FEDERATE IDENTITY AND ACCESS MANAGEMENT<br />Laureando: 	Dott. Michele Manzotti<br />Relatore :	Dott. Fausto Marcantoni<br...
Agenda<br />Identity Access Management<br />Concetto di Identità<br />Identity Access Management Federato<br />Concetto di...
Identity e Access Management<br />Che cos’è l’AIM ?<br />“Insieme di processi di business (persone e procedure) e delle te...
Confidenzialità
Autorizzazione
Integrità dei dati
Prova della fonte
Non ripudio
Userprofiling
Formato e interoperabilità
Single Sign On
Servizi di directory</li></ul>17 Giugno 2010<br />Michele Manzotti<br />3<br />
Identity e Access Management<br />Identità e Attributi<br />17 Giugno 2010<br />Michele Manzotti<br />4<br />
Identity e Access Management<br />Accessi e Risorse<br />17 Giugno 2010<br />Michele Manzotti<br />5<br />
Identity e Access Management<br />In letteratura…<br />In passato<br />OECD – Organisation for Economic Co-Operation and D...
Identity e Access Management<br />Organizzazione…<br />La gestione degli accessi è autonoma per ogni servizio offerto;<br ...
Identity e Access Management<br />Piano di progetto<br />Le tempistiche con le quali s’intendere procedere. <br />Le compo...
Identity e Access Management<br />Identity e Access Management Federato<br />17 Giugno 2010<br />Michele Manzotti<br />9<b...
Identity e Access Management Federato<br />Identity e Access Management Federato<br />Che cos’è la Federazione?<br />E’ un...
Identity e Access Management Federato<br />Identity e Access Management Federato<br />La gestione delle identità e degli a...
Identity e Access Management Federato<br />Single Sign On<br />17 Giugno 2010<br />Michele Manzotti<br />12<br />
Identity e Access Management Federato<br />Compiti della federazione<br />Definire le finalità e valutare la propria capac...
Identity e Access Management Federato<br />Vantaggi (1/2)<br />Possibilità di utilizzare sempre le stesse credenziali dell...
Identity e Access Management Federato<br />Vantaggi (2/2)<br />Minore carico amministrativo per la gestione delle identità...
Identity e Access Management Federato<br />Cenni storici e Stato dell’Arte<br />Prime ricerche: Burton Group e OASIS Advan...
Identity e Access Management Federato<br />IDEM per le Università<br />Identity Management federato gestito dal GARR<br />...
Predisposizione di accordi e possibili in contesti nazionali ed europeei
Miglioramento in termini di efficienza nella fruizione di servizi</li></ul>Possono aderire oltre alle Università e centri ...
Identity e Access Management Federato<br />ICAR per le Regioni<br />ICAR nasce nel 2004 su iniziativa di 17 regioni con il...
INF-2 per la gestione di accordi di servizio
Upcoming SlideShare
Loading in …5
×

Federate Identity and Access Management

1,888 views
1,827 views

Published on

0 Comments
0 Likes
Statistics
Notes
  • Be the first to comment

  • Be the first to like this

No Downloads
Views
Total views
1,888
On SlideShare
0
From Embeds
0
Number of Embeds
1
Actions
Shares
0
Downloads
45
Comments
0
Likes
0
Embeds 0
No embeds

No notes for slide

Federate Identity and Access Management

  1. 1. FEDERATE IDENTITY AND ACCESS MANAGEMENT<br />Laureando: Dott. Michele Manzotti<br />Relatore : Dott. Fausto Marcantoni<br />Correlatrice: Dott.sa Barbara Re<br />17 Giugno 2010 <br />
  2. 2. Agenda<br />Identity Access Management<br />Concetto di Identità<br />Identity Access Management Federato<br />Concetto di Federazione<br />Concetto di Identità Federata<br />Vantaggi dell’Identity e Access Management Federato <br />ICAR e IDEM<br />Infrastruttura di Test<br />Tecnologie adoperate<br />Conclusioni e sviluppi futuri<br />17 Giugno 2010<br />Michele Manzotti<br />2<br />
  3. 3. Identity e Access Management<br />Che cos’è l’AIM ?<br />“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”<br />Principalitemiaffrontati : <br /><ul><li>Autenticazione
  4. 4. Confidenzialità
  5. 5. Autorizzazione
  6. 6. Integrità dei dati
  7. 7. Prova della fonte
  8. 8. Non ripudio
  9. 9. Userprofiling
  10. 10. Formato e interoperabilità
  11. 11. Single Sign On
  12. 12. Servizi di directory</li></ul>17 Giugno 2010<br />Michele Manzotti<br />3<br />
  13. 13. Identity e Access Management<br />Identità e Attributi<br />17 Giugno 2010<br />Michele Manzotti<br />4<br />
  14. 14. Identity e Access Management<br />Accessi e Risorse<br />17 Giugno 2010<br />Michele Manzotti<br />5<br />
  15. 15. Identity e Access Management<br />In letteratura…<br />In passato<br />OECD – Organisation for Economic Co-Operation and Development<br />NIST – National Institute of Standards and Technology<br />Attualmente<br />FP7 – Seventh Research Framework Programme della Commissione Europea<br />PICOS, SWIFT, FIDIS, GUIDE, PRIME<br />17 Giugno 2010<br />Michele Manzotti<br />6<br />
  16. 16. Identity e Access Management<br />Organizzazione…<br />La gestione degli accessi è autonoma per ogni servizio offerto;<br />La gestione degli accessi è centralizzata.<br />?<br />17 Giugno 2010<br />Michele Manzotti<br />7<br />
  17. 17. Identity e Access Management<br />Piano di progetto<br />Le tempistiche con le quali s’intendere procedere. <br />Le componenti tecnologiche utilizzate. <br />Le figure responsabili. <br />Il periodo di transizione. <br />Il documento di progetto. <br />17 Giugno 2010<br />Michele Manzotti<br />8<br />
  18. 18. Identity e Access Management<br />Identity e Access Management Federato<br />17 Giugno 2010<br />Michele Manzotti<br />9<br />
  19. 19. Identity e Access Management Federato<br />Identity e Access Management Federato<br />Che cos’è la Federazione?<br />E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.<br />17 Giugno 2010<br />Michele Manzotti<br />10<br />
  20. 20. Identity e Access Management Federato<br />Identity e Access Management Federato<br />La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni. <br />Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.<br />17 Giugno 2010<br />Michele Manzotti<br />11<br />
  21. 21. Identity e Access Management Federato<br />Single Sign On<br />17 Giugno 2010<br />Michele Manzotti<br />12<br />
  22. 22. Identity e Access Management Federato<br />Compiti della federazione<br />Definire le finalità e valutare la propria capacità di gestione dell’identità<br />Sviluppare dei sistemi di directory<br />Scegliere un adeguato sistema di autenticazione<br />Implementare il sistema di gestione dell’identità,<br />Definire le regole che la caratterizzano<br />Documentazione su come aderire alla federazione<br />Predisporre corsi di formazione<br />17 Giugno 2010<br />Michele Manzotti<br />13<br />
  23. 23. Identity e Access Management Federato<br />Vantaggi (1/2)<br />Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)<br />Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza<br />Facilità di gestione della consistenza dei dati<br />17 Giugno 2010<br />Michele Manzotti<br />14<br />
  24. 24. Identity e Access Management Federato<br />Vantaggi (2/2)<br />Minore carico amministrativo per la gestione delle identità e delle credenziali<br />Maggiore controllo sui sistemi di autenticazione e autorizzazione<br />Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza<br />17 Giugno 2010<br />Michele Manzotti<br />15<br />
  25. 25. Identity e Access Management Federato<br />Cenni storici e Stato dell’Arte<br />Prime ricerche: Burton Group e OASIS Advancing Open Standards for Information Society<br />Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust<br />Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0<br />17 Giugno 2010<br />Michele Manzotti<br />16<br />
  26. 26. Identity e Access Management Federato<br />IDEM per le Università<br />Identity Management federato gestito dal GARR<br />Obiettivi:<br /><ul><li>Rafforzamento dei sistemi di autenticazione e autorizzazione
  27. 27. Predisposizione di accordi e possibili in contesti nazionali ed europeei
  28. 28. Miglioramento in termini di efficienza nella fruizione di servizi</li></ul>Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate<br />Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione<br />17 Giugno 2010<br />Michele Manzotti<br />17<br />
  29. 29. Identity e Access Management Federato<br />ICAR per le Regioni<br />ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS<br />Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale<br />Si divide in:<br /><ul><li>INF-1 implementazione di servizi infrastrutturali per la cooperazione applicativa
  30. 30. INF-2 per la gestione di accordi di servizio
  31. 31. INF-3 sistema federato di autenticazione</li></ul> In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.<br />17 Giugno 2010<br />Michele Manzotti<br />18<br />
  32. 32. Identity e Access Management Federato<br />Principali Elementi della Federazione<br />Identity Provider<br /><ul><li>Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive</li></ul>Service Provider<br /><ul><li>Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla</li></ul>Certification Autority<br /><ul><li>Ente predisposto a convalidare i certificati</li></ul>User Agent<br /><ul><li>Applicazione mediante la quale il richiedente innesca i protocolli di SSO</li></ul>WAYF – Where are you from?<br />17 Giugno 2010<br />Michele Manzotti<br />19<br />
  33. 33. Identity e Access Management Federato<br />Architettura<br />17 Giugno 2010<br />Michele Manzotti<br />20<br />
  34. 34. Identity e Access Management Federato<br />Standard sul formato e scambio credenziali <br />X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.<br />SAML: Standard basato su XML per la creazione di tokens di sicurezza.<br />17 Giugno 2010<br />Michele Manzotti<br />21<br />
  35. 35. Identity e Access Management Federato<br />Realizzazione dell’infrastruttura<br />Sistema Operativo: Windows o Linux<br />Server Web: Apache o IIS<br />Web Container: Tomcat<br />Protocollo: SAML<br />Directory: OpenLDAP, LDAP<br />Applicativo: Shibboleth, PAPI, SimpleSAMLphp<br />17 Giugno 2010<br />Michele Manzotti<br />22<br />
  36. 36. Identity e Access Management Federato<br />Shibboleth<br />Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2<br />Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.<br />Pacchetti per l’installazione:<br />Identity Provider<br />Service Provider<br />Discovery Service<br />17 Giugno 2010<br />Michele Manzotti<br />23<br />
  37. 37. Identity e Access Management Federato<br />Identity Provider - Shibboleth<br />Pacchetti:<br />Debian 5.03 (non-free)<br />Tomcat5.5<br />Apache2.2<br />Openssl<br />Sun-java6-jdk<br />Slapd<br />File di configurazione:<br /><ul><li>Relying-party.xml
  38. 38. Attribute-resolver.xml
  39. 39. Attribute-filter.xml
  40. 40. Handler.xml
  41. 41. Login.config
  42. 42. Logging.xml</li></ul>17 Giugno 2010<br />Michele Manzotti<br />24<br />
  43. 43. Identity e Access Management Federato<br />Service Provider - Shibboleth<br />Pacchetti<br />Apache2.2<br />Ntp<br />Libapache2_mod_shib2<br />File di configurazione<br /><ul><li>Shibboleth2.xml
  44. 44. .htaccess
  45. 45. Lazysession
  46. 46. Strictsession
  47. 47. shibd -t /etc/shibboleth/shibboleth2.xml
  48. 48. http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session</li></ul>17 Giugno 2010<br />Michele Manzotti<br />25<br />
  49. 49. Identity e Access Management Federato<br />Metadata - Shibboleth<br />Identity Provider<br />shibboleth-idp/metadata/idp-metadata.xml<br />Service Provider<br />http://SP/Shibboleth.sso/Metadata<br />Metadata condiviso<br />17 Giugno 2010<br />Michele Manzotti<br />26<br />
  50. 50. Identity e Access Management Federato<br />Architettura dell’infrastruttura<br />Accesso alla risorsa<br />Shibboleth lato SP protegge l’accesso<br />SP interroga i metadati condivisi e reindirizza l’utente all’IdP<br />L’utente inserisce le credenziali e l’IdP controlla il database<br />Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa<br />17 Giugno 2010<br />Michele Manzotti<br />27<br />
  51. 51. Identity e Access Management Federato<br />Integrazione<br />SimpleSAMLphp<br />Google<br />Estensioni sui CMS<br />Joomla<br />Drupal<br />Moodle<br />Wordpress<br />Tutorial<br />17 Giugno 2010<br />Michele Manzotti<br />28<br />
  52. 52. Identity e Access Management Federato<br />Conclusioni e sviluppi e futuri<br />Autenticazione con Smart card<br />Autenticazione per le reti Wireless<br />Possibile utilizzo con i servizi di esse3 (caso Unipd)<br />Minimo skill di base<br />Configurazioni non sono così banali<br />Lavoro interessante e stimolante<br />17 Giugno 2010<br />Michele Manzotti<br />29<br />
  53. 53. Identity e Access Management Federato<br />Grazie per l’attenzione<br />I docenti<br />Dott. Fausto Marcantoni<br />Ing. Alberto Polzonetti<br />Dott.ssa Barbara Re<br />Il gruppo e-lios<br />I camerti<br />Gli osimani<br />La mia famiglia e la mia ragazza<br />17 Giugno 2010<br />Michele Manzotti<br />30<br />

×