Federate Identity and Access Management

1. FEDERATE IDENTITY AND ACCESS MANAGEMENTLaureando: Dott. Michele ManzottiRelatore : Dott. Fausto MarcantoniCorrelatrice: Dott.sa Barbara Re17 Giugno 2010

2. AgendaIdentity Access ManagementConcetto di IdentitàIdentity Access Management FederatoConcetto di FederazioneConcetto di Identità FederataVantaggi dell’Identity e Access Management Federato ICAR e IDEMInfrastruttura di TestTecnologie adoperateConclusioni e sviluppi futuri17 Giugno 2010Michele Manzotti2

3. Identity e Access ManagementChe cos’è l’AIM ?“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”Principalitemiaffrontati : Autenticazione

4. Confidenzialità

5. Autorizzazione

6. Integrità dei dati

7. Prova della fonte

8. Non ripudio

9. Userprofiling

10. Formato e interoperabilità

11. Single Sign On

12. Servizi di directory17 Giugno 2010Michele Manzotti3

13. Identity e Access ManagementIdentità e Attributi17 Giugno 2010Michele Manzotti4

14. Identity e Access ManagementAccessi e Risorse17 Giugno 2010Michele Manzotti5

15. Identity e Access ManagementIn letteratura…In passatoOECD – Organisation for Economic Co-Operation and DevelopmentNIST – National Institute of Standards and TechnologyAttualmenteFP7 – Seventh Research Framework Programme della Commissione EuropeaPICOS, SWIFT, FIDIS, GUIDE, PRIME17 Giugno 2010Michele Manzotti6

16. Identity e Access ManagementOrganizzazione…La gestione degli accessi è autonoma per ogni servizio offerto;La gestione degli accessi è centralizzata.?17 Giugno 2010Michele Manzotti7

17. Identity e Access ManagementPiano di progettoLe tempistiche con le quali s’intendere procedere. Le componenti tecnologiche utilizzate. Le figure responsabili. Il periodo di transizione. Il documento di progetto. 17 Giugno 2010Michele Manzotti8

18. Identity e Access ManagementIdentity e Access Management Federato17 Giugno 2010Michele Manzotti9

19. Identity e Access Management FederatoIdentity e Access Management FederatoChe cos’è la Federazione?E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.17 Giugno 2010Michele Manzotti10

20. Identity e Access Management FederatoIdentity e Access Management FederatoLa gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni. Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.17 Giugno 2010Michele Manzotti11

21. Identity e Access Management FederatoSingle Sign On17 Giugno 2010Michele Manzotti12

22. Identity e Access Management FederatoCompiti della federazioneDefinire le finalità e valutare la propria capacità di gestione dell’identitàSviluppare dei sistemi di directoryScegliere un adeguato sistema di autenticazioneImplementare il sistema di gestione dell’identità,Definire le regole che la caratterizzanoDocumentazione su come aderire alla federazionePredisporre corsi di formazione17 Giugno 2010Michele Manzotti13

23. Identity e Access Management FederatoVantaggi (1/2)Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenzaFacilità di gestione della consistenza dei dati17 Giugno 2010Michele Manzotti14

24. Identity e Access Management FederatoVantaggi (2/2)Minore carico amministrativo per la gestione delle identità e delle credenzialiMaggiore controllo sui sistemi di autenticazione e autorizzazioneScambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza17 Giugno 2010Michele Manzotti15

25. Identity e Access Management FederatoCenni storici e Stato dell’ArtePrime ricerche: Burton Group e OASIS Advancing Open Standards for Information SocietyMicrosoft entra con il protocollo Passaport, WS- Federation, WS-TrustLiberty Alliance: SAML 1.0, SAML 1.1, SAML 2.017 Giugno 2010Michele Manzotti16

26. Identity e Access Management FederatoIDEM per le UniversitàIdentity Management federato gestito dal GARRObiettivi:Rafforzamento dei sistemi di autenticazione e autorizzazione

27. Predisposizione di accordi e possibili in contesti nazionali ed europeei

28. Miglioramento in termini di efficienza nella fruizione di serviziPossono aderire oltre alle Università e centri di ricerca anche organizzazioni interessateNecessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione17 Giugno 2010Michele Manzotti17

29. Identity e Access Management FederatoICAR per le RegioniICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISISScopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionaleSi divide in:INF-1 implementazione di servizi infrastrutturali per la cooperazione applicativa

30. INF-2 per la gestione di accordi di servizio

31. INF-3 sistema federato di autenticazione In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.17 Giugno 2010Michele Manzotti18

32. Identity e Access Management FederatoPrincipali Elementi della FederazioneIdentity ProviderEntità ch è in grado di autenticare l’utente e fornire informazioni aggiuntiveService ProviderSistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerlaCertification AutorityEnte predisposto a convalidare i certificatiUser AgentApplicazione mediante la quale il richiedente innesca i protocolli di SSOWAYF – Where are you from?17 Giugno 2010Michele Manzotti19

33. Identity e Access Management FederatoArchitettura17 Giugno 2010Michele Manzotti20

34. Identity e Access Management FederatoStandard sul formato e scambio credenziali X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.SAML: Standard basato su XML per la creazione di tokens di sicurezza.17 Giugno 2010Michele Manzotti21

35. Identity e Access Management FederatoRealizzazione dell’infrastrutturaSistema Operativo: Windows o LinuxServer Web: Apache o IISWeb Container: TomcatProtocollo: SAMLDirectory: OpenLDAP, LDAPApplicativo: Shibboleth, PAPI, SimpleSAMLphp17 Giugno 2010Michele Manzotti22

36. Identity e Access Management FederatoShibbolethProgetto inter-universitario del gruppo MiddlewareArchitectureCommitteeforEducation MACE, appartenente al consorzio Internet2Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.Pacchetti per l’installazione:Identity ProviderService ProviderDiscovery Service17 Giugno 2010Michele Manzotti23

37. Identity e Access Management FederatoIdentity Provider - ShibbolethPacchetti:Debian 5.03 (non-free)Tomcat5.5Apache2.2OpensslSun-java6-jdkSlapdFile di configurazione:Relying-party.xml

38. Attribute-resolver.xml

39. Attribute-filter.xml

40. Handler.xml

41. Login.config

42. Logging.xml17 Giugno 2010Michele Manzotti24

43. Identity e Access Management FederatoService Provider - ShibbolethPacchettiApache2.2NtpLibapache2_mod_shib2File di configurazioneShibboleth2.xml

44. .htaccess

45. Lazysession

46. Strictsession

47. shibd -t /etc/shibboleth/shibboleth2.xml

48. http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session17 Giugno 2010Michele Manzotti25

49. Identity e Access Management FederatoMetadata - ShibbolethIdentity Providershibboleth-idp/metadata/idp-metadata.xmlService Providerhttp://SP/Shibboleth.sso/MetadataMetadata condiviso17 Giugno 2010Michele Manzotti26

50. Identity e Access Management FederatoArchitettura dell’infrastrutturaAccesso alla risorsaShibboleth lato SP protegge l’accessoSP interroga i metadati condivisi e reindirizza l’utente all’IdPL’utente inserisce le credenziali e l’IdP controlla il databaseAd autenticazione avvenuta, l’utente è rindirizzato alla risorsa17 Giugno 2010Michele Manzotti27

51. Identity e Access Management FederatoIntegrazioneSimpleSAMLphpGoogleEstensioni sui CMSJoomlaDrupalMoodleWordpressTutorial17 Giugno 2010Michele Manzotti28

52. Identity e Access Management FederatoConclusioni e sviluppi e futuriAutenticazione con Smart cardAutenticazione per le reti WirelessPossibile utilizzo con i servizi di esse3 (caso Unipd)Minimo skill di baseConfigurazioni non sono così banaliLavoro interessante e stimolante17 Giugno 2010Michele Manzotti29

53. Identity e Access Management FederatoGrazie per l’attenzioneI docentiDott. Fausto MarcantoniIng. Alberto PolzonettiDott.ssa Barbara ReIl gruppo e-liosI camertiGli osimaniLa mia famiglia e la mia ragazza17 Giugno 2010Michele Manzotti30

Federate Identity and Access Management

More Related Content

Similar to Federate Identity and Access Management (20)

More from michelemanzotti (10)

Federate Identity and Access Management