Federate Identity and Access Management

FEDERATE IDENTITY AND ACCESS MANAGEMENT
Laureando: Dott. Michele Manzotti
Relatore : Dott. Fausto Marcantoni
Correlatrice: Dott.sa Barbara Re
17 Giugno 2010

Agenda
Identity Access Management
Concetto di Identità
Identity Access Management Federato
Concetto di Federazione
Concetto di Identità Federata
Vantaggi dell’Identity e Access Management Federato
ICAR e IDEM
Infrastruttura di Test
Tecnologie adoperate
Conclusioni e sviluppi futuri
17 Giugno 2010
Michele Manzotti
2

Identity e Access Management
Che cos’è l’AIM ?
“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”
Principalitemiaffrontati :
Autenticazione
Confidenzialità
Autorizzazione
Integrità dei dati
Prova della fonte
Non ripudio
Userprofiling
Formato e interoperabilità
Single Sign On
Servizi di directory
17 Giugno 2010
Michele Manzotti
3

Identità e Attributi
17 Giugno 2010
Michele Manzotti
4

Accessi e Risorse
17 Giugno 2010
Michele Manzotti
5

In letteratura…
In passato
OECD – Organisation for Economic Co-Operation and Development
NIST – National Institute of Standards and Technology
Attualmente
FP7 – Seventh Research Framework Programme della Commissione Europea
PICOS, SWIFT, FIDIS, GUIDE, PRIME
17 Giugno 2010
Michele Manzotti
6

Organizzazione…
La gestione degli accessi è autonoma per ogni servizio offerto;
La gestione degli accessi è centralizzata.
?
17 Giugno 2010
Michele Manzotti
7

Piano di progetto
Le tempistiche con le quali s’intendere procedere.
Le componenti tecnologiche utilizzate.
Le figure responsabili.
Il periodo di transizione.
Il documento di progetto.
17 Giugno 2010
Michele Manzotti
8

Identity e Access Management Federato
17 Giugno 2010
Michele Manzotti
9

Che cos’è la Federazione?
E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.
17 Giugno 2010
Michele Manzotti
10

La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni.
Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.
17 Giugno 2010
Michele Manzotti
11

Single Sign On
17 Giugno 2010
Michele Manzotti
12

Compiti della federazione
Definire le finalità e valutare la propria capacità di gestione dell’identità
Sviluppare dei sistemi di directory
Scegliere un adeguato sistema di autenticazione
Implementare il sistema di gestione dell’identità,
Definire le regole che la caratterizzano
Documentazione su come aderire alla federazione
Predisporre corsi di formazione
17 Giugno 2010
Michele Manzotti
13

Vantaggi (1/2)
Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)
Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza
Facilità di gestione della consistenza dei dati
17 Giugno 2010
Michele Manzotti
14

Vantaggi (2/2)
Minore carico amministrativo per la gestione delle identità e delle credenziali
Maggiore controllo sui sistemi di autenticazione e autorizzazione
Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza
17 Giugno 2010
Michele Manzotti
15

Cenni storici e Stato dell’Arte
Prime ricerche: Burton Group e OASIS Advancing Open Standards for Information Society
Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust
Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0
17 Giugno 2010
Michele Manzotti
16

IDEM per le Università
Identity Management federato gestito dal GARR
Obiettivi:
Rafforzamento dei sistemi di autenticazione e autorizzazione
Predisposizione di accordi e possibili in contesti nazionali ed europeei
Miglioramento in termini di efficienza nella fruizione di servizi
Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate
Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione
17 Giugno 2010
Michele Manzotti
17

ICAR per le Regioni
ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS
Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale
Si divide in:
INF-1 implementazione di servizi infrastrutturali per la cooperazione applicativa
INF-2 per la gestione di accordi di servizio
INF-3 sistema federato di autenticazione
In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.
17 Giugno 2010
Michele Manzotti
18

Principali Elementi della Federazione
Identity Provider
Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive
Service Provider
Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla
Certification Autority
Ente predisposto a convalidare i certificati
User Agent
Applicazione mediante la quale il richiedente innesca i protocolli di SSO
WAYF – Where are you from?
17 Giugno 2010
Michele Manzotti
19

Architettura
17 Giugno 2010
Michele Manzotti
20

Standard sul formato e scambio credenziali
X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.
SAML: Standard basato su XML per la creazione di tokens di sicurezza.
17 Giugno 2010
Michele Manzotti
21

Realizzazione dell’infrastruttura
Sistema Operativo: Windows o Linux
Server Web: Apache o IIS
Web Container: Tomcat
Protocollo: SAML
Directory: OpenLDAP, LDAP
Applicativo: Shibboleth, PAPI, SimpleSAMLphp
17 Giugno 2010
Michele Manzotti
22

Shibboleth
Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2
Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.
Pacchetti per l’installazione:
Identity Provider
Service Provider
Discovery Service
17 Giugno 2010
Michele Manzotti
23

Identity Provider - Shibboleth
Pacchetti:
Debian 5.03 (non-free)
Tomcat5.5
Apache2.2
Openssl
Sun-java6-jdk
Slapd
File di configurazione:
Relying-party.xml
Attribute-resolver.xml
Attribute-filter.xml
Handler.xml
Login.config
Logging.xml
17 Giugno 2010
Michele Manzotti
24

Service Provider - Shibboleth
Pacchetti
Apache2.2
Ntp
Libapache2_mod_shib2
File di configurazione
Shibboleth2.xml
.htaccess
Lazysession
Strictsession
shibd -t /etc/shibboleth/shibboleth2.xml
http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session
17 Giugno 2010
Michele Manzotti
25

Metadata - Shibboleth
Identity Provider
shibboleth-idp/metadata/idp-metadata.xml
Service Provider
http://SP/Shibboleth.sso/Metadata
Metadata condiviso
17 Giugno 2010
Michele Manzotti
26

Architettura dell’infrastruttura
Accesso alla risorsa
Shibboleth lato SP protegge l’accesso
SP interroga i metadati condivisi e reindirizza l’utente all’IdP
L’utente inserisce le credenziali e l’IdP controlla il database
Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa
17 Giugno 2010
Michele Manzotti
27

Integrazione
SimpleSAMLphp
Google
Estensioni sui CMS
Joomla
Drupal
Moodle
Wordpress
Tutorial
17 Giugno 2010
Michele Manzotti
28

Conclusioni e sviluppi e futuri
Autenticazione con Smart card
Autenticazione per le reti Wireless
Possibile utilizzo con i servizi di esse3 (caso Unipd)
Minimo skill di base
Configurazioni non sono così banali
Lavoro interessante e stimolante
17 Giugno 2010
Michele Manzotti
29

Grazie per l’attenzione
I docenti
Dott. Fausto Marcantoni
Ing. Alberto Polzonetti
Dott.ssa Barbara Re
Il gruppo e-lios
I camerti
Gli osimani
La mia famiglia e la mia ragazza
17 Giugno 2010
Michele Manzotti
30

Federate Identity and Access Management

by michelemanzotti on Aug 09, 2010

Accessibility

Upload Details

Usage Rights

2 Embeds 115

Statistics

Federate Identity and Access Management — Presentation Transcript

http://www.manzotti.eu	114
http://manzotti.eu	1