PROGETTO ICARTask inf-3Sitema Federato interregionale di Autenticazione<br />Michele Manzotti<br />Fausto Marcantoni<br />...
2<br />Chi siamo<br />Prof. Fausto Marcantoni<br />fausto.marcantoni@unicam.it<br />Corso: Reti di Elaboratori/Lab. Reti d...
3<br />Agenda – Prima parte<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’iden...
4<br />Agenda – Seconda parte<br />Scenari Applicativi in fase di test<br />Installazione di un IdP<br />Installazione di ...
5<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />C...
6<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />C...
7<br />Identità Digitale<br />L'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema in...
8<br />Caratteristiche dell’identità<br />La rappresentazione dell’identità digitale deve essere tanto più completa quanto...
9<br />Caratteristiche dell’identità<br />Le credenziali possono essere numericamente e qualitativamente molto variegate e...
10<br />Identity Management<br />Si intende  un insieme di processi (decisionali, organizzativi, procedurali, informatizza...
11<br />Caratteristiche dell’Identity Management<br />Autenticazione: non solo tramite l’uso di username e password, ma at...
12<br />Identità digitale parziale<br />Identità digitale ed identità federata<br />
13<br />Identità digitale parziale<br />Insieme di proprietà (attributi) di una persona che sono tecnicamente,  immediatam...
14<br />Identità digitale parziale<br />In certi contesti la persona vuole rimanere anonima, in altri contesti preferisce ...
15<br />Trattamento dei dati personali<br />In Italia il trattamento dei dati personali, quindi anche delle identità digit...
16<br />Le 7 leggi dell’identità<br />Controllo da parte dell’utente e consenso<br />Rivelazione minima e per uso prestabi...
17<br />Le 7 leggi dell’identità<br />Il sistema deve essere pluralista rispetto ad operatori e tecnologi<br />Azione uman...
18<br />Indicazioni Europee<br />Fonte: Luigi Reggi<br />Identità digitale ed identità federata<br />
19<br />Identità digitale federata<br />La Federazione è un accordo, tra organizzazioni e fornitori di risorse, con il qua...
20<br />Identità digitale federata<br />Il paradigma di identità digitale federata nasce come risposta all’esigenza che le...
21<br />Vantaggi dell’identità digitale federata<br />Eliminazione del problema di discordanze relativo alla gestione dell...
22<br />Vantaggi dell’identità digitale federata<br />Capacità di gestire rapidi cambiamenti<br />es. utenti per uno o poc...
23<br />Svantaggi<br />Necessario un ente per la gestione delle policy della federazione<br />Limitato alle risorse web<br...
24<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
25<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
26<br />Access Management<br />Permettere alle organizzazioni di:<br />Dare ai propri utenti l’accesso alle risorse miglio...
27<br />Access Management<br />Si esplicita in un complesso di applicazioni e sistemi che vengono utilizzati per gestire  ...
28<br />Access Management<br />Identità digitale ed identità federata<br />
29<br />Access Management<br />All’interno della propria organizzazione:<br />Ognuno segue una propria logica di gestione ...
30<br />Access Management<br />Identità digitale ed identità federata<br />
31<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
32<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
33<br />La federazione nella PA<br />L’identità digitale federata nasce come esigenza che i vari enti della pubblica ammin...
34<br />La federazione nella PA<br />Dall’interoperabilità si arriva all’utilità se c’è anche un modello tecnico-organizza...
35<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
36<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />...
37<br />Profilo Utente<br />Rappresenta una entità all’interno di una singola organizzazione<br />Composto da un insieme d...
38<br />Differenti profili di federazione<br />Dominio fruitore, erogatore certificatore, profilazione<br />Identità digit...
39<br />Differenti profili di federazione<br />Dominio fruitore, erogatore certificatore, profilazione<br />Identità digit...
40<br />Progetto ICAR<br />Il progetto ICAR ha avuto il merito di vedere nell’identità federata il presupposto per accresc...
41<br />Definizione del modello logico di riferimento<br />Lo scenario di riferimento di un Sistema Federato di Cooperazio...
42<br />Definizione del modello logico di riferimento<br />In un contesto di questo tipo, i servizi definiti da ciascun do...
43<br />Definizione del modello logico di riferimento<br />L’interfaccia di dominio è costituita da:<br />Il portale gesti...
44<br />Domini ed Entità Interagenti<br />Il modello per la gestione federata delle entità si compone di due concetti prin...
45<br />Domini<br />Nei modelli architetturali che caratterizzano l’organizzazione dei sistemi informativi della Pubblica ...
46<br />Elenco dei domini<br />Di seguito verranno descritti quattro tipi di dominio distinti:<br />Dominio di profilazion...
47<br />Dominio di Profilazione<br />Un dominio viene detto di profilazione per un <br />dato utente quando in esso è stat...
48<br />Dominio Fruitore<br />Un dominio si dice fruitore relativamente ad un’interazione di accesso ad un servizio, quand...
49<br />Dominio Erogatore<br />Un dominio viene detto erogatore relativamente ad un’interazione di accesso ad un servizio,...
50<br />Dominio Certificatore<br />Un dominio viene detto certificatore relativamente <br />ad un’interazione di accesso a...
51<br />Dominio Certificatore<br />All’interno del dominio certificatore operano un certo numero di entità che espongono s...
52<br />Certification Authority<br />Sono le authority abilitate a certificare l’identità di un utente nel processo di aut...
53<br />Profile  Authority (PA)<br />Sono le entità incaricate della gestione dell’archivio dei profili utente presenti ne...
54<br />Attribute Authority (AA)<br />Sono le authority abilitate a certificare alcuni degli attributi nel profilo di un u...
55<br />Attribute Authority (AA)<br />Una Attribute Authority è in grado di fornire certificazioni di attributo relative a...
56<br />Shibboleth<br />Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, apparten...
57<br />Architettura<br />Identità digitale ed identità federata<br />
58<br />Single Sign On<br />Identità digitale ed identità federata<br />
59<br />Standard sul formato e scambio di credenziali<br />X.509: Standard ITU-T per le infrastrutture a chiave pubblica P...
60<br />Identity Provider<br />Un Identity Provider è un’entità della federazione ICAR/SHIBBOLETH  in grado di fornire ass...
61<br />Identity Provider<br />Normalmente un IdP non è in grado di comportarsi da Attribute Authority<br />Può produrre a...
62<br />Identity Provider<br />gestisce l'autenticazione, il Single Sign On (SSO) ed il rilascio degli attributi delle ide...
63<br />Service Provider<br />l'ente presso il quale è gestita la risorsa web a cui l'utente fa richiesta e che ha il comp...
64<br />Service Provider<br />Essenzialmente è un demone in C++ con il quale il web server dialoga (mod_shib2 - link)<br /...
65<br />Identity Provider e Service Provider<br />IdP e SP possono cooperare secondo diversi profili, ciascuno dei quali d...
66<br />Identity Provider e Service Provider<br />Esempio di federazione<br />Identità digitale ed identità federata<br />
67<br />Identity Provider e Service Provider<br />3<br />4<br />5<br />7<br />2<br />1<br />10<br />6<br />9<br />8<br />H...
68<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
69<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
Autenticazione<br />70<br />Relazioni ed Interazioni con Shibboleth <br />Utente<br />Risorsa<br />1. Richiesta di accesso...
71<br />Relazioni ed Interazioni con Shibboleth<br />Rilascio Attributi<br />Utente<br />Risorsa<br />8. Rilascio attribut...
72<br />Relazioni ed Interazioni con Shibboleth<br />Accesso alla Risorsa<br />Utente<br />Risorsa<br />10. Accesso alla r...
73<br />Protocollo SAML 2.0<br />La comunicazione avviene secondo lo standard SAML 2.0<br />Security Assertion Markup Lang...
74<br />Protocollo SAML 2.0<br />SAML definisce sullo standard XML-base:<br />definizioni, protocolli, modalita' di connes...
75<br />Protocollo SAML 2.0<br />SAML profile e' una manifestazione concreta di una combinazione particolare di definizion...
76<br />Metadati<br />Sono informazioni su informazioni<br />Dati che riguardano i dati<br />Descrizioni di oggetti elabor...
77<br />Metadati: le finalità<br />I profili SAML2 richiedono che una federazione si accordi per quanto riguarda le entità...
78<br />Metadati: gli attori<br /> Gli IdP si assicurano che l'SP sia autentico tramite una lista di 'trusted' SP<br /> Gl...
79<br />Metadati: ruoli<br />I metadati sono raggruppati secondo i diversi ruoli<br />Un ruolo è la combinazione di protoc...
80<br />Metadati: ruoli<br />Identità digitale ed identità federata<br />
81<br />Metadati in SAML 2.0<br />Identità digitale ed identità federata<br />
82<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
83<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
84<br />Accesso al Servizio<br />Il caso d’uso principale è quello per l’accesso al servizio, che coinvolge tre attori: Se...
85<br />Accesso al Servizio<br />Si noti la particolarità per cui un SP può essere a sua volta un servirce requester. Un r...
86<br />Registrazione e aggiornamento del profilo<br />Un secondo caso d’uso è quello che permette ad un nuovo utente di r...
87<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
88<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
89<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
90<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
91<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
92<br />Architettura ICAR in Regione MarcheIpotesi di ambiente<br />ICAR<br />Altre Regioni<br />Regione Marche<br />Cohes...
93<br />Architettura ICAR in Regione Marche<br />?<br />2: From?<br />3: Retrieve from IdP<br />1: Service Request<br />5:...
94<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
95<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed...
96<br />Stato dell’arte<br />L’infrastruttura di task Inf 03 ICAR è funzionante<br />Realizzato IdP di test<br />Realizzat...
97<br />Sviluppi futuri<br />Autenticazione mediante SmartCard (carta raffaello)<br />Costituzione di una federazione di t...
98<br />Conclusioni<br />Entrare in un’ottica federata significa:<br />Condividere problematiche comuni<br />Assumere dive...
99<br />Riferimenti<br />Videohttp://www.youtube.com/watch?v=wBHiASr-pwk (UK)http://www.servizi.garr.it/index.php/it/news-...
100<br />Th@nk for your Attention!<br />Michele Manzotti<br />Dipartimento di Informatica e Matematica<br />Università di ...
Upcoming SlideShare
Loading in...5
×

Sistema Federato Interregionale di Autenticazione

2,644

Published on

0 Comments
1 Like
Statistics
Notes
  • Be the first to comment

No Downloads
Views
Total Views
2,644
On Slideshare
0
From Embeds
0
Number of Embeds
3
Actions
Shares
0
Downloads
62
Comments
0
Likes
1
Embeds 0
No embeds

No notes for slide

Transcript of "Sistema Federato Interregionale di Autenticazione"

  1. 1. PROGETTO ICARTask inf-3Sitema Federato interregionale di Autenticazione<br />Michele Manzotti<br />Fausto Marcantoni<br />Barbara Re<br /> Università di Camerino <br />
  2. 2. 2<br />Chi siamo<br />Prof. Fausto Marcantoni<br />fausto.marcantoni@unicam.it<br />Corso: Reti di Elaboratori/Lab. Reti di Elaboratori<br /> – Laurea Informatica 3° Anno<br />Istruttore CCNA – CISCO<br />Certificazione OPST (OSSTMM PROFESSIONAL SECURITY TESTER)<br />OSSTMM - Open Source Security Testing Methodology Manual <br />Dott. Michele Manzotti<br />michele.manzotti@studenti-unicam.it<br />Certificato CCNA – CCNA – Security CISCO<br />Certificazione OPST (OSSTMM PROFESSIONAL SECURITY TESTER)<br />OSSTMM - Open Source Security Testing Methodology Manual <br />
  3. 3. 3<br />Agenda – Prima parte<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Differenti profili di federazione<br />Dominio fruitore, erogatore, certificatore, profilazione (IDP – SP)<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />
  4. 4. 4<br />Agenda – Seconda parte<br />Scenari Applicativi in fase di test<br />Installazione di un IdP<br />Installazione di un Sp<br />Installare l’infrastruttura ICAR<br />Integrazione dei sistemi<br />Integrazione IdP e Sp<br />Integrazione con l’infrastruttura ICAR<br />Sviluppi Futuri<br />Autenticazione tramite SmartCard<br />Autenticazione tramite Google<br />
  5. 5. 5<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  6. 6. 6<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  7. 7. 7<br />Identità Digitale<br />L'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. (Wikipedia).<br />L'identità digitale può essere definita come l’esclusiva percezione della <br />propria vita, che però è sempre collegata ad un corpo mediante il quale la persona si relaziona con la società.<br />Per identità digitale si intende un insieme di informazioni che consentono di distinguere una entità da un'altra in modo univoco: in una identità digitale, questo insieme di informazioni è espresso in forma. <br />Identità digitale ed identità federata<br />
  8. 8. 8<br />Caratteristiche dell’identità<br />La rappresentazione dell’identità digitale deve essere tanto più completa quanto è complessa la transazione in cui è coinvolta. <br />Infatti il grado di affidabilità e le quantità di informazioni richiesti possono variare in modo molto significativo a seconda del tipo di transazione.<br />Un’identità digitale è articolata in due parti:<br />Chi uno è (identità)<br />Le credenziali che ognuno possiede (gli attributi di tale identità)<br />Identità digitale ed identità federata<br />
  9. 9. 9<br />Caratteristiche dell’identità<br />Le credenziali possono essere numericamente e qualitativamente molto variegate e hanno differenti utilizzi. <br />L’identità digitale completa è abbastanza complessa e ha implicazioni sia legali che tecniche. Comunque, l’identità digitale più semplice consiste in un ID (o username) e una parola di identificazione segreta(o password). In questo caso lo username è l’identità, mentre la password è chiamata credenziale di autenticazione. <br />Ma l’ identità digitale può essere complessa come una vera e propria identità umana.<br />Identità digitale ed identità federata<br />
  10. 10. 10<br />Identity Management<br />Si intende un insieme di processi (decisionali, organizzativi, procedurali, informatizzati) e una infrastruttura di supporto (per memorizzare/conservare, trasmettere, <br />proteggere) che permette di:<br />CREARE<br />GESTIRE/MODIFICARE<br />USARE<br />ELIMINARE<br />le identità digitali parziali rispettando la legge (cioè i diritti delle <br />persone, in particolare il diritto alla privacy e il diritto all’onore). <br />Identità digitale ed identità federata<br />
  11. 11. 11<br />Caratteristiche dell’Identity Management<br />Autenticazione: non solo tramite l’uso di username e password, ma attraverso l’uso di certificati <br />Confidenzialità: capacità del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o trasmettendo <br />Autorizzazione: restringere l’accesso ad informazioni private o consentire l’accesso a servizi specifici<br />Integrità dei dati: per essere sicuri che nessuno intercetti i dati che si stanno scambiando, può essere importante sapere che nessuno li abbia alterati durante la trasmissione<br />Prova della fonte: è possibile effettuare specifiche transazioni in cui i dati inviati con la firma digitale sono codificati in modo da dimostrare che i dati sono effettivamente stati inviati<br />Non repudio: fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in rete<br />Identità digitale ed identità federata<br />
  12. 12. 12<br />Identità digitale parziale<br />Identità digitale ed identità federata<br />
  13. 13. 13<br />Identità digitale parziale<br />Insieme di proprietà (attributi) di una persona che sono tecnicamente, immediatamente e operativamente accessibili relativi ad un contesto<br />Insieme di dati dati personali che possono essere memorizzati e collegati tramite applicazioni informatiche<br />In ogni contesto esistono attributi necessari ed altri non necessari<br />Identità digitale ed identità federata<br />
  14. 14. 14<br />Identità digitale parziale<br />In certi contesti la persona vuole rimanere anonima, in altri contesti preferisce presentarsi con uno pseudonimo, in altri casi è necessario rivelare l’identità reale<br />E’necessario poter collegare tra loro le identità digitali parziali relative ad una stessa persona<br />Problematiche non banali da gestire<br />Identità digitale ed identità federata<br />
  15. 15. 15<br />Trattamento dei dati personali<br />In Italia il trattamento dei dati personali, quindi anche delle identità digitali parziali, è regolato dal Decreto legislativo 30 giugno 2003, n. 196 -Codice in materia di protezione dei dati personali (Testo unico privacy)<br />I sistemi di Identity Management devono essere progettati in modo da rispettare la legge, in particolare proteggendo i dati (Art.1)<br />Principio di necessità nel trattamento dei dati: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. (Art. 3)<br />Identità digitale ed identità federata<br />
  16. 16. 16<br />Le 7 leggi dell’identità<br />Controllo da parte dell’utente e consenso<br />Rivelazione minima e per uso prestabilito<br />L’utente comprende la ragionevolezza del trasferimento<br />L’utente può usare uno pseudonimo<br />Fonte: Low of Identity<br />Identità digitale ed identità federata<br />
  17. 17. 17<br />Le 7 leggi dell’identità<br />Il sistema deve essere pluralista rispetto ad operatori e tecnologi<br />Azione umana integrata nel sistema<br />Semplicità e usabilità delle molte identità digitali parziali<br />Fonte: Low of Identity<br />Identità digitale ed identità federata<br />
  18. 18. 18<br />Indicazioni Europee<br />Fonte: Luigi Reggi<br />Identità digitale ed identità federata<br />
  19. 19. 19<br />Identità digitale federata<br />La Federazione è un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autorizzazione e autenticazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.<br />La gestione dell’identità può essere sempre meno vista come un problema solo interno alle singole organizzazioni: le persone infatti, mentre effettuano transazioni, “si spostano” sempre più attraverso i confini di diversi ambiti di responsabilità corrispondenti ad altrettante organizzazioni.<br />Identità digitale ed identità federata<br />
  20. 20. 20<br />Identità digitale federata<br />Il paradigma di identità digitale federata nasce come risposta all’esigenza che le organizzazioni hanno di cooperare condividendo dati, partendo dal presupposto che il traguardo di una identità digitale “unica”, trasversale ai vari domini, è poco realistico. <br />Identità digitale ed identità federata<br />
  21. 21. 21<br />Vantaggi dell’identità digitale federata<br />Eliminazione del problema di discordanze relativo alla gestione delle identità in sistemi disgiunti<br />Ridotto il numero di credenziali da conoscere<br />Ridotto il carico dovuto alla disattivazione dei client che non hanno più diritto<br />L'organizzazione può modificare più velocemente i diritti di accesso basandosi sui ruoli<br />Identità digitale ed identità federata<br />
  22. 22. 22<br />Vantaggi dell’identità digitale federata<br />Capacità di gestire rapidi cambiamenti<br />es. utenti per uno o pochi giorni<br />es. attivazione di molti nuovi servizi anche federati o in cloud<br />Governance più efficace <br />perché è finalmente possibile applicare le policy (non solo enunciarle)<br />Aiuta a rispettare le leggi <br />es. diritti privacy<br />Soddisfazione dell’utenza <br />grazie all’accesso facile e sicuro a numerose risorse<br />Identità digitale ed identità federata<br />
  23. 23. 23<br />Svantaggi<br />Necessario un ente per la gestione delle policy della federazione<br />Limitato alle risorse web<br />Possibile difficoltà d’integrazione con web application specifiche<br />Identità digitale ed identità federata<br />
  24. 24. 24<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  25. 25. 25<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  26. 26. 26<br />Access Management<br />Permettere alle organizzazioni di:<br />Dare ai propri utenti l’accesso alle risorse migliorando la loro padronanza e usabilità (user experience) <br />Controllare l’accesso degli utenti alle risorse e alle applicazioni on-line<br />Con le seguenti condizioni:<br />Proteggere i dati personali dell’utilizzo non autorizzato<br />Proteggere le informazioni riservate dall’accesso da parte di utenti non autorizzati<br />Identità digitale ed identità federata<br />
  27. 27. 27<br />Access Management<br />Si esplicita in un complesso di applicazioni e sistemi che vengono utilizzati per gestire l’autenticazione degli utenti, l’accesso (o la restrizione dell’accesso) alle risorse, i profili, le password, e altri attributi che aiutano a definire ruoli e profili degli utenti.<br />Identità digitale ed identità federata<br />
  28. 28. 28<br />Access Management<br />Identità digitale ed identità federata<br />
  29. 29. 29<br />Access Management<br />All’interno della propria organizzazione:<br />Ognuno segue una propria logica di gestione degli accessi<br />Diversi database con svariate tipologie di autenticazione<br />Specifici ruoli<br />Personalizzazione del concetto di identità digitale<br />Tuttavia ogni organizzazione<br />Necessità di interoperare con le altre<br />Un soggetto può far parte di diverse organizzazioni<br />Sistemi di autenticazioni differenti<br />Accesso alla risorse in modo sicuro<br />Identità digitale ed identità federata<br />
  30. 30. 30<br />Access Management<br />Identità digitale ed identità federata<br />
  31. 31. 31<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  32. 32. 32<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  33. 33. 33<br />La federazione nella PA<br />L’identità digitale federata nasce come esigenza che i vari enti della pubblica amministrazione hanno di cooperare condividendo dati<br />Federare due o più sistemi di identity management significa fare si che i rispettivi linguaggi non siano più stranieri l’uno all’altro attraverso l’utilizzo di un insieme comune di regole e di grammatiche che le rendono interoperabili<br />L’effettiva utilità giunge quando si può riporre fiducia nell’identità digitale a prescindere da chi la emette<br />Identità digitale ed identità federata<br />
  34. 34. 34<br />La federazione nella PA<br />Dall’interoperabilità si arriva all’utilità se c’è anche un modello tecnico-organizzativo che supporti la fiducia tra le parti<br />L’utilizzo della federazione permette l’eliminazione degli utenti duplicati e l’utilizzo di servizi protetti anche da differenti organizzazioni<br />L’obiettivo è assicurare la trasparenza del livello applicativo dei servizi offerti dai singoli domini rispetto alle specifiche modalità di interazione utilizzate all’interno delle singole comunità<br />ogni soggetto viene riconosciuto da diverse entità<br />Identità digitale ed identità federata<br />
  35. 35. 35<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  36. 36. 36<br />Identità digitale ed identità digitale federata<br />Concetto di riconoscimento dell’identità di un soggetto<br />Concetto di autorizzazione dell’utente<br />Concetto di condivisione dell’identità digitale<br />Concetto di profilo e qualifiche <br />Identità digitale ed identità federata<br />
  37. 37. 37<br />Profilo Utente<br />Rappresenta una entità all’interno di una singola organizzazione<br />Composto da un insieme di attributi che ne descrivono le caratteristiche<br />In base agli attributi vengono permesse determinate azioni<br />Limitazione degli accessi<br />In ottica di federazione il profilo dell’utente viene costruito sulla base delle organizzazioni alle quali appartiene<br />Identità digitale ed identità federata<br />
  38. 38. 38<br />Differenti profili di federazione<br />Dominio fruitore, erogatore certificatore, profilazione<br />Identità digitale ed identità federata<br />
  39. 39. 39<br />Differenti profili di federazione<br />Dominio fruitore, erogatore certificatore, profilazione<br />Identità digitale ed identità federata<br />
  40. 40. 40<br />Progetto ICAR<br />Il progetto ICAR ha avuto il merito di vedere nell’identità federata il presupposto per accrescere l’impatto dei servizi e-Government.<br />Il task INF-3 ha il compito di attuare questo presupposto attivando la federazione dell’identità digitale tra le regioni.<br />Identità digitale ed identità federata<br />
  41. 41. 41<br />Definizione del modello logico di riferimento<br />Lo scenario di riferimento di un Sistema Federato di Cooperazione è quello tipico di una rete regionale, ovvero una comunità a cui afferiscono uno o più domini in grado di offrire differenti tipologie di servizi ai proprio utenti, e che possono dialogare con altri domini anche se appartenenti ad altre reti regionali.<br />Il modello proposto si basa sulla federazione tra community network che comunicano tra loro attraverso la rete Internet.<br />Identità digitale ed identità federata<br />
  42. 42. 42<br />Definizione del modello logico di riferimento<br />In un contesto di questo tipo, i servizi definiti da ciascun dominio facente capo a una specifica comunità possono essere resi disponibili agli altri domini della comunità, così come ai domini appartenenti a comunità diverse, attraverso una interfaccia di dominio.<br />L’interfaccia di dominio costituisce concettualmente il punto di ingresso per l’accesso alle risorse applicative offerte dal dominio.<br />Identità digitale ed identità federata<br />
  43. 43. 43<br />Definizione del modello logico di riferimento<br />L’interfaccia di dominio è costituita da:<br />Il portale gestisce l’interazione tra tali servizi e gli utenti umani<br />Il portale rappresenta il punto di accesso utilizzato dalle applicazioni software che vogliono accedere ai servizi esposti dall’amministrazione. Inoltre accordi di trust rappresentano gli strumenti in grado di rendere valide queste autenticazioni verso le altre amministrazioni<br />Identità digitale ed identità federata<br />
  44. 44. 44<br />Domini ed Entità Interagenti<br />Il modello per la gestione federata delle entità si compone di due concetti principali<br />Identità digitale ed identità federata<br />
  45. 45. 45<br />Domini<br />Nei modelli architetturali che caratterizzano l’organizzazione dei sistemi informativi della Pubblica Amministrazione è stato da tempo introdotto, ed è comunemente adottato, il concetto di dominio informatico<br />Il dominio rappresenta il sistema informativo di una amministrazione in senso lato ed in particolare definisce il perimetro di sicurezza informatica di responsabilità di una amministrazione<br />Identità digitale ed identità federata<br />
  46. 46. 46<br />Elenco dei domini<br />Di seguito verranno descritti quattro tipi di dominio distinti:<br />Dominio di profilazione<br />Dominio fruitore<br />Dominio erogatore<br />Dominio certificatore<br />Identità digitale ed identità federata<br />
  47. 47. 47<br />Dominio di Profilazione<br />Un dominio viene detto di profilazione per un <br />dato utente quando in esso è stata eseguita la <br />procedura di riconoscimento iniziale, durante <br />la quale a quell’utente sono state richieste <br />alcune informazioni che da quel momento in <br />poi sono state memorizzate in una struttura dati chiamata “profilo utente”. Tale struttura viene gestita da una entità detta Profile Authority.<br />Identità digitale ed identità federata<br />
  48. 48. 48<br />Dominio Fruitore<br />Un dominio si dice fruitore relativamente ad un’interazione di accesso ad un servizio, quando in essa ha origine la richiesta di tale servizio<br />In questo specifico contesto, il dominio fruitore viene a coincidere di fatto con lo stesso utente richiedente come un comune browser web<br />Identità digitale ed identità federata<br />
  49. 49. 49<br />Dominio Erogatore<br />Un dominio viene detto erogatore relativamente ad un’interazione di accesso ad un servizio, quando in esso è presente il fornitore del servizio richiesto<br />In tale dominio, potranno essere presenti ulteriori entità, come quella incaricata di verificare che il richiedente possieda tutti i requisiti necessari per l’accesso al servizio indicato, eventualmente ottenendoli da terze parti fidate<br />Identità digitale ed identità federata<br />
  50. 50. 50<br />Dominio Certificatore<br />Un dominio viene detto certificatore relativamente <br />ad un’interazione di accesso ad un servizio, quando <br />in esso sono presenti uno o più soggetti certificatori, <br />detti anche authority, in grado di asserire la validità di <br />uno o più attributi contenenti nel profilo gestito della <br />Profile Autority del dominio di profilazione dell’utente.<br />Per questo motivo il profilo, oltre a contenere i dati veri e propri relativi all’utente, dovrebbe memorizzare dei riferimenti a tutte le authority coinvolte, che fanno capo ad uno o più domini certificatori.<br />Identità digitale ed identità federata<br />
  51. 51. 51<br />Dominio Certificatore<br />All’interno del dominio certificatore operano un certo numero di entità che espongono servizi atti a certificare alcune informazioni contenute nel profilo degli utenti<br />Tali entità sono chiamate authority e hanno la caratteristica di godere della fiducia di altre entità presenti nei vari domini coinvolti<br />Questo significa che le “descrizioni” prodotte da un’authority, relativamente alla validità o invalidità delle informazioni nei profili utente sono considerate vere per definizione, da parte di coloro che si fidano di tale authority<br />Si possono distinguere almeno tre tipologie di authority<br />Certification Authority<br />Attribute Autority<br />Profile Authority<br />Identità digitale ed identità federata<br />
  52. 52. 52<br />Certification Authority<br />Sono le authority abilitate a certificare l’identità di un utente nel processo di autenticazione<br />Un utente viene dotato di un certo numero di credenziali, da parte di ciascuna certification authority a cui fa capo. In questo modo, diverse certification authority possono certificare diversi tipi di credenziali, come ad esempio credenziali costituite da un nome utente e password, oppure da codice fiscale e PIN<br />Un utente potrebbe avere un profilo contenente credenziali certificate da più di una certification authority<br />Identità digitale ed identità federata<br />
  53. 53. 53<br />Profile Authority (PA)<br />Sono le entità incaricate della gestione dell’archivio dei profili utente presenti nei domini di profilazione. Ad esse è demandato il compito di rispondere alle richieste di attributo formulate dal dominio erogatore, per la verifica dell’identità e/o del livello di autorizzazione<br />La Profile Authority, fa parte del dominio di profilazione dell’utente di cui gestisce il profilo e può essere interrogata remotamente da parte di domini diversi, come il dominio erogatore<br />Identità digitale ed identità federata<br />
  54. 54. 54<br />Attribute Authority (AA)<br />Sono le authority abilitate a certificare alcuni degli attributi nel profilo di un utente ed utilizzati nel processo di autorizzazione<br />Un utente in generale è dotato di un certo numero di attributi che, insieme alle credenziali, concorrono a formare il suo profilo<br />Ad esempio, residenza, professione, titolo di studio, iscrizione ad un albo e sono in generale certificate da authority presenti in domini diversi<br />Identità digitale ed identità federata<br />
  55. 55. 55<br />Attribute Authority (AA)<br />Una Attribute Authority è in grado di fornire certificazioni di attributo relative ai subject conosciuti<br />tutti gli attributi conosciuti di un determinato subject<br />certificazione del valore (o dei valori) di uno o più attributi relativi ad uno specifico subject<br />In generale, le Attribute Authorities (AA) non si comportano come Identity Provider e non sono in grado di certificare l’identità di un utente/subject<br />Una AA non è in grado di fornire token di autenticazione agli altri componenti della federazione<br />Identità digitale ed identità federata<br />
  56. 56. 56<br />Shibboleth<br />Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2<br />Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.<br />Pacchetti per l’installazione:<br />Identity Provider<br />Service Provider<br />Discovery Service<br />Identità digitale ed identità federata<br />
  57. 57. 57<br />Architettura<br />Identità digitale ed identità federata<br />
  58. 58. 58<br />Single Sign On<br />Identità digitale ed identità federata<br />
  59. 59. 59<br />Standard sul formato e scambio di credenziali<br />X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.<br />SAML: Standard basato su XML per la creazione di tokens di sicurezza.<br />Identità digitale ed identità federata<br />
  60. 60. 60<br />Identity Provider<br />Un Identity Provider è un’entità della federazione ICAR/SHIBBOLETH in grado di fornire asserzioni sull’identità digitale sugli utenti/subject conosciuti<br />riceve richieste di autenticazione con l’indicazione dell’insieme dei metodi di autenticazione ritenuti accettabili dal richiedente<br />produce token di autenticazione che certificano l’avvenuto riconoscimento di un subject secondo una specifica modalità (Es. username/pwd, HardwareToken, etc.)<br />Il token di autenticazione prodotto può eventualmente includere anche un insieme di attestazioni del valore degli attributi che caratterizzano il profilo dell’utente mantenuto dal quell’Identity Provider<br />Identità digitale ed identità federata<br />
  61. 61. 61<br />Identity Provider<br />Normalmente un IdP non è in grado di comportarsi da Attribute Authority<br />Può produrre attestazioni di attributo soltanto a seguito dell’avvenuta autenticazione di un utente e congiuntamente al token di autenticazione<br />La produzione del token di autenticazione tipicamente prevede l’interazione con il browser utente<br />Identità digitale ed identità federata<br />
  62. 62. 62<br />Identity Provider<br />gestisce l'autenticazione, il Single Sign On (SSO) ed il rilascio degli attributi delle identità contenute per il sistema di Identity Management.<br />Essenzialmente è una applicazione java dentro un J2EE (tomcat). Può essere presente un web server come reverse proxy.<br />Le funzioni:<br />Autenticazione e SSO porta 443: redige l'utente a una form di login o ritrasmette le in informazioni di avvenuta autenticazione<br />Attribute Authority (AA) porta 8443: rilascia gli attributi degli utenti autenticati<br />Identità digitale ed identità federata<br />
  63. 63. 63<br />Service Provider<br />l'ente presso il quale è gestita la risorsa web a cui l'utente fa richiesta e che ha il compito di proteggerla attraverso una qualche forma di policy di accesso<br />il Fornitore di un certo servizio a cui l’utente vuole accedere il quale deve fornire il componente di Shibboleth denominato Service Provider<br />protegge l'accesso alle risorse web (anche autorizzazione, grazie agli attributi rilasciati dall'IdP)<br />Identità digitale ed identità federata<br />
  64. 64. 64<br />Service Provider<br />Essenzialmente è un demone in C++ con il quale il web server dialoga (mod_shib2 - link)<br />Intercetta le richieste a risorse protette e ridirige l'utente sull WAYF (Where are you from? Servizio di discovery dell’IdP) o all'IdP<br />Ricevute le informazioni di autenticazione apre una connessione verso lo AA dell'IdP per reperire gli attributi<br />ogni risorsa il cui accesso deve essere protetto richiede un SP, quindi ogni servizio Web accessibile agli utenti della federazione richiede un SP.<br />Identità digitale ed identità federata<br />
  65. 65. 65<br />Identity Provider e Service Provider<br />IdP e SP possono cooperare secondo diversi profili, ciascuno dei quali definisce l’ambito fiduciario e contrattuale che lega le due tipologie<br />Profilo “Multi Provider”<br />Identità digitale ed identità federata<br />
  66. 66. 66<br />Identity Provider e Service Provider<br />Esempio di federazione<br />Identità digitale ed identità federata<br />
  67. 67. 67<br />Identity Provider e Service Provider<br />3<br />4<br />5<br />7<br />2<br />1<br />10<br />6<br />9<br />8<br />Handle<br />13<br />Handle<br />11<br />8<br />Attributi<br />12<br />Attributi<br />10<br />Identità digitale ed identità federata<br />
  68. 68. 68<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  69. 69. 69<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  70. 70. Autenticazione<br />70<br />Relazioni ed Interazioni con Shibboleth <br />Utente<br />Risorsa<br />1. Richiesta di accesso<br />3. Determinazione del Gestore di Identitàdi appartenenza<br />2. Redirezione<br />5. Autenticazione<br />Gestore Identità<br />Servizio<br />WAYF<br />4. Redirezione<br />Identità digitale ed identità federata<br />
  71. 71. 71<br />Relazioni ed Interazioni con Shibboleth<br />Rilascio Attributi<br />Utente<br />Risorsa<br />8. Rilascio attributi<br />7. Richiesta Attributi<br />6. Credenzili (Handle)<br />Gestore Identità<br />Servizio<br />WAYF<br />Identità digitale ed identità federata<br />
  72. 72. 72<br />Relazioni ed Interazioni con Shibboleth<br />Accesso alla Risorsa<br />Utente<br />Risorsa<br />10. Accesso alla risorsa<br />9. Autorizzazione<br />Gestore Identità<br />Servizio<br />WAYF<br />Identità digitale ed identità federata<br />
  73. 73. 73<br />Protocollo SAML 2.0<br />La comunicazione avviene secondo lo standard SAML 2.0<br />Security Assertion Markup Language (SAML) è uno standard informatico per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra domini di sicurezza distinti, tipicamente un identity provider (entità che fornisce informazioni di identita) e un service provider (entità che fornisce servizi). Il formato delle asserzioni SAML e basato su XML. SAML è mantenuto da OASIS Security Services Technical Committee.<br />Identità digitale ed identità federata<br />
  74. 74. 74<br />Protocollo SAML 2.0<br />SAML definisce sullo standard XML-base:<br />definizioni, protocolli, modalita' di connessione, profili<br />SAML assertion contiene un pacchetto di informazioni di sicurezza<br />SAML protocol si riferisce a COSA viene trasmesso<br />SAML binding determina la modalita' di richiesta o risposta standard<br />HTTP Artifact Binding usa ARP (Artifact Resolution Protocol) e SAML SOAP Binding per risolvere un messaggio per referenza<br />Identità digitale ed identità federata<br />
  75. 75. 75<br />Protocollo SAML 2.0<br />SAML profile e' una manifestazione concreta di una combinazione particolare di definizioni, protocolli e modalita‘ di connessione che identificano una particolare struttura (IdP o SP)<br />I profili sono racchiusi nei RUOLI<br />Identity Provider<br />Service Provider<br />Attribute Authority<br />Attribute Consumer<br />Policy Decision Point<br />Identità digitale ed identità federata<br />
  76. 76. 76<br />Metadati<br />Sono informazioni su informazioni<br />Dati che riguardano i dati<br />Descrizioni di oggetti elaborabili automaticamente detti “machine understandable” relativi ad una risorsa<br />Informazioni di carattere descrittivo, strutturale, amministrativo, tecnico-gestionale relative ad un oggetto o ad un insieme di oggetti<br />Identità digitale ed identità federata<br />
  77. 77. 77<br />Metadati: le finalità<br />I profili SAML2 richiedono che una federazione si accordi per quanto riguarda le entità che ne fanno parte, le risorse, il supporto e gli endpoint che esplicano effettivamente i servizi federati<br />In questo contesto i metadati servono per descrivere tutte queste informazioni in un modo standardizzato<br />E' un modo ordinato di annotare i servizi, le entità le URI di riferimento e i ruoli che riflettono i profili SAML<br />Le macchine che offrono i servizi, sia di autenticazione che di risorse, accedono a questo elenco per comprendere come capire chi ha diritto a fare cosa, come deve farlo e dove sono le sue credenziali<br />Identità digitale ed identità federata<br />
  78. 78. 78<br />Metadati: gli attori<br /> Gli IdP si assicurano che l'SP sia autentico tramite una lista di 'trusted' SP<br /> Gli IdP trovano informazioni relative agli endpoint degli SP dove mandare le info<br /> Gli SP verificano la firma di una assertion tramite la chiave pubblica dell' IdP<br /> Gli SP risolvono referenze tramite una lista di endpoint relativi all'Artifact Resolution Service<br />Identità digitale ed identità federata<br />
  79. 79. 79<br />Metadati: ruoli<br />I metadati sono raggruppati secondo i diversi ruoli<br />Un ruolo è la combinazione di protocolli SAML e profili supportati dalle singole entità<br />Ogni ruolo è descritto da un elemento derivato dal tipo base RoleDescriptor<br />I RoleDescriptor sono raggruppati dentro l'elemento contenitore EntityDescriptor, unità primaria dei metadati<br />Più EntityDescriptor possono essere raggruppati in gruppi nidificati, tutti sotto l'elemento EntitiesDescriptor<br />Sono inoltre descritti e stabiliti tutti i sistemi supportati per stabilire un ambiente di fiducia fra gli attori<br />Identità digitale ed identità federata<br />
  80. 80. 80<br />Metadati: ruoli<br />Identità digitale ed identità federata<br />
  81. 81. 81<br />Metadati in SAML 2.0<br />Identità digitale ed identità federata<br />
  82. 82. 82<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  83. 83. 83<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  84. 84. 84<br />Accesso al Servizio<br />Il caso d’uso principale è quello per l’accesso al servizio, che coinvolge tre attori: Service Requester, una o più Authority e un SP<br />Il richiedente contatta il fornitore che fa uso di un certo numero di authority certificatrici per convalidare l’accesso<br />Questo use case si compone di tre fasi autenticazione, autorizzazione e fruizione vera e propria del servizio<br />Identità digitale ed identità federata<br />
  85. 85. 85<br />Accesso al Servizio<br />Si noti la particolarità per cui un SP può essere a sua volta un servirce requester. Un richiedente infatti, come già detto può essere sia un utente che opera mediante un browser web per contattare il front-end di un servizio, che il front-end dello stesso servizio,che deve contattare un certo numero di fornitori di servizi di back-end per completare la procedura di accesso<br />Identità digitale ed identità federata<br />
  86. 86. 86<br />Registrazione e aggiornamento del profilo<br />Un secondo caso d’uso è quello che permette ad un nuovo utente di registrarsi presso una certa authority al fine della creazione di un nuovo profilo contenente almeno gli attributi base utili ai fini della procedura di autenticazione<br />Nel caso generale, tuttavia, il profilo verrà popolato anche con un certo numero di dati, ad esempio quelli anagrafici, ma potrà essere esteso anche in un secondo momento<br />Quest’ultima attività viene riassunta nel caso d’uso denominato “Aggiornamento del profilo” per cui un utente può accreditarsi con i nuovi attributi (o qualifiche) presso una AA<br />Identità digitale ed identità federata<br />
  87. 87. 87<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  88. 88. 88<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  89. 89. 89<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
  90. 90. 90<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
  91. 91. 91<br />Architettura ICAR<br />Identità digitale ed identità federata<br />
  92. 92. 92<br />Architettura ICAR in Regione MarcheIpotesi di ambiente<br />ICAR<br />Altre Regioni<br />Regione Marche<br />Cohesion<br />OpenLDAPo<br />Active Directory<br />Identità digitale ed identità federata<br />
  93. 93. 93<br />Architettura ICAR in Regione Marche<br />?<br />2: From?<br />3: Retrieve from IdP<br />1: Service Request<br />5: Authentic.<br />Altre Regioni<br />4: Service Request<br />Regione Marche<br />Regione Marche<br />Cohesion<br />OpenLDAP<br />Identità digitale ed identità federata<br />
  94. 94. 94<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  95. 95. 95<br />Tecnologie abilitanti e standard di riferimento secondo il modello ICAR<br />Modello di coopearzione: relazioni ed interazioni intra e inter-dominio<br />Casi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizio<br />Architettura ICAR<br />Sviluppi futuri<br />Identità digitale ed identità federata<br />
  96. 96. 96<br />Stato dell’arte<br />L’infrastruttura di task Inf 03 ICAR è funzionante<br />Realizzato IdP di test<br />Realizzato un Sp di test<br />Autenticazione tramite Shibboleth<br />Integrazione con i maggiori CMS: Joomla e Wordpress<br />Identità digitale ed identità federata<br />
  97. 97. 97<br />Sviluppi futuri<br />Autenticazione mediante SmartCard (carta raffaello)<br />Costituzione di una federazione di testing con le altre Regioni<br />Integrazione con i servizi di Google<br />….<br />Identità digitale ed identità federata<br />
  98. 98. 98<br />Conclusioni<br />Entrare in un’ottica federata significa:<br />Condividere problematiche comuni<br />Assumere diversi ruoli a seconda della provenienza<br />Diminuire il carico di storage degli utenti<br />Essere a norma di legge<br />
  99. 99. 99<br />Riferimenti<br />Videohttp://www.youtube.com/watch?v=wBHiASr-pwk (UK)http://www.servizi.garr.it/index.php/it/news-idem/126-provafilmato (IT)<br />Strategie e politicheeuropee per la societàdell’informazionehttp://www.slideshare.net/rejus/strategie-e-politiche-europee-per-linnovazione-il-ruolo-dei-fondi-strutturali-comunitari-4004323<br />Idem e Icarhttps://www.idem.garr.it/index.php/it/documentihttp://www.progettoicar.it/ViewCategory.aspx?catid=ebf043b8e557434c89add91686c1f455<br />
  100. 100. 100<br />Th@nk for your Attention!<br />Michele Manzotti<br />Dipartimento di Informatica e Matematica<br />Università di Camerino<br />Via Madonna delle Carceri, 9 <br />62032 - Camerino (Macerata) – ITALY<br />eMail: michele.manzotti@s tudenti.unicam.it<br />Web: http://manzotti.eu<br />http://conferences.cs.unicam.it/icarplusformazione<br />100<br />
  1. A particular slide catching your eye?

    Clipping is a handy way to collect important slides you want to go back to later.

×