Sistema Federato Interregionale di Autenticazione

PROGETTO ICARTask inf-3Sitema Federato interregionale di AutenticazioneMichele ManzottiFausto MarcantoniBarbara Re Università di Camerino

2Chi siamoProf. Fausto Marcantonifausto.marcantoni@unicam.itCorso: Reti di Elaboratori/Lab. Reti di Elaboratori – Laurea Informatica 3° AnnoIstruttore CCNA – CISCOCertificazione OPST (OSSTMM PROFESSIONAL SECURITY TESTER)OSSTMM - Open Source Security Testing Methodology Manual Dott. Michele Manzottimichele.manzotti@studenti-unicam.itCertificato CCNA – CCNA – Security CISCOCertificazione OPST (OSSTMM PROFESSIONAL SECURITY TESTER)OSSTMM - Open Source Security Testing Methodology Manual

3Agenda – Prima parteIdentità digitale ed identità digitale federataConcetto di riconoscimento dell’identità di un soggettoConcetto di autorizzazione dell’utenteConcetto di condivisione dell’identità digitaleConcetto di profilo e qualifiche Differenti profili di federazioneDominio fruitore, erogatore, certificatore, profilazione (IDP – SP)Tecnologie abilitanti e standard di riferimento secondo il modello ICARModello di coopearzione: relazioni ed interazioni intra e inter-dominioCasi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizioArchitettura ICARSviluppi futuri

4Agenda – Seconda parteScenari Applicativi in fase di testInstallazione di un IdPInstallazione di un SpInstallare l’infrastruttura ICARIntegrazione dei sistemiIntegrazione IdP e SpIntegrazione con l’infrastruttura ICARSviluppi FuturiAutenticazione tramite SmartCardAutenticazione tramite Google

5Identità digitale ed identità digitale federataConcetto di riconoscimento dell’identità di un soggettoConcetto di autorizzazione dell’utenteConcetto di condivisione dell’identità digitaleConcetto di profilo e qualifiche Identità digitale ed identità federata

7Identità DigitaleL'identità digitale è l'insieme delle informazioni e delle risorse concesse da un sistema informatico ad un particolare utilizzatore del suddetto. (Wikipedia).L'identità digitale può essere definita come l’esclusiva percezione della propria vita, che però è sempre collegata ad un corpo mediante il quale la persona si relaziona con la società.Per identità digitale si intende un insieme di informazioni che consentono di distinguere una entità da un'altra in modo univoco: in una identità digitale, questo insieme di informazioni è espresso in forma. Identità digitale ed identità federata

8Caratteristiche dell’identitàLa rappresentazione dell’identità digitale deve essere tanto più completa quanto è complessa la transazione in cui è coinvolta. Infatti il grado di affidabilità e le quantità di informazioni richiesti possono variare in modo molto significativo a seconda del tipo di transazione.Un’identità digitale è articolata in due parti:Chi uno è (identità)Le credenziali che ognuno possiede (gli attributi di tale identità)Identità digitale ed identità federata

9Caratteristiche dell’identitàLe credenziali possono essere numericamente e qualitativamente molto variegate e hanno differenti utilizzi. L’identità digitale completa è abbastanza complessa e ha implicazioni sia legali che tecniche. Comunque, l’identità digitale più semplice consiste in un ID (o username) e una parola di identificazione segreta(o password). In questo caso lo username è l’identità, mentre la password è chiamata credenziale di autenticazione. Ma l’ identità digitale può essere complessa come una vera e propria identità umana.Identità digitale ed identità federata

10Identity ManagementSi intende un insieme di processi (decisionali, organizzativi, procedurali, informatizzati) e una infrastruttura di supporto (per memorizzare/conservare, trasmettere, proteggere) che permette di:CREAREGESTIRE/MODIFICAREUSAREELIMINAREle identità digitali parziali rispettando la legge (cioè i diritti delle persone, in particolare il diritto alla privacy e il diritto all’onore). Identità digitale ed identità federata

11Caratteristiche dell’Identity ManagementAutenticazione: non solo tramite l’uso di username e password, ma attraverso l’uso di certificati Confidenzialità: capacità del sistema di impedire che una terza parte intercetti e sfrutti dati che si stanno ricevendo o trasmettendo Autorizzazione: restringere l’accesso ad informazioni private o consentire l’accesso a servizi specificiIntegrità dei dati: per essere sicuri che nessuno intercetti i dati che si stanno scambiando, può essere importante sapere che nessuno li abbia alterati durante la trasmissioneProva della fonte: è possibile effettuare specifiche transazioni in cui i dati inviati con la firma digitale sono codificati in modo da dimostrare che i dati sono effettivamente stati inviatiNon repudio: fornire la prova incontestabile di una avvenuta spedizione o di una avvenuta ricezione di dati in reteIdentità digitale ed identità federata

12Identità digitale parzialeIdentità digitale ed identità federata

13Identità digitale parzialeInsieme di proprietà (attributi) di una persona che sono tecnicamente, immediatamente e operativamente accessibili relativi ad un contestoInsieme di dati dati personali che possono essere memorizzati e collegati tramite applicazioni informaticheIn ogni contesto esistono attributi necessari ed altri non necessariIdentità digitale ed identità federata

14Identità digitale parzialeIn certi contesti la persona vuole rimanere anonima, in altri contesti preferisce presentarsi con uno pseudonimo, in altri casi è necessario rivelare l’identità realeE’necessario poter collegare tra loro le identità digitali parziali relative ad una stessa personaProblematiche non banali da gestireIdentità digitale ed identità federata

15Trattamento dei dati personaliIn Italia il trattamento dei dati personali, quindi anche delle identità digitali parziali, è regolato dal Decreto legislativo 30 giugno 2003, n. 196 -Codice in materia di protezione dei dati personali (Testo unico privacy)I sistemi di Identity Management devono essere progettati in modo da rispettare la legge, in particolare proteggendo i dati (Art.1)Principio di necessità nel trattamento dei dati: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. (Art. 3)Identità digitale ed identità federata

16Le 7 leggi dell’identitàControllo da parte dell’utente e consensoRivelazione minima e per uso prestabilitoL’utente comprende la ragionevolezza del trasferimentoL’utente può usare uno pseudonimoFonte: Low of IdentityIdentità digitale ed identità federata

17Le 7 leggi dell’identitàIl sistema deve essere pluralista rispetto ad operatori e tecnologiAzione umana integrata nel sistemaSemplicità e usabilità delle molte identità digitali parzialiFonte: Low of IdentityIdentità digitale ed identità federata

18Indicazioni EuropeeFonte: Luigi ReggiIdentità digitale ed identità federata

19Identità digitale federataLa Federazione è un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autorizzazione e autenticazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.La gestione dell’identità può essere sempre meno vista come un problema solo interno alle singole organizzazioni: le persone infatti, mentre effettuano transazioni, “si spostano” sempre più attraverso i confini di diversi ambiti di responsabilità corrispondenti ad altrettante organizzazioni.Identità digitale ed identità federata

20Identità digitale federataIl paradigma di identità digitale federata nasce come risposta all’esigenza che le organizzazioni hanno di cooperare condividendo dati, partendo dal presupposto che il traguardo di una identità digitale “unica”, trasversale ai vari domini, è poco realistico. Identità digitale ed identità federata

21Vantaggi dell’identità digitale federataEliminazione del problema di discordanze relativo alla gestione delle identità in sistemi disgiuntiRidotto il numero di credenziali da conoscereRidotto il carico dovuto alla disattivazione dei client che non hanno più dirittoL'organizzazione può modificare più velocemente i diritti di accesso basandosi sui ruoliIdentità digitale ed identità federata

22Vantaggi dell’identità digitale federataCapacità di gestire rapidi cambiamenties. utenti per uno o pochi giornies. attivazione di molti nuovi servizi anche federati o in cloudGovernance più efficace perché è finalmente possibile applicare le policy (non solo enunciarle)Aiuta a rispettare le leggi es. diritti privacySoddisfazione dell’utenza grazie all’accesso facile e sicuro a numerose risorseIdentità digitale ed identità federata

23SvantaggiNecessario un ente per la gestione delle policy della federazioneLimitato alle risorse webPossibile difficoltà d’integrazione con web application specificheIdentità digitale ed identità federata

26Access ManagementPermettere alle organizzazioni di:Dare ai propri utenti l’accesso alle risorse migliorando la loro padronanza e usabilità (user experience) Controllare l’accesso degli utenti alle risorse e alle applicazioni on-lineCon le seguenti condizioni:Proteggere i dati personali dell’utilizzo non autorizzatoProteggere le informazioni riservate dall’accesso da parte di utenti non autorizzatiIdentità digitale ed identità federata

27Access ManagementSi esplicita in un complesso di applicazioni e sistemi che vengono utilizzati per gestire l’autenticazione degli utenti, l’accesso (o la restrizione dell’accesso) alle risorse, i profili, le password, e altri attributi che aiutano a definire ruoli e profili degli utenti.Identità digitale ed identità federata

28Access ManagementIdentità digitale ed identità federata

29Access ManagementAll’interno della propria organizzazione:Ognuno segue una propria logica di gestione degli accessiDiversi database con svariate tipologie di autenticazioneSpecifici ruoliPersonalizzazione del concetto di identità digitaleTuttavia ogni organizzazioneNecessità di interoperare con le altreUn soggetto può far parte di diverse organizzazioniSistemi di autenticazioni differentiAccesso alla risorse in modo sicuroIdentità digitale ed identità federata

30Access ManagementIdentità digitale ed identità federata

33La federazione nella PAL’identità digitale federata nasce come esigenza che i vari enti della pubblica amministrazione hanno di cooperare condividendo datiFederare due o più sistemi di identity management significa fare si che i rispettivi linguaggi non siano più stranieri l’uno all’altro attraverso l’utilizzo di un insieme comune di regole e di grammatiche che le rendono interoperabiliL’effettiva utilità giunge quando si può riporre fiducia nell’identità digitale a prescindere da chi la emetteIdentità digitale ed identità federata

34La federazione nella PADall’interoperabilità si arriva all’utilità se c’è anche un modello tecnico-organizzativo che supporti la fiducia tra le partiL’utilizzo della federazione permette l’eliminazione degli utenti duplicati e l’utilizzo di servizi protetti anche da differenti organizzazioniL’obiettivo è assicurare la trasparenza del livello applicativo dei servizi offerti dai singoli domini rispetto alle specifiche modalità di interazione utilizzate all’interno delle singole comunitàogni soggetto viene riconosciuto da diverse entitàIdentità digitale ed identità federata

37Profilo UtenteRappresenta una entità all’interno di una singola organizzazioneComposto da un insieme di attributi che ne descrivono le caratteristicheIn base agli attributi vengono permesse determinate azioniLimitazione degli accessiIn ottica di federazione il profilo dell’utente viene costruito sulla base delle organizzazioni alle quali appartieneIdentità digitale ed identità federata

38Differenti profili di federazioneDominio fruitore, erogatore certificatore, profilazioneIdentità digitale ed identità federata

39Differenti profili di federazioneDominio fruitore, erogatore certificatore, profilazioneIdentità digitale ed identità federata

40Progetto ICARIl progetto ICAR ha avuto il merito di vedere nell’identità federata il presupposto per accrescere l’impatto dei servizi e-Government.Il task INF-3 ha il compito di attuare questo presupposto attivando la federazione dell’identità digitale tra le regioni.Identità digitale ed identità federata

41Definizione del modello logico di riferimentoLo scenario di riferimento di un Sistema Federato di Cooperazione è quello tipico di una rete regionale, ovvero una comunità a cui afferiscono uno o più domini in grado di offrire differenti tipologie di servizi ai proprio utenti, e che possono dialogare con altri domini anche se appartenenti ad altre reti regionali.Il modello proposto si basa sulla federazione tra community network che comunicano tra loro attraverso la rete Internet.Identità digitale ed identità federata

42Definizione del modello logico di riferimentoIn un contesto di questo tipo, i servizi definiti da ciascun dominio facente capo a una specifica comunità possono essere resi disponibili agli altri domini della comunità, così come ai domini appartenenti a comunità diverse, attraverso una interfaccia di dominio.L’interfaccia di dominio costituisce concettualmente il punto di ingresso per l’accesso alle risorse applicative offerte dal dominio.Identità digitale ed identità federata

43Definizione del modello logico di riferimentoL’interfaccia di dominio è costituita da:Il portale gestisce l’interazione tra tali servizi e gli utenti umaniIl portale rappresenta il punto di accesso utilizzato dalle applicazioni software che vogliono accedere ai servizi esposti dall’amministrazione. Inoltre accordi di trust rappresentano gli strumenti in grado di rendere valide queste autenticazioni verso le altre amministrazioniIdentità digitale ed identità federata

44Domini ed Entità InteragentiIl modello per la gestione federata delle entità si compone di due concetti principaliIdentità digitale ed identità federata

45DominiNei modelli architetturali che caratterizzano l’organizzazione dei sistemi informativi della Pubblica Amministrazione è stato da tempo introdotto, ed è comunemente adottato, il concetto di dominio informaticoIl dominio rappresenta il sistema informativo di una amministrazione in senso lato ed in particolare definisce il perimetro di sicurezza informatica di responsabilità di una amministrazioneIdentità digitale ed identità federata

46Elenco dei dominiDi seguito verranno descritti quattro tipi di dominio distinti:Dominio di profilazioneDominio fruitoreDominio erogatoreDominio certificatoreIdentità digitale ed identità federata

47Dominio di ProfilazioneUn dominio viene detto di profilazione per un dato utente quando in esso è stata eseguita la procedura di riconoscimento iniziale, durante la quale a quell’utente sono state richieste alcune informazioni che da quel momento in poi sono state memorizzate in una struttura dati chiamata “profilo utente”. Tale struttura viene gestita da una entità detta Profile Authority.Identità digitale ed identità federata

48Dominio FruitoreUn dominio si dice fruitore relativamente ad un’interazione di accesso ad un servizio, quando in essa ha origine la richiesta di tale servizioIn questo specifico contesto, il dominio fruitore viene a coincidere di fatto con lo stesso utente richiedente come un comune browser webIdentità digitale ed identità federata

49Dominio ErogatoreUn dominio viene detto erogatore relativamente ad un’interazione di accesso ad un servizio, quando in esso è presente il fornitore del servizio richiestoIn tale dominio, potranno essere presenti ulteriori entità, come quella incaricata di verificare che il richiedente possieda tutti i requisiti necessari per l’accesso al servizio indicato, eventualmente ottenendoli da terze parti fidateIdentità digitale ed identità federata

50Dominio CertificatoreUn dominio viene detto certificatore relativamente ad un’interazione di accesso ad un servizio, quando in esso sono presenti uno o più soggetti certificatori, detti anche authority, in grado di asserire la validità di uno o più attributi contenenti nel profilo gestito della Profile Autority del dominio di profilazione dell’utente.Per questo motivo il profilo, oltre a contenere i dati veri e propri relativi all’utente, dovrebbe memorizzare dei riferimenti a tutte le authority coinvolte, che fanno capo ad uno o più domini certificatori.Identità digitale ed identità federata

51Dominio CertificatoreAll’interno del dominio certificatore operano un certo numero di entità che espongono servizi atti a certificare alcune informazioni contenute nel profilo degli utentiTali entità sono chiamate authority e hanno la caratteristica di godere della fiducia di altre entità presenti nei vari domini coinvoltiQuesto significa che le “descrizioni” prodotte da un’authority, relativamente alla validità o invalidità delle informazioni nei profili utente sono considerate vere per definizione, da parte di coloro che si fidano di tale authoritySi possono distinguere almeno tre tipologie di authorityCertification AuthorityAttribute AutorityProfile AuthorityIdentità digitale ed identità federata

52Certification AuthoritySono le authority abilitate a certificare l’identità di un utente nel processo di autenticazioneUn utente viene dotato di un certo numero di credenziali, da parte di ciascuna certification authority a cui fa capo. In questo modo, diverse certification authority possono certificare diversi tipi di credenziali, come ad esempio credenziali costituite da un nome utente e password, oppure da codice fiscale e PINUn utente potrebbe avere un profilo contenente credenziali certificate da più di una certification authorityIdentità digitale ed identità federata

53Profile Authority (PA)Sono le entità incaricate della gestione dell’archivio dei profili utente presenti nei domini di profilazione. Ad esse è demandato il compito di rispondere alle richieste di attributo formulate dal dominio erogatore, per la verifica dell’identità e/o del livello di autorizzazioneLa Profile Authority, fa parte del dominio di profilazione dell’utente di cui gestisce il profilo e può essere interrogata remotamente da parte di domini diversi, come il dominio erogatoreIdentità digitale ed identità federata

54Attribute Authority (AA)Sono le authority abilitate a certificare alcuni degli attributi nel profilo di un utente ed utilizzati nel processo di autorizzazioneUn utente in generale è dotato di un certo numero di attributi che, insieme alle credenziali, concorrono a formare il suo profiloAd esempio, residenza, professione, titolo di studio, iscrizione ad un albo e sono in generale certificate da authority presenti in domini diversiIdentità digitale ed identità federata

55Attribute Authority (AA)Una Attribute Authority è in grado di fornire certificazioni di attributo relative ai subject conosciutitutti gli attributi conosciuti di un determinato subjectcertificazione del valore (o dei valori) di uno o più attributi relativi ad uno specifico subjectIn generale, le Attribute Authorities (AA) non si comportano come Identity Provider e non sono in grado di certificare l’identità di un utente/subjectUna AA non è in grado di fornire token di autenticazione agli altri componenti della federazioneIdentità digitale ed identità federata

56ShibbolethProgetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.Pacchetti per l’installazione:Identity ProviderService ProviderDiscovery ServiceIdentità digitale ed identità federata

57ArchitetturaIdentità digitale ed identità federata

58Single Sign OnIdentità digitale ed identità federata

59Standard sul formato e scambio di credenzialiX.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.SAML: Standard basato su XML per la creazione di tokens di sicurezza.Identità digitale ed identità federata

60Identity ProviderUn Identity Provider è un’entità della federazione ICAR/SHIBBOLETH in grado di fornire asserzioni sull’identità digitale sugli utenti/subject conosciutiriceve richieste di autenticazione con l’indicazione dell’insieme dei metodi di autenticazione ritenuti accettabili dal richiedenteproduce token di autenticazione che certificano l’avvenuto riconoscimento di un subject secondo una specifica modalità (Es. username/pwd, HardwareToken, etc.)Il token di autenticazione prodotto può eventualmente includere anche un insieme di attestazioni del valore degli attributi che caratterizzano il profilo dell’utente mantenuto dal quell’Identity ProviderIdentità digitale ed identità federata

61Identity ProviderNormalmente un IdP non è in grado di comportarsi da Attribute AuthorityPuò produrre attestazioni di attributo soltanto a seguito dell’avvenuta autenticazione di un utente e congiuntamente al token di autenticazioneLa produzione del token di autenticazione tipicamente prevede l’interazione con il browser utenteIdentità digitale ed identità federata

62Identity Providergestisce l'autenticazione, il Single Sign On (SSO) ed il rilascio degli attributi delle identità contenute per il sistema di Identity Management.Essenzialmente è una applicazione java dentro un J2EE (tomcat). Può essere presente un web server come reverse proxy.Le funzioni:Autenticazione e SSO porta 443: redige l'utente a una form di login o ritrasmette le in informazioni di avvenuta autenticazioneAttribute Authority (AA) porta 8443: rilascia gli attributi degli utenti autenticatiIdentità digitale ed identità federata

63Service Providerl'ente presso il quale è gestita la risorsa web a cui l'utente fa richiesta e che ha il compito di proteggerla attraverso una qualche forma di policy di accessoil Fornitore di un certo servizio a cui l’utente vuole accedere il quale deve fornire il componente di Shibboleth denominato Service Providerprotegge l'accesso alle risorse web (anche autorizzazione, grazie agli attributi rilasciati dall'IdP)Identità digitale ed identità federata

64Service ProviderEssenzialmente è un demone in C++ con il quale il web server dialoga (mod_shib2 - link)Intercetta le richieste a risorse protette e ridirige l'utente sull WAYF (Where are you from? Servizio di discovery dell’IdP) o all'IdPRicevute le informazioni di autenticazione apre una connessione verso lo AA dell'IdP per reperire gli attributiogni risorsa il cui accesso deve essere protetto richiede un SP, quindi ogni servizio Web accessibile agli utenti della federazione richiede un SP.Identità digitale ed identità federata

65Identity Provider e Service ProviderIdP e SP possono cooperare secondo diversi profili, ciascuno dei quali definisce l’ambito fiduciario e contrattuale che lega le due tipologieProfilo “Multi Provider”Identità digitale ed identità federata

66Identity Provider e Service ProviderEsempio di federazioneIdentità digitale ed identità federata

67Identity Provider e Service Provider34572110698Handle13Handle118Attributi12Attributi10Identità digitale ed identità federata

68Tecnologie abilitanti e standard di riferimento secondo il modello ICARModello di coopearzione: relazioni ed interazioni intra e inter-dominioCasi d’uso del sistema: aggiornamento del profilo, registrazione e accesso al servizioArchitettura ICARSviluppi futuriIdentità digitale ed identità federata

Autenticazione70Relazioni ed Interazioni con Shibboleth UtenteRisorsa1. Richiesta di accesso3. Determinazione del Gestore di Identitàdi appartenenza2. Redirezione5. AutenticazioneGestore IdentitàServizioWAYF4. RedirezioneIdentità digitale ed identità federata

71Relazioni ed Interazioni con ShibbolethRilascio AttributiUtenteRisorsa8. Rilascio attributi7. Richiesta Attributi6. Credenzili (Handle)Gestore IdentitàServizioWAYFIdentità digitale ed identità federata

72Relazioni ed Interazioni con ShibbolethAccesso alla RisorsaUtenteRisorsa10. Accesso alla risorsa9. AutorizzazioneGestore IdentitàServizioWAYFIdentità digitale ed identità federata

73Protocollo SAML 2.0La comunicazione avviene secondo lo standard SAML 2.0Security Assertion Markup Language (SAML) è uno standard informatico per lo scambio di dati di autenticazione e autorizzazione (dette asserzioni) tra domini di sicurezza distinti, tipicamente un identity provider (entità che fornisce informazioni di identita) e un service provider (entità che fornisce servizi). Il formato delle asserzioni SAML e basato su XML. SAML è mantenuto da OASIS Security Services Technical Committee.Identità digitale ed identità federata

74Protocollo SAML 2.0SAML definisce sullo standard XML-base:definizioni, protocolli, modalita' di connessione, profiliSAML assertion contiene un pacchetto di informazioni di sicurezzaSAML protocol si riferisce a COSA viene trasmessoSAML binding determina la modalita' di richiesta o risposta standardHTTP Artifact Binding usa ARP (Artifact Resolution Protocol) e SAML SOAP Binding per risolvere un messaggio per referenzaIdentità digitale ed identità federata

75Protocollo SAML 2.0SAML profile e' una manifestazione concreta di una combinazione particolare di definizioni, protocolli e modalita‘ di connessione che identificano una particolare struttura (IdP o SP)I profili sono racchiusi nei RUOLIIdentity ProviderService ProviderAttribute AuthorityAttribute ConsumerPolicy Decision PointIdentità digitale ed identità federata

76MetadatiSono informazioni su informazioniDati che riguardano i datiDescrizioni di oggetti elaborabili automaticamente detti “machine understandable” relativi ad una risorsaInformazioni di carattere descrittivo, strutturale, amministrativo, tecnico-gestionale relative ad un oggetto o ad un insieme di oggettiIdentità digitale ed identità federata

77Metadati: le finalitàI profili SAML2 richiedono che una federazione si accordi per quanto riguarda le entità che ne fanno parte, le risorse, il supporto e gli endpoint che esplicano effettivamente i servizi federatiIn questo contesto i metadati servono per descrivere tutte queste informazioni in un modo standardizzatoE' un modo ordinato di annotare i servizi, le entità le URI di riferimento e i ruoli che riflettono i profili SAMLLe macchine che offrono i servizi, sia di autenticazione che di risorse, accedono a questo elenco per comprendere come capire chi ha diritto a fare cosa, come deve farlo e dove sono le sue credenzialiIdentità digitale ed identità federata

78Metadati: gli attori Gli IdP si assicurano che l'SP sia autentico tramite una lista di 'trusted' SP Gli IdP trovano informazioni relative agli endpoint degli SP dove mandare le info Gli SP verificano la firma di una assertion tramite la chiave pubblica dell' IdP Gli SP risolvono referenze tramite una lista di endpoint relativi all'Artifact Resolution ServiceIdentità digitale ed identità federata

79Metadati: ruoliI metadati sono raggruppati secondo i diversi ruoliUn ruolo è la combinazione di protocolli SAML e profili supportati dalle singole entitàOgni ruolo è descritto da un elemento derivato dal tipo base RoleDescriptorI RoleDescriptor sono raggruppati dentro l'elemento contenitore EntityDescriptor, unità primaria dei metadatiPiù EntityDescriptor possono essere raggruppati in gruppi nidificati, tutti sotto l'elemento EntitiesDescriptorSono inoltre descritti e stabiliti tutti i sistemi supportati per stabilire un ambiente di fiducia fra gli attoriIdentità digitale ed identità federata

80Metadati: ruoliIdentità digitale ed identità federata

81Metadati in SAML 2.0Identità digitale ed identità federata

84Accesso al ServizioIl caso d’uso principale è quello per l’accesso al servizio, che coinvolge tre attori: Service Requester, una o più Authority e un SPIl richiedente contatta il fornitore che fa uso di un certo numero di authority certificatrici per convalidare l’accessoQuesto use case si compone di tre fasi autenticazione, autorizzazione e fruizione vera e propria del servizioIdentità digitale ed identità federata

85Accesso al ServizioSi noti la particolarità per cui un SP può essere a sua volta un servirce requester. Un richiedente infatti, come già detto può essere sia un utente che opera mediante un browser web per contattare il front-end di un servizio, che il front-end dello stesso servizio,che deve contattare un certo numero di fornitori di servizi di back-end per completare la procedura di accessoIdentità digitale ed identità federata

86Registrazione e aggiornamento del profiloUn secondo caso d’uso è quello che permette ad un nuovo utente di registrarsi presso una certa authority al fine della creazione di un nuovo profilo contenente almeno gli attributi base utili ai fini della procedura di autenticazioneNel caso generale, tuttavia, il profilo verrà popolato anche con un certo numero di dati, ad esempio quelli anagrafici, ma potrà essere esteso anche in un secondo momentoQuest’ultima attività viene riassunta nel caso d’uso denominato “Aggiornamento del profilo” per cui un utente può accreditarsi con i nuovi attributi (o qualifiche) presso una AAIdentità digitale ed identità federata

89Architettura ICARIdentità digitale ed identità federata

92Architettura ICAR in Regione MarcheIpotesi di ambienteICARAltre RegioniRegione MarcheCohesionOpenLDAPoActive DirectoryIdentità digitale ed identità federata

93Architettura ICAR in Regione Marche?2: From?3: Retrieve from IdP1: Service Request5: Authentic.Altre Regioni4: Service RequestRegione MarcheRegione MarcheCohesionOpenLDAPIdentità digitale ed identità federata

96Stato dell’arteL’infrastruttura di task Inf 03 ICAR è funzionanteRealizzato IdP di testRealizzato un Sp di testAutenticazione tramite ShibbolethIntegrazione con i maggiori CMS: Joomla e WordpressIdentità digitale ed identità federata

97Sviluppi futuriAutenticazione mediante SmartCard (carta raffaello)Costituzione di una federazione di testing con le altre RegioniIntegrazione con i servizi di Google….Identità digitale ed identità federata

98ConclusioniEntrare in un’ottica federata significa:Condividere problematiche comuniAssumere diversi ruoli a seconda della provenienzaDiminuire il carico di storage degli utentiEssere a norma di legge

99RiferimentiVideohttp://www.youtube.com/watch?v=wBHiASr-pwk (UK)http://www.servizi.garr.it/index.php/it/news-idem/126-provafilmato (IT)Strategie e politicheeuropee per la societàdell’informazionehttp://www.slideshare.net/rejus/strategie-e-politiche-europee-per-linnovazione-il-ruolo-dei-fondi-strutturali-comunitari-4004323Idem e Icarhttps://www.idem.garr.it/index.php/it/documentihttp://www.progettoicar.it/ViewCategory.aspx?catid=ebf043b8e557434c89add91686c1f455

100Th@nk for your Attention!Michele ManzottiDipartimento di Informatica e MatematicaUniversità di CamerinoVia Madonna delle Carceri, 9 62032 - Camerino (Macerata) – ITALYeMail: michele.manzotti@s tudenti.unicam.itWeb: http://manzotti.euhttp://conferences.cs.unicam.it/icarplusformazione100

Sistema Federato Interregionale di Autenticazione

More Related Content

What's hot

Similar to Sistema Federato Interregionale di Autenticazione

More from michelemanzotti

Sistema Federato Interregionale di Autenticazione