Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.
FEDERATE IDENTITY AND ACCESS MANAGEMENT<br />Laureando: 	Dott. Michele Manzotti<br />Relatore :	Dott. Fausto Marcantoni<br...
Agenda<br />Identity Access Management<br />Concetto di Identità<br />Identity Access Management Federato<br />Concetto di...
Identity e Access Management<br />Che cos’è l’AIM ?<br />“Insieme di processi di business (persone e procedure) e delle te...
Confidenzialità
Autorizzazione
Integrità dei dati
Prova della fonte
Non ripudio
Userprofiling
Formato e interoperabilità
Single Sign On
Servizi di directory</li></ul>17 Giugno 2010<br />Michele Manzotti<br />3<br />
Identity e Access Management<br />Identità e Attributi<br />17 Giugno 2010<br />Michele Manzotti<br />4<br />
Identity e Access Management<br />Accessi e Risorse<br />17 Giugno 2010<br />Michele Manzotti<br />5<br />
Identity e Access Management<br />In letteratura…<br />In passato<br />OECD – Organisation for Economic Co-Operation and D...
Identity e Access Management<br />Organizzazione…<br />La gestione degli accessi è autonoma per ogni servizio offerto;<br ...
Identity e Access Management<br />Piano di progetto<br />Le tempistiche con le quali s’intendere procedere. <br />Le compo...
Identity e Access Management<br />Identity e Access Management Federato<br />17 Giugno 2010<br />Michele Manzotti<br />9<b...
Identity e Access Management Federato<br />Identity e Access Management Federato<br />Che cos’è la Federazione?<br />E’ un...
Identity e Access Management Federato<br />Identity e Access Management Federato<br />La gestione delle identità e degli a...
Identity e Access Management Federato<br />Single Sign On<br />17 Giugno 2010<br />Michele Manzotti<br />12<br />
Identity e Access Management Federato<br />Compiti della federazione<br />Definire le finalità e valutare la propria capac...
Identity e Access Management Federato<br />Vantaggi (1/2)<br />Possibilità di utilizzare sempre le stesse credenziali dell...
Identity e Access Management Federato<br />Vantaggi (2/2)<br />Minore carico amministrativo per la gestione delle identità...
Identity e Access Management Federato<br />Cenni storici e Stato dell’Arte<br />Prime ricerche: Burton Group e OASIS Advan...
Identity e Access Management Federato<br />IDEM per le Università<br />Identity Management federato gestito dal GARR<br />...
Predisposizione di accordi e possibili in contesti nazionali ed europeei
Miglioramento in termini di efficienza nella fruizione di servizi</li></ul>Possono aderire oltre alle Università e centri ...
Identity e Access Management Federato<br />ICAR per le Regioni<br />ICAR nasce nel 2004 su iniziativa di 17 regioni con il...
INF-2 per la gestione di accordi di servizio
Upcoming SlideShare
Loading in …5
×

Federate Identity and Access Management

2,011 views

Published on

  • Be the first to comment

  • Be the first to like this

Federate Identity and Access Management

  1. 1. FEDERATE IDENTITY AND ACCESS MANAGEMENT<br />Laureando: Dott. Michele Manzotti<br />Relatore : Dott. Fausto Marcantoni<br />Correlatrice: Dott.sa Barbara Re<br />17 Giugno 2010 <br />
  2. 2. Agenda<br />Identity Access Management<br />Concetto di Identità<br />Identity Access Management Federato<br />Concetto di Federazione<br />Concetto di Identità Federata<br />Vantaggi dell’Identity e Access Management Federato <br />ICAR e IDEM<br />Infrastruttura di Test<br />Tecnologie adoperate<br />Conclusioni e sviluppi futuri<br />17 Giugno 2010<br />Michele Manzotti<br />2<br />
  3. 3. Identity e Access Management<br />Che cos’è l’AIM ?<br />“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”<br />Principalitemiaffrontati : <br /><ul><li>Autenticazione
  4. 4. Confidenzialità
  5. 5. Autorizzazione
  6. 6. Integrità dei dati
  7. 7. Prova della fonte
  8. 8. Non ripudio
  9. 9. Userprofiling
  10. 10. Formato e interoperabilità
  11. 11. Single Sign On
  12. 12. Servizi di directory</li></ul>17 Giugno 2010<br />Michele Manzotti<br />3<br />
  13. 13. Identity e Access Management<br />Identità e Attributi<br />17 Giugno 2010<br />Michele Manzotti<br />4<br />
  14. 14. Identity e Access Management<br />Accessi e Risorse<br />17 Giugno 2010<br />Michele Manzotti<br />5<br />
  15. 15. Identity e Access Management<br />In letteratura…<br />In passato<br />OECD – Organisation for Economic Co-Operation and Development<br />NIST – National Institute of Standards and Technology<br />Attualmente<br />FP7 – Seventh Research Framework Programme della Commissione Europea<br />PICOS, SWIFT, FIDIS, GUIDE, PRIME<br />17 Giugno 2010<br />Michele Manzotti<br />6<br />
  16. 16. Identity e Access Management<br />Organizzazione…<br />La gestione degli accessi è autonoma per ogni servizio offerto;<br />La gestione degli accessi è centralizzata.<br />?<br />17 Giugno 2010<br />Michele Manzotti<br />7<br />
  17. 17. Identity e Access Management<br />Piano di progetto<br />Le tempistiche con le quali s’intendere procedere. <br />Le componenti tecnologiche utilizzate. <br />Le figure responsabili. <br />Il periodo di transizione. <br />Il documento di progetto. <br />17 Giugno 2010<br />Michele Manzotti<br />8<br />
  18. 18. Identity e Access Management<br />Identity e Access Management Federato<br />17 Giugno 2010<br />Michele Manzotti<br />9<br />
  19. 19. Identity e Access Management Federato<br />Identity e Access Management Federato<br />Che cos’è la Federazione?<br />E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.<br />17 Giugno 2010<br />Michele Manzotti<br />10<br />
  20. 20. Identity e Access Management Federato<br />Identity e Access Management Federato<br />La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni. <br />Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.<br />17 Giugno 2010<br />Michele Manzotti<br />11<br />
  21. 21. Identity e Access Management Federato<br />Single Sign On<br />17 Giugno 2010<br />Michele Manzotti<br />12<br />
  22. 22. Identity e Access Management Federato<br />Compiti della federazione<br />Definire le finalità e valutare la propria capacità di gestione dell’identità<br />Sviluppare dei sistemi di directory<br />Scegliere un adeguato sistema di autenticazione<br />Implementare il sistema di gestione dell’identità,<br />Definire le regole che la caratterizzano<br />Documentazione su come aderire alla federazione<br />Predisporre corsi di formazione<br />17 Giugno 2010<br />Michele Manzotti<br />13<br />
  23. 23. Identity e Access Management Federato<br />Vantaggi (1/2)<br />Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)<br />Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza<br />Facilità di gestione della consistenza dei dati<br />17 Giugno 2010<br />Michele Manzotti<br />14<br />
  24. 24. Identity e Access Management Federato<br />Vantaggi (2/2)<br />Minore carico amministrativo per la gestione delle identità e delle credenziali<br />Maggiore controllo sui sistemi di autenticazione e autorizzazione<br />Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza<br />17 Giugno 2010<br />Michele Manzotti<br />15<br />
  25. 25. Identity e Access Management Federato<br />Cenni storici e Stato dell’Arte<br />Prime ricerche: Burton Group e OASIS Advancing Open Standards for Information Society<br />Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust<br />Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0<br />17 Giugno 2010<br />Michele Manzotti<br />16<br />
  26. 26. Identity e Access Management Federato<br />IDEM per le Università<br />Identity Management federato gestito dal GARR<br />Obiettivi:<br /><ul><li>Rafforzamento dei sistemi di autenticazione e autorizzazione
  27. 27. Predisposizione di accordi e possibili in contesti nazionali ed europeei
  28. 28. Miglioramento in termini di efficienza nella fruizione di servizi</li></ul>Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate<br />Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione<br />17 Giugno 2010<br />Michele Manzotti<br />17<br />
  29. 29. Identity e Access Management Federato<br />ICAR per le Regioni<br />ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS<br />Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale<br />Si divide in:<br /><ul><li>INF-1 implementazione di servizi infrastrutturali per la cooperazione applicativa
  30. 30. INF-2 per la gestione di accordi di servizio
  31. 31. INF-3 sistema federato di autenticazione</li></ul> In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.<br />17 Giugno 2010<br />Michele Manzotti<br />18<br />
  32. 32. Identity e Access Management Federato<br />Principali Elementi della Federazione<br />Identity Provider<br /><ul><li>Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive</li></ul>Service Provider<br /><ul><li>Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla</li></ul>Certification Autority<br /><ul><li>Ente predisposto a convalidare i certificati</li></ul>User Agent<br /><ul><li>Applicazione mediante la quale il richiedente innesca i protocolli di SSO</li></ul>WAYF – Where are you from?<br />17 Giugno 2010<br />Michele Manzotti<br />19<br />
  33. 33. Identity e Access Management Federato<br />Architettura<br />17 Giugno 2010<br />Michele Manzotti<br />20<br />
  34. 34. Identity e Access Management Federato<br />Standard sul formato e scambio credenziali <br />X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.<br />SAML: Standard basato su XML per la creazione di tokens di sicurezza.<br />17 Giugno 2010<br />Michele Manzotti<br />21<br />
  35. 35. Identity e Access Management Federato<br />Realizzazione dell’infrastruttura<br />Sistema Operativo: Windows o Linux<br />Server Web: Apache o IIS<br />Web Container: Tomcat<br />Protocollo: SAML<br />Directory: OpenLDAP, LDAP<br />Applicativo: Shibboleth, PAPI, SimpleSAMLphp<br />17 Giugno 2010<br />Michele Manzotti<br />22<br />
  36. 36. Identity e Access Management Federato<br />Shibboleth<br />Progetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2<br />Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.<br />Pacchetti per l’installazione:<br />Identity Provider<br />Service Provider<br />Discovery Service<br />17 Giugno 2010<br />Michele Manzotti<br />23<br />
  37. 37. Identity e Access Management Federato<br />Identity Provider - Shibboleth<br />Pacchetti:<br />Debian 5.03 (non-free)<br />Tomcat5.5<br />Apache2.2<br />Openssl<br />Sun-java6-jdk<br />Slapd<br />File di configurazione:<br /><ul><li>Relying-party.xml
  38. 38. Attribute-resolver.xml
  39. 39. Attribute-filter.xml
  40. 40. Handler.xml
  41. 41. Login.config
  42. 42. Logging.xml</li></ul>17 Giugno 2010<br />Michele Manzotti<br />24<br />
  43. 43. Identity e Access Management Federato<br />Service Provider - Shibboleth<br />Pacchetti<br />Apache2.2<br />Ntp<br />Libapache2_mod_shib2<br />File di configurazione<br /><ul><li>Shibboleth2.xml
  44. 44. .htaccess
  45. 45. Lazysession
  46. 46. Strictsession
  47. 47. shibd -t /etc/shibboleth/shibboleth2.xml
  48. 48. http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session</li></ul>17 Giugno 2010<br />Michele Manzotti<br />25<br />
  49. 49. Identity e Access Management Federato<br />Metadata - Shibboleth<br />Identity Provider<br />shibboleth-idp/metadata/idp-metadata.xml<br />Service Provider<br />http://SP/Shibboleth.sso/Metadata<br />Metadata condiviso<br />17 Giugno 2010<br />Michele Manzotti<br />26<br />
  50. 50. Identity e Access Management Federato<br />Architettura dell’infrastruttura<br />Accesso alla risorsa<br />Shibboleth lato SP protegge l’accesso<br />SP interroga i metadati condivisi e reindirizza l’utente all’IdP<br />L’utente inserisce le credenziali e l’IdP controlla il database<br />Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa<br />17 Giugno 2010<br />Michele Manzotti<br />27<br />
  51. 51. Identity e Access Management Federato<br />Integrazione<br />SimpleSAMLphp<br />Google<br />Estensioni sui CMS<br />Joomla<br />Drupal<br />Moodle<br />Wordpress<br />Tutorial<br />17 Giugno 2010<br />Michele Manzotti<br />28<br />
  52. 52. Identity e Access Management Federato<br />Conclusioni e sviluppi e futuri<br />Autenticazione con Smart card<br />Autenticazione per le reti Wireless<br />Possibile utilizzo con i servizi di esse3 (caso Unipd)<br />Minimo skill di base<br />Configurazioni non sono così banali<br />Lavoro interessante e stimolante<br />17 Giugno 2010<br />Michele Manzotti<br />29<br />
  53. 53. Identity e Access Management Federato<br />Grazie per l’attenzione<br />I docenti<br />Dott. Fausto Marcantoni<br />Ing. Alberto Polzonetti<br />Dott.ssa Barbara Re<br />Il gruppo e-lios<br />I camerti<br />Gli osimani<br />La mia famiglia e la mia ragazza<br />17 Giugno 2010<br />Michele Manzotti<br />30<br />

×