federate identity and access management
DESCRIPTION
TRANSCRIPT
FEDERATE IDENTITY AND
ACCESS MANAGEMENT
Laureando: Dott. Michele ManzottiRelatore : Dott. Fausto MarcantoniCorrelatrice: Dott.sa Barbara Re
17 Giugno 2010
Agenda
Identity Access Management
• Concetto di Identità
Identity Access Management Federato
• Concetto di Federazione
• Concetto di Identità Federata
• Vantaggi dell’Identity e Access Management Federato
• ICAR e IDEM
Infrastruttura di Test
• Tecnologie adoperate
• Conclusioni e sviluppi futuri
17 Giugno 2010
Michele Manzotti
2
Che cos’è l’AIM ?
“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”
17 Giugno 2010
Michele Manzotti
3
Identity e Access Management
Principali temi affrontati :
• Autenticazione
• Confidenzialità
• Autorizzazione
• Integrità dei dati
• Prova della fonte
• Non ripudio
• User profiling
• Formato e interoperabilità
• Single Sign On
• Servizi di directory
Identità e Attributi
17 Giugno 2010
Michele Manzotti
4
Identity e Access Management
Accessi e Risorse
17 Giugno 2010
Michele Manzotti
5
Identity e Access Management
In letteratura…
In passato
• OECD – Organisation for Economic Co-Operation and Development
• NIST – National Institute of Standards and Technology
Attualmente
• FP7 – Seventh Research Framework Programme della Commissione Europea
• PICOS, SWIFT, FIDIS, GUIDE, PRIME
17 Giugno 2010
Michele Manzotti
6
Identity e Access Management
Organizzazione…
• La gestione degli accessi è autonoma per ogni servizio offerto;
• La gestione degli accessi è centralizzata.
17 Giugno 2010
Michele Manzotti
7
Identity e Access Management
?
Piano di progetto
• Le tempistiche con le quali s’intendere procedere.
• Le componenti tecnologiche utilizzate.
• Le figure responsabili.
• Il periodo di transizione.
• Il documento di progetto.
17 Giugno 2010
Michele Manzotti
8
Identity e Access Management
Identity e Access Management Federato
17 Giugno 2010
Michele Manzotti
9
Identity e Access Management
Identity e Access Management Federato
• Che cos’è la Federazione?
E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.
17 Giugno 2010
Michele Manzotti
10
Identity e Access Management Federato
Identity e Access Management Federato
• La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni.
• Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.
17 Giugno 2010
Michele Manzotti
11
Identity e Access Management Federato
Single Sign On
17 Giugno 2010
Michele Manzotti
12
Identity e Access Management Federato
Compiti della federazione
• Definire le finalità e valutare la propria capacità di gestione dell’identità
• Sviluppare dei sistemi di directory
• Scegliere un adeguato sistema di autenticazione
• Implementare il sistema di gestione dell’identità,
• Definire le regole che la caratterizzano
• Documentazione su come aderire alla federazione
• Predisporre corsi di formazione17 Giugno
2010Michele Manzotti
13
Identity e Access Management Federato
Vantaggi (1/2)
• Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)
• Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza
• Facilità di gestione della consistenza dei dati
17 Giugno 2010
Michele Manzotti
14
Identity e Access Management Federato
Vantaggi (2/2)
• Minore carico amministrativo per la gestione delle identità e delle credenziali
• Maggiore controllo sui sistemi di autenticazione e autorizzazione
• Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza
17 Giugno 2010
Michele Manzotti
15
Identity e Access Management Federato
Cenni storici e Stato dell’Arte
• Prime ricerche: Burton Group e OASIS Advancing Open Standards
for Information Society
• Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust
• Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0
17 Giugno 2010
Michele Manzotti
16
Identity e Access Management Federato
IDEM per le Università
• Identity Management federato gestito dal GARR
• Obiettivi:
o Rafforzamento dei sistemi di autenticazione e autorizzazione
o Predisposizione di accordi e possibili in contesti nazionali ed europeei
o Miglioramento in termini di efficienza nella fruizione di servizi
• Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate
• Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione
17 Giugno 2010
Michele Manzotti
17
Identity e Access Management Federato
ICAR per le Regioni
• ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS
• Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale
• Si divide in:o INF-1 implementazione di servizi infrastrutturali per la
cooperazione applicativa
o INF-2 per la gestione di accordi di servizio
o INF-3 sistema federato di autenticazione
• In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.17 Giugno 2010
Michele Manzotti
18
Identity e Access Management Federato
Principali Elementi della Federazione
• Identity Provider
o Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive
• Service Provider
o Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla
• Certification Autority
o Ente predisposto a convalidare i certificati
• User Agent
o Applicazione mediante la quale il richiedente innesca i protocolli di SSO
• WAYF – Where are you from?17 Giugno
2010Michele Manzotti
19
Identity e Access Management Federato
Architettura
17 Giugno 2010
Michele Manzotti
20
Identity e Access Management Federato
Standard sul formato e scambio credenziali
• X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.
• SAML: Standard basato su XML per la creazione di tokens di sicurezza.
17 Giugno 2010
Michele Manzotti
21
Identity e Access Management Federato
Realizzazione dell’infrastruttura
• Sistema Operativo: Windows o Linux
• Server Web: Apache o IIS
• Web Container: Tomcat
• Protocollo: SAML
• Directory: OpenLDAP, LDAP
• Applicativo: Shibboleth, PAPI, SimpleSAMLphp
17 Giugno 2010
Michele Manzotti
22
Identity e Access Management Federato
Shibboleth
• Progetto inter-universitario del gruppo Middleware Architecture Committee for Education MACE, appartenente al consorzio Internet2
• Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.
Pacchetti per l’installazione:• Identity Provider
• Service Provider
• Discovery Service17 Giugno
2010Michele Manzotti
23
Identity e Access Management Federato
Identity Provider - Shibboleth
Pacchetti:• Debian 5.03 (non-free)• Tomcat5.5• Apache2.2• Openssl• Sun-java6-jdk• Slapd
17 Giugno 2010
Michele Manzotti
24
Identity e Access Management Federato
File di configurazione:• Relying-party.xml• Attribute-resolver.xml• Attribute-filter.xml • Handler.xml• Login.config• Logging.xml
Service Provider - Shibboleth
Pacchetti• Apache2.2• Ntp• Libapache2_mod_sh
ib2
17 Giugno 2010
Michele Manzotti
25
Identity e Access Management Federato
File di configurazione• Shibboleth2.xml• .htaccess
• Lazy session
• shibd -t /etc/shibboleth/shibboleth2.xml
• http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session
• Strict session
Metadata - Shibboleth
Identity Provider• shibboleth-idp/metadata/idp-metadata.xmlService Provider• http://SP/Shibboleth.sso/Metadata
Metadata condiviso
17 Giugno 2010
Michele Manzotti
26
Identity e Access Management Federato
Architettura dell’infrastruttura
1. Accesso alla risorsa2. Shibboleth lato SP protegge l’accesso3. SP interroga i metadati condivisi e reindirizza l’utente all’IdP4. L’utente inserisce le credenziali e l’IdP controlla il database5. Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa
17 Giugno 2010
Michele Manzotti
27
Identity e Access Management Federato
Integrazione
• SimpleSAMLphp• Google
• Estensioni sui CMS• Joomla• Drupal• Moodle• Wordpress
• Tutorial
17 Giugno 2010
Michele Manzotti
28
Identity e Access Management Federato
Conclusioni e sviluppi e futuri
• Autenticazione con Smart card
• Autenticazione per le reti Wireless
• Possibile utilizzo con i servizi di esse3 (caso Unipd)
• Minimo skill di base
• Configurazioni non sono così banali
• Lavoro interessante e stimolante
17 Giugno 2010
Michele Manzotti
29
Identity e Access Management Federato
Grazie per l’attenzione
• I docenti• Dott. Fausto Marcantoni• Ing. Alberto Polzonetti• Dott.ssa Barbara Re
• Il gruppo e-lios
• I camerti
• Gli osimani
• La mia famiglia e la mia ragazza
17 Giugno 2010
Michele Manzotti
30
Identity e Access Management Federato