    3
  • Identity e Access Management
    Identità e Attributi
    17 Giugno 2010
    Michele Manzotti
    4
  • Identity e Access Management
    Accessi e Risorse
    17 Giugno 2010
    Michele Manzotti
    5
  • Identity e Access Management
    In letteratura…
    In passato
    OECD – Organisation for Economic Co-Operation and Development
    NIST – National Institute of Standards and Technology
    Attualmente
    FP7 – Seventh Research Framework Programme della Commissione Europea
    PICOS, SWIFT, FIDIS, GUIDE, PRIME
    17 Giugno 2010
    Michele Manzotti
    6
  • Identity e Access Management
    Organizzazione…
    La gestione degli accessi è autonoma per ogni servizio offerto;
    La gestione degli accessi è centralizzata.
    ?
    17 Giugno 2010
    Michele Manzotti
    7
  • Identity e Access Management
    Piano di progetto
    Le tempistiche con le quali s’intendere procedere.
    Le componenti tecnologiche utilizzate.
    Le figure responsabili.
    Il periodo di transizione.
    Il documento di progetto.
    17 Giugno 2010
    Michele Manzotti
    8
  • Identity e Access Management
    Identity e Access Management Federato
    17 Giugno 2010
    Michele Manzotti
    9
  • Identity e Access Management Federato
    Identity e Access Management Federato
    Che cos’è la Federazione?
    E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.
    17 Giugno 2010
    Michele Manzotti
    10
  • Identity e Access Management Federato
    Identity e Access Management Federato
    La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni.
    Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.
    17 Giugno 2010
    Michele Manzotti
    11
  • Identity e Access Management Federato
    Single Sign On
    17 Giugno 2010
    Michele Manzotti
    12
  • Identity e Access Management Federato
    Compiti della federazione
    Definire le finalità e valutare la propria capacità di gestione dell’identità
    Sviluppare dei sistemi di directory
    Scegliere un adeguato sistema di autenticazione
    Implementare il sistema di gestione dell’identità,
    Definire le regole che la caratterizzano
    Documentazione su come aderire alla federazione
    Predisporre corsi di formazione
    17 Giugno 2010
    Michele Manzotti
    13
  • Identity e Access Management Federato
    Vantaggi (1/2)
    Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)
    Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza
    Facilità di gestione della consistenza dei dati
    17 Giugno 2010
    Michele Manzotti
    14
  • Identity e Access Management Federato
    Vantaggi (2/2)
    Minore carico amministrativo per la gestione delle identità e delle credenziali
    Maggiore controllo sui sistemi di autenticazione e autorizzazione
    Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza
    17 Giugno 2010
    Michele Manzotti
    15
  • Identity e Access Management Federato
    Cenni storici e Stato dell’Arte
    Prime ricerche: Burton Group e OASIS Advancing Open Standards for Information Society
    Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust
    Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0
    17 Giugno 2010
    Michele Manzotti
    16
  • Identity e Access Management Federato
    IDEM per le Università
    Identity Management federato gestito dal GARR
    Obiettivi:
    • Rafforzamento dei sistemi di autenticazione e autorizzazione
    • Predisposizione di accordi e possibili in contesti nazionali ed europeei
    • Miglioramento in termini di efficienza nella fruizione di servizi
    Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate
    Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione
    17 Giugno 2010
    Michele Manzotti
    17
  • Identity e Access Management Federato
    ICAR per le Regioni
    ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS
    Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale
    Si divide in:
    • INF-1 implementazione di servizi infrastrutturali per la cooperazione applicativa
    • INF-2 per la gestione di accordi di servizio
    • INF-3 sistema federato di autenticazione
    In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.
    17 Giugno 2010
    Michele Manzotti
    18
  • Identity e Access Management Federato
    Principali Elementi della Federazione
    Identity Provider
    • Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive
    Service Provider
    • Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla
    Certification Autority
    • Ente predisposto a convalidare i certificati
    User Agent
    • Applicazione mediante la quale il richiedente innesca i protocolli di SSO
    WAYF – Where are you from?
    17 Giugno 2010
    Michele Manzotti
    19
  • Identity e Access Management Federato
    Architettura
    17 Giugno 2010
    Michele Manzotti
    20
  • Identity e Access Management Federato
    Standard sul formato e scambio credenziali
    X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.
    SAML: Standard basato su XML per la creazione di tokens di sicurezza.
    17 Giugno 2010
    Michele Manzotti
    21
  • Identity e Access Management Federato
    Realizzazione dell’infrastruttura
    Sistema Operativo: Windows o Linux
    Server Web: Apache o IIS
    Web Container: Tomcat
    Protocollo: SAML
    Directory: OpenLDAP, LDAP
    Applicativo: Shibboleth, PAPI, SimpleSAMLphp
    17 Giugno 2010
    Michele Manzotti
    22
  • Identity e Access Management Federato
    Shibboleth
    Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2
    Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.
    Pacchetti per l’installazione:
    Identity Provider
    Service Provider
    Discovery Service
    17 Giugno 2010
    Michele Manzotti
    23
  • Identity e Access Management Federato
    Identity Provider - Shibboleth
    Pacchetti:
    Debian 5.03 (non-free)
    Tomcat5.5
    Apache2.2
    Openssl
    Sun-java6-jdk
    Slapd
    File di configurazione:
    • Relying-party.xml
    • Attribute-resolver.xml
    • Attribute-filter.xml
    • Handler.xml
    • Login.config
    • Logging.xml
    17 Giugno 2010
    Michele Manzotti
    24
  • Identity e Access Management Federato
    Service Provider - Shibboleth
    Pacchetti
    Apache2.2
    Ntp
    Libapache2_mod_shib2
    File di configurazione
    • Shibboleth2.xml
    • .htaccess
    • Lazysession
    • Strictsession
    • shibd -t /etc/shibboleth/shibboleth2.xml
    • http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session
    17 Giugno 2010
    Michele Manzotti
    25
  • Identity e Access Management Federato
    Metadata - Shibboleth
    Identity Provider
    shibboleth-idp/metadata/idp-metadata.xml
    Service Provider
    http://SP/Shibboleth.sso/Metadata
    Metadata condiviso
    17 Giugno 2010
    Michele Manzotti
    26
  • Identity e Access Management Federato
    Architettura dell’infrastruttura
    Accesso alla risorsa
    Shibboleth lato SP protegge l’accesso
    SP interroga i metadati condivisi e reindirizza l’utente all’IdP
    L’utente inserisce le credenziali e l’IdP controlla il database
    Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa
    17 Giugno 2010
    Michele Manzotti
    27
  • Identity e Access Management Federato
    Integrazione
    SimpleSAMLphp
    Google
    Estensioni sui CMS
    Joomla
    Drupal
    Moodle
    Wordpress
    Tutorial
    17 Giugno 2010
    Michele Manzotti
    28
  • Identity e Access Management Federato
    Conclusioni e sviluppi e futuri
    Autenticazione con Smart card
    Autenticazione per le reti Wireless
    Possibile utilizzo con i servizi di esse3 (caso Unipd)
    Minimo skill di base
    Configurazioni non sono così banali
    Lavoro interessante e stimolante
    17 Giugno 2010
    Michele Manzotti
    29
  • Identity e Access Management Federato
    Grazie per l’attenzione
    I docenti
    Dott. Fausto Marcantoni
    Ing. Alberto Polzonetti
    Dott.ssa Barbara Re
    Il gruppo e-lios
    I camerti
    Gli osimani
    La mia famiglia e la mia ragazza
    17 Giugno 2010
    Michele Manzotti
    30