SlideShare a Scribd company logo

Lightning saml

Download as ODP, PDF
Daniele Albrizio
Daniele Albrizio

Lightning talk su SAML Linuxday Trieste 2017

Technology
1 of 24
1 Autenticazione SAML Alla base del Sistema Pubblico di Identità Digitale SPID Lightning Talk Linuxday 2017 Trieste Daniele Albrizio daniele@albrizio.it
2 Autenticazione WEB ● Applicata ai siti web ● Simile al meccanismo di pagamento con carta di credito online
3 Storia: Backend di autenticazione (diretta) ● Ldap – Transito della password o dell’hash sul frontend – Autenticazione nativa Plaintext, md5, kerberos – MSPPE/NTLMv2 ma con un “superaccount” sul frontend ● Bisogna fidarsi della benevolenza del frontend che non sempre è un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
4 Autenticazione delegata ● SAML Security Assertion Markup Protocol (web) – Redirezione verso un autenticatore della propria organizzazione che restituisce l’esito dell’autenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per l’utente ● Radius tunnel (network) – L’autenticazione e le credenziali arrivano in maniera protetta e privata fino al server dell’organizzazione di appartenenza dell’utente. Al servizio arriva sono un Accept o un Reject
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 5 Autenticazione: definizioniAutenticazione: definizioni Identità digitaleIdentità digitale AutenticazioneAutenticazione AutorizzazioneAutorizzazione
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6 Identità digitaleIdentità digitale ● Per essere sicuri chePer essere sicuri che un uomo o unaun uomo o una macchinamacchina in rete siano chiin rete siano chi dicono didicono di essere, abbiamoessere, abbiamo bisognobisogno di sistemi (entitàdi sistemi (entità fidate) che nefidate) che ne autentichino l'identitàautentichino l'identità (The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7 Policy based Access ControlPolicy based Access Control – PEPPEP oo PolicyPolicy EnforcementEnforcement PointPoint che chiedeche chiede all'utente di identificarsi, passa le richiesta al PDP eall'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quantofornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP. PDP (Radius, Shibboleth IdP, middleware) Provisioning Run-time query User Client Sql DB Directory (AD, LDAP) PEP (access point, application server, switch, Shibboleth SP) OK
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8 Federazione di IdMFederazione di IdM Per noi vuol dire:Per noi vuol dire: ● „„Unione” dei sistemi di gestione dell'identità inUnione” dei sistemi di gestione dell'identità in modo da poter riconoscere anche gentemodo da poter riconoscere anche gente (identità) di altre Organizzazioni e conoscere i(identità) di altre Organizzazioni e conoscere i loroloro attributiattributi trasmessi contrasmessi con convenzioniconvenzioni semantichesemantiche..
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9 Autenticazione FederataAutenticazione Federata Si basa su tre attori principali:Si basa su tre attori principali: ● Identity Provider (IdP)Identity Provider (IdP) operato dalla home institution (Università, IdPoperato dalla home institution (Università, IdP SPID)SPID) ● Service Provider (SP)Service Provider (SP) operato dal fornitore di servizioperato dal fornitore di servizi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10 Identity Provider (IdP)Identity Provider (IdP) ● L'IdP mantiene una lista di attriuti collegati adL'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto- assegnati dall'entità stessa o attributi e ruoliassegnati dall'entità stessa o attributi e ruoli assegnati all'entità da altre entitàassegnati all'entità da altre entità (organizzazioni).(organizzazioni). ● Autentica l'identità e rilascia attributi secondoAutentica l'identità e rilascia attributi secondo policy definite dal soggetto epolicy definite dal soggetto e dall'organizzazione.dall'organizzazione.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11 Service Provider (SP)Service Provider (SP) ● L'entità che „consuma” (usa) gli attributi eL'entità che „consuma” (usa) gli attributi e l'autenticazione al fine di fornire o meno unl'autenticazione al fine di fornire o meno un servizio.servizio. ● Spesso il servizio viene personalizzato in baseSpesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12 (WAYF Where Are You from)(WAYF Where Are You from) DS Discovery ServicesDS Discovery Services ● Servono agli utenti per selezionare il proprioServono agli utenti per selezionare il proprio IdP (Home Institution)IdP (Home Institution) all’interno dellaall’interno della Federazione o di più FederazioniFederazione o di più Federazioni ● IDEM è la Federazione della Ricerca eIDEM è la Federazione della Ricerca e dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB) ● eduGAIN è la Federazione della Ricerca eeduGAIN è la Federazione della Ricerca e dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB) ● SPID è la Federazione delle identità pubblicheSPID è la Federazione delle identità pubbliche italiane (WEB)italiane (WEB)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13 https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14 Discovery degli IdP su SPIDDiscovery degli IdP su SPID
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15 ● Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
16 Pagina di login della propria organizzazione sul dominio della propria organizzazione
17 ● Privacy ● ToU (Terms of Use)
18 Informativa e autorizzazione al rilascio degli attributi
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19 Trust per gli utenti:Trust per gli utenti: ConsensoConsenso Stiamo usando informazioni strettamenteStiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue. Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere: ● Volontario (nessuna costrizione)Volontario (nessuna costrizione) ● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo) ● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20 Principi per lo scambio dei datiPrincipi per lo scambio dei dati TrasparenzaTrasparenza Scopo legittimoScopo legittimo ProporzionalitàProporzionalità
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21 FederazioneFederazione a Circle of Trusta Circle of Trust SEOULMAN66 / Alexander (CC) http://www.flickr.com/photos/wookiewookie/122305592/
29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22 Single Sign OnSingle Sign On ● Permette di effettuare il login una sola volta ePermette di effettuare il login una sola volta e avere accesso automatico, senza reinserimentoavere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
23 Multi Factor Authentication ● Qualcosa che uno sa – Password, passphrase, pin ● Qualcosa che uno ha – Chiave, Smartcard, Token OTP, Token card, bluetooth pairing, NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica? ● Qualcosa che uno è – Impronta digitale, retinica, vocale – riconoscimento facciale, auricolare – impronta della mano o del piede, ecc… – Firma o calligrafia – Stile della battitura sulla tastiera
24 Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini stesse. Daniele Albrizio daniele@albrizio.it

Recommended

Introduzione a OpenID
Introduzione a OpenIDIntroduzione a OpenID
Introduzione a OpenID
Claudio Cicali
 
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Team per la Trasformazione Digitale
 
Claudio Cicali - Openid
Claudio Cicali - OpenidClaudio Cicali - Openid
Claudio Cicali - Openid
Better Software
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazione
michelemanzotti
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Elisabetta Parodi
 
I Social Networks
I Social NetworksI Social Networks
I Social Networks
Maria_L
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
Dario Tion
 
.NET Microservices
.NET Microservices.NET Microservices
.NET Microservices
Luca Congiu
 

Recommended

Introduzione a OpenID
Introduzione a OpenIDIntroduzione a OpenID
Introduzione a OpenID
Claudio Cicali
 
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Integrazione e uso di SPID all’interno di un’applicazione web - Valerio Paoli...
Team per la Trasformazione Digitale
 
Claudio Cicali - Openid
Claudio Cicali - OpenidClaudio Cicali - Openid
Claudio Cicali - Openid
Better Software
 
Sistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di AutenticazioneSistema Federato Interregionale di Autenticazione
Sistema Federato Interregionale di Autenticazione
michelemanzotti
 
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Dai dati al valore: come utilizzare i dati per migliorare le strategie di dis...
Elisabetta Parodi
 
I Social Networks
I Social NetworksI Social Networks
I Social Networks
Maria_L
 
[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2[Darnet][[ditedi] over layer 7 firewalling - part 2
[Darnet][[ditedi] over layer 7 firewalling - part 2
Dario Tion
 
.NET Microservices
.NET Microservices.NET Microservices
.NET Microservices
Luca Congiu
 
Single Sign On con IdentityServer
Single Sign On con IdentityServerSingle Sign On con IdentityServer
Single Sign On con IdentityServer
Mauro Servienti
 
Implementare il single sign on con IdentityServer
Implementare il single sign on con IdentityServerImplementare il single sign on con IdentityServer
Implementare il single sign on con IdentityServer
Mauro Servienti
 
HRView per Fater spa
HRView per Fater spaHRView per Fater spa
HRView per Fater spa
Dario Partenope
 
Le potenzialità del PDF
Le potenzialità del PDFLe potenzialità del PDF
Le potenzialità del PDF
Emanuela Corradini
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013
ConsulPartner iSrl
 
Megavideo e Megaupload
Megavideo e MegauploadMegavideo e Megaupload
Megavideo e Megaupload
Economia dell'Innovazione
 
Cloud computing. Daisy Net a SMAU 2011
Cloud computing. Daisy Net a SMAU 2011Cloud computing. Daisy Net a SMAU 2011
Cloud computing. Daisy Net a SMAU 2011
DistrettoIT
 
OpenID in Italia
OpenID in ItaliaOpenID in Italia
OpenID in Italia
Lorenzo Cassulo
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
Davide Carboni
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Luca Moroni ✔✔
 
Penelope
PenelopePenelope
Penelope
Giorgio Fraiegari
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
Luca Moroni ✔✔
 
DS4Biz - Data Science for Business
DS4Biz - Data Science for BusinessDS4Biz - Data Science for Business
DS4Biz - Data Science for Business
MeetupDataScienceRoma
 
Web X Aziende Scettiche Prova
Web X Aziende Scettiche ProvaWeb X Aziende Scettiche Prova
Web X Aziende Scettiche Prova
Gabriella
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
Profesia Srl, Lynx Group
 
Da spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma DigitaleDa spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma Digitale
Giulio Roggero
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpace
DotNetMarche
 
Smau Bari 2011 Daisynet - Giuseppe Visaggio
Smau Bari 2011 Daisynet - Giuseppe VisaggioSmau Bari 2011 Daisynet - Giuseppe Visaggio
Smau Bari 2011 Daisynet - Giuseppe Visaggio
SMAU
 
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e AvanzataIdentità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
Aruba S.p.A.
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
CSI Piemonte
 
Va sui miei siti web
Va sui miei siti webVa sui miei siti web
Va sui miei siti web
Daniele Albrizio
 
Dns e bind
Dns e bindDns e bind
Dns e bind
Daniele Albrizio
 

More Related Content

Similar to Lightning saml

WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
Profesia Srl, Lynx Group
 
Da spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma DigitaleDa spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma Digitale
Giulio Roggero
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpace
DotNetMarche
 

Similar to Lightning saml (20)

Single Sign On con IdentityServer
Single Sign On con IdentityServerSingle Sign On con IdentityServer
Single Sign On con IdentityServer
 
Implementare il single sign on con IdentityServer
Implementare il single sign on con IdentityServerImplementare il single sign on con IdentityServer
Implementare il single sign on con IdentityServer
 
HRView per Fater spa
HRView per Fater spaHRView per Fater spa
HRView per Fater spa
 
Le potenzialità del PDF
Le potenzialità del PDFLe potenzialità del PDF
Le potenzialità del PDF
 
Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013Evento ConsulPartner - Polo PN - 15-11-2013
Evento ConsulPartner - Polo PN - 15-11-2013
 
Megavideo e Megaupload
Megavideo e MegauploadMegavideo e Megaupload
Megavideo e Megaupload
 
Cloud computing. Daisy Net a SMAU 2011
Cloud computing. Daisy Net a SMAU 2011Cloud computing. Daisy Net a SMAU 2011
Cloud computing. Daisy Net a SMAU 2011
 
OpenID in Italia
OpenID in ItaliaOpenID in Italia
OpenID in Italia
 
Internet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trustInternet-of-things, sicurezza, privacy, trust
Internet-of-things, sicurezza, privacy, trust
 
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio CloudScegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
Scegliere i servizi Cloud: il metodo di approccio e il rischio Cloud
 
Penelope
PenelopePenelope
Penelope
 
Sicurezza e rete
Sicurezza e reteSicurezza e rete
Sicurezza e rete
 
DS4Biz - Data Science for Business
DS4Biz - Data Science for BusinessDS4Biz - Data Science for Business
DS4Biz - Data Science for Business
 
Web X Aziende Scettiche Prova
Web X Aziende Scettiche ProvaWeb X Aziende Scettiche Prova
Web X Aziende Scettiche Prova
 
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap WSO2 IAM - Identity Access Management - Introduzione e Roadmap
WSO2 IAM - Identity Access Management - Introduzione e Roadmap
 
Da spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma DigitaleDa spaghetti API a Piattaforma Digitale
Da spaghetti API a Piattaforma Digitale
 
Introduzione a CardSpace
Introduzione a CardSpaceIntroduzione a CardSpace
Introduzione a CardSpace
 
Smau Bari 2011 Daisynet - Giuseppe Visaggio
Smau Bari 2011 Daisynet - Giuseppe VisaggioSmau Bari 2011 Daisynet - Giuseppe Visaggio
Smau Bari 2011 Daisynet - Giuseppe Visaggio
 
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e AvanzataIdentità certa nei processi online, SPID, Firma grafometrica e Avanzata
Identità certa nei processi online, SPID, Firma grafometrica e Avanzata
 
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
Istituzioni, aziende, società: il valore della fiducia digitale - presentazio...
 

More from Daniele Albrizio

Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Daniele Albrizio
 
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
Daniele Albrizio
 

More from Daniele Albrizio (10)

Va sui miei siti web
Va sui miei siti webVa sui miei siti web
Va sui miei siti web
 
Dns e bind
Dns e bindDns e bind
Dns e bind
 
free radius 201106
free radius 201106free radius 201106
free radius 201106
 
Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi Rete di casa e raspberry pi - Home network and Raspberry Pi
Rete di casa e raspberry pi - Home network and Raspberry Pi
 
Un tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comandoUn tesoro nascosto nella linea di comando
Un tesoro nascosto nella linea di comando
 
E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?E va bene, passo a Linux. Da dove inizio?
E va bene, passo a Linux. Da dove inizio?
 
Metasploit3 - David Calligaris
Metasploit3 - David CalligarisMetasploit3 - David Calligaris
Metasploit3 - David Calligaris
 
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
Le esperienze Insiel nell'Open Source - Margherita Forcolin, Sergio Barletta
 
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone MarzonaUn approccio scalabile e robusto per il mail filtering. - Simone Marzona
Un approccio scalabile e robusto per il mail filtering. - Simone Marzona
 
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
La rivincita di Linux: da MS Windows TS ai client Linux embedded e xrdp. - Ro...
 

Lightning saml

  • 1. 1 Autenticazione SAML Alla base del Sistema Pubblico di Identità Digitale SPID Lightning Talk Linuxday 2017 Trieste Daniele Albrizio daniele@albrizio.it
  • 2. 2 Autenticazione WEB ● Applicata ai siti web ● Simile al meccanismo di pagamento con carta di credito online
  • 3. 3 Storia: Backend di autenticazione (diretta) ● Ldap – Transito della password o dell’hash sul frontend – Autenticazione nativa Plaintext, md5, kerberos – MSPPE/NTLMv2 ma con un “superaccount” sul frontend ● Bisogna fidarsi della benevolenza del frontend che non sempre è un angioletto (servizi esternalizzati, siti web in cloud, ecc...)
  • 4. 4 Autenticazione delegata ● SAML Security Assertion Markup Protocol (web) – Redirezione verso un autenticatore della propria organizzazione che restituisce l’esito dell’autenticazione al fornitore di servizi. Come quando si effettua un pagamento con la carta di credito. Le credenziali vengono immesse solo su un sito unico autorevole per l’utente ● Radius tunnel (network) – L’autenticazione e le credenziali arrivano in maniera protetta e privata fino al server dell’organizzazione di appartenenza dell’utente. Al servizio arriva sono un Accept o un Reject
  • 5. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 5 Autenticazione: definizioniAutenticazione: definizioni Identità digitaleIdentità digitale AutenticazioneAutenticazione AutorizzazioneAutorizzazione
  • 6. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 6 Identità digitaleIdentità digitale ● Per essere sicuri chePer essere sicuri che un uomo o unaun uomo o una macchinamacchina in rete siano chiin rete siano chi dicono didicono di essere, abbiamoessere, abbiamo bisognobisogno di sistemi (entitàdi sistemi (entità fidate) che nefidate) che ne autentichino l'identitàautentichino l'identità (The New Yorker, Vol. 69 (LXIX) no. 20, page 61, July 5, 1993, by Peter Steiner)
  • 7. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 7 Policy based Access ControlPolicy based Access Control – PEPPEP oo PolicyPolicy EnforcementEnforcement PointPoint che chiedeche chiede all'utente di identificarsi, passa le richiesta al PDP eall'utente di identificarsi, passa le richiesta al PDP e fornisce il servizio o meno a seconda di quantofornisce il servizio o meno a seconda di quanto risposto dal PDP.risposto dal PDP. PDP (Radius, Shibboleth IdP, middleware) Provisioning Run-time query User Client Sql DB Directory (AD, LDAP) PEP (access point, application server, switch, Shibboleth SP) OK
  • 8. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 8 Federazione di IdMFederazione di IdM Per noi vuol dire:Per noi vuol dire: ● „„Unione” dei sistemi di gestione dell'identità inUnione” dei sistemi di gestione dell'identità in modo da poter riconoscere anche gentemodo da poter riconoscere anche gente (identità) di altre Organizzazioni e conoscere i(identità) di altre Organizzazioni e conoscere i loroloro attributiattributi trasmessi contrasmessi con convenzioniconvenzioni semantichesemantiche..
  • 9. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 9 Autenticazione FederataAutenticazione Federata Si basa su tre attori principali:Si basa su tre attori principali: ● Identity Provider (IdP)Identity Provider (IdP) operato dalla home institution (Università, IdPoperato dalla home institution (Università, IdP SPID)SPID) ● Service Provider (SP)Service Provider (SP) operato dal fornitore di servizioperato dal fornitore di servizi
  • 10. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 10 Identity Provider (IdP)Identity Provider (IdP) ● L'IdP mantiene una lista di attriuti collegati adL'IdP mantiene una lista di attriuti collegati ad ID univoci. Gli attributi possono essere auto-ID univoci. Gli attributi possono essere auto- assegnati dall'entità stessa o attributi e ruoliassegnati dall'entità stessa o attributi e ruoli assegnati all'entità da altre entitàassegnati all'entità da altre entità (organizzazioni).(organizzazioni). ● Autentica l'identità e rilascia attributi secondoAutentica l'identità e rilascia attributi secondo policy definite dal soggetto epolicy definite dal soggetto e dall'organizzazione.dall'organizzazione.
  • 11. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 11 Service Provider (SP)Service Provider (SP) ● L'entità che „consuma” (usa) gli attributi eL'entità che „consuma” (usa) gli attributi e l'autenticazione al fine di fornire o meno unl'autenticazione al fine di fornire o meno un servizio.servizio. ● Spesso il servizio viene personalizzato in baseSpesso il servizio viene personalizzato in base al valore degli attributi.al valore degli attributi.
  • 12. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 12 (WAYF Where Are You from)(WAYF Where Are You from) DS Discovery ServicesDS Discovery Services ● Servono agli utenti per selezionare il proprioServono agli utenti per selezionare il proprio IdP (Home Institution)IdP (Home Institution) all’interno dellaall’interno della Federazione o di più FederazioniFederazione o di più Federazioni ● IDEM è la Federazione della Ricerca eIDEM è la Federazione della Ricerca e dell’Istruzione Italiana (WEB)dell’Istruzione Italiana (WEB) ● eduGAIN è la Federazione della Ricerca eeduGAIN è la Federazione della Ricerca e dell’Istruzione mondiale (WEB)dell’Istruzione mondiale (WEB) ● SPID è la Federazione delle identità pubblicheSPID è la Federazione delle identità pubbliche italiane (WEB)italiane (WEB)
  • 13. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 13 https://wayf.idem.garr.it/WAYF/https://wayf.idem.garr.it/WAYF/
  • 14. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 14 Discovery degli IdP su SPIDDiscovery degli IdP su SPID
  • 15. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 15 ● Introducing the zoo of paper beasts - David Simonsen (WAYF)Introducing the zoo of paper beasts - David Simonsen (WAYF)
  • 16. 16 Pagina di login della propria organizzazione sul dominio della propria organizzazione
  • 17. 17 ● Privacy ● ToU (Terms of Use)
  • 18. 18 Informativa e autorizzazione al rilascio degli attributi
  • 19. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 19 Trust per gli utenti:Trust per gli utenti: ConsensoConsenso Stiamo usando informazioni strettamenteStiamo usando informazioni strettamente collegate all'utente, che lui considera sue.collegate all'utente, che lui considera sue. Il consenso dell'utente DEVE essere:Il consenso dell'utente DEVE essere: ● Volontario (nessuna costrizione)Volontario (nessuna costrizione) ● Specifico (per ogni singolo scopo)Specifico (per ogni singolo scopo) ● Informato (le domande devono essere capibili)Informato (le domande devono essere capibili)
  • 20. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 20 Principi per lo scambio dei datiPrincipi per lo scambio dei dati TrasparenzaTrasparenza Scopo legittimoScopo legittimo ProporzionalitàProporzionalità
  • 21. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 21 FederazioneFederazione a Circle of Trusta Circle of Trust SEOULMAN66 / Alexander (CC) http://www.flickr.com/photos/wookiewookie/122305592/
  • 22. 29 Maggio 2009 Daniele Albrizio - albrizio@units.it 22 Single Sign OnSingle Sign On ● Permette di effettuare il login una sola volta ePermette di effettuare il login una sola volta e avere accesso automatico, senza reinserimentoavere accesso automatico, senza reinserimento delle credenziali, su tutti i siti collegati.delle credenziali, su tutti i siti collegati.
  • 23. 23 Multi Factor Authentication ● Qualcosa che uno sa – Password, passphrase, pin ● Qualcosa che uno ha – Chiave, Smartcard, Token OTP, Token card, bluetooth pairing, NFC tag, tessera magnetica, sms su cellulare?, tessera magnetica? ● Qualcosa che uno è – Impronta digitale, retinica, vocale – riconoscimento facciale, auricolare – impronta della mano o del piede, ecc… – Firma o calligrafia – Stile della battitura sulla tastiera
  • 24. 24 Quest'opera è stata rilasciata con licenza Creative Commons Attribuzione - Non commerciale - Condividi allo stesso modo 3.0 Italia. Per leggere una copia della licenza visita il sito web http://creativecommons.org/licenses/by-nc-sa/3.0/it/ o spedisci una lettera a Creative Commons, PO Box 1866, Mountain View, CA 94042, USA. Alcune immagini hanno licenze d’uso differenti e sono indicate sulle immagini stesse. Daniele Albrizio daniele@albrizio.it