FEDERATE IDENTITY AND

ACCESS MANAGEMENT

Laureando: Dott. Michele ManzottiRelatore : Dott. Fausto MarcantoniCorrelatrice: Dott.sa Barbara Re

17 Giugno 2010

Agenda

Identity Access Management

• Concetto di Identità

Identity Access Management Federato

• Concetto di Federazione

• Concetto di Identità Federata

• Vantaggi dell’Identity e Access Management Federato

• ICAR e IDEM

Infrastruttura di Test

• Tecnologie adoperate

• Conclusioni e sviluppi futuri

17 Giugno 2010

Michele Manzotti

2

Che cos’è l’AIM ?

“Insieme di processi di business (persone e procedure) e delle tecnologie in grado di consentire alle organizzazioni - e al tempo stesso controllare - gli accessi degli utenti ad applicazioni e dati critici, proteggendo contestualmente i dati personali da accessi non autorizzati.”

17 Giugno 2010

Michele Manzotti

3

Identity e Access Management

Principali temi affrontati :

• Autenticazione

• Confidenzialità

• Autorizzazione

• Integrità dei dati

• Prova della fonte

• Non ripudio

• User profiling

• Formato e interoperabilità

• Single Sign On

• Servizi di directory

Identità e Attributi

17 Giugno 2010

Michele Manzotti

4

Identity e Access Management

Accessi e Risorse

17 Giugno 2010

Michele Manzotti

5

Identity e Access Management

In letteratura…

In passato

• OECD – Organisation for Economic Co-Operation and Development

• NIST – National Institute of Standards and Technology

Attualmente

• FP7 – Seventh Research Framework Programme della Commissione Europea

• PICOS, SWIFT, FIDIS, GUIDE, PRIME

17 Giugno 2010

Michele Manzotti

6

Identity e Access Management

Organizzazione…

• La gestione degli accessi è autonoma per ogni servizio offerto;

• La gestione degli accessi è centralizzata.

17 Giugno 2010

Michele Manzotti

7

Identity e Access Management

?

Piano di progetto

• Le tempistiche con le quali s’intendere procedere.

• Le componenti tecnologiche utilizzate.

• Le figure responsabili.

• Il periodo di transizione.

• Il documento di progetto.

17 Giugno 2010

Michele Manzotti

8

Identity e Access Management

Identity e Access Management Federato

17 Giugno 2010

Michele Manzotti

9

Identity e Access Management

Identity e Access Management Federato

• Che cos’è la Federazione?

E’ un accordo, tra organizzazioni e fornitori di risorse, con il quale i partecipanti decidono di fidarsi reciprocamente, delle informazioni che si scambiano nei processi di autenticazione e autorizzazione, sulla base di regole e linee di condotta stabilite per gestire le relazioni di fiducia.

17 Giugno 2010

Michele Manzotti

10

Identity e Access Management Federato

Identity e Access Management Federato

• La gestione delle identità e degli accessi a livello di federazione, non è più limitata a una singola organizzazione ma prevede il coinvolgimento di un insieme di organizzazioni.

• Permette a un utente, appartenente a una organizzazione coinvolta nella federazione, di potersi autenticare e accedere ai servizi offerti da altre organizzazioni.

17 Giugno 2010

Michele Manzotti

11

Identity e Access Management Federato

Single Sign On

17 Giugno 2010

Michele Manzotti

12

Identity e Access Management Federato

Compiti della federazione

• Definire le finalità e valutare la propria capacità di gestione dell’identità

• Sviluppare dei sistemi di directory

• Scegliere un adeguato sistema di autenticazione

• Implementare il sistema di gestione dell’identità,

• Definire le regole che la caratterizzano

• Documentazione su come aderire alla federazione

• Predisporre corsi di formazione17 Giugno

2010Michele Manzotti

13

Identity e Access Management Federato

Vantaggi (1/2)

• Possibilità di utilizzare sempre le stesse credenziali della propria organizzazione (SSO)

• Maggiori privacy e controllo dei propri dati personali poiché sono gestiti solamente dall’organizzazione di appartanenza

• Facilità di gestione della consistenza dei dati

17 Giugno 2010

Michele Manzotti

14

Identity e Access Management Federato

Vantaggi (2/2)

• Minore carico amministrativo per la gestione delle identità e delle credenziali

• Maggiore controllo sui sistemi di autenticazione e autorizzazione

• Scambio delle credenziali e dei codici di accesso limitati e quindi maggiore sicurezza

17 Giugno 2010

Michele Manzotti

15

Identity e Access Management Federato

Cenni storici e Stato dell’Arte

• Prime ricerche: Burton Group e OASIS Advancing Open Standards

for Information Society

• Microsoft entra con il protocollo Passaport, WS- Federation, WS-Trust

• Liberty Alliance: SAML 1.0, SAML 1.1, SAML 2.0

17 Giugno 2010

Michele Manzotti

16

Identity e Access Management Federato

IDEM per le Università

• Identity Management federato gestito dal GARR

• Obiettivi:

o Rafforzamento dei sistemi di autenticazione e autorizzazione

o Predisposizione di accordi e possibili in contesti nazionali ed europeei

o Miglioramento in termini di efficienza nella fruizione di servizi

• Possono aderire oltre alle Università e centri di ricerca anche organizzazioni interessate

• Necessario registrare almeno un Identity Provider, Servizio di gestione delle identità, o un Service Provider e aderire agli standard imposti dalla federazione

17 Giugno 2010

Michele Manzotti

17

Identity e Access Management Federato

ICAR per le Regioni

• ICAR nasce nel 2004 su iniziativa di 17 regioni con il coordinamento CPSI e del CISIS

• Scopo del progetto è di promuovere l’uso del Sistema Pubblico di Connettività per la cooperazione applicativa interregionale

• Si divide in:o INF-1 implementazione di servizi infrastrutturali per la

cooperazione applicativa

o INF-2 per la gestione di accordi di servizio

o INF-3 sistema federato di autenticazione

• In base ad accordi di fiducia tra i domini partecipanti alla federazione, ognuno di essi si impegna di riconoscere come valide le autenticazioni e le qualificazioni effettuate.17 Giugno 2010

Michele Manzotti

18

Identity e Access Management Federato

Principali Elementi della Federazione

• Identity Provider

o Entità ch è in grado di autenticare l’utente e fornire informazioni aggiuntive

• Service Provider

o Sistema presso il quale è gestita la risorsa web a cui l’utente fa richiesta e ha il compito di proteggerla

• Certification Autority

o Ente predisposto a convalidare i certificati

• User Agent

o Applicazione mediante la quale il richiedente innesca i protocolli di SSO

• WAYF – Where are you from?17 Giugno

2010Michele Manzotti

19

Identity e Access Management Federato

Architettura

17 Giugno 2010

Michele Manzotti

20

Identity e Access Management Federato

Standard sul formato e scambio credenziali

• X.509: Standard ITU-T per le infrastrutture a chiave pubblica PKI.

• SAML: Standard basato su XML per la creazione di tokens di sicurezza.

17 Giugno 2010

Michele Manzotti

21

Identity e Access Management Federato

Realizzazione dell’infrastruttura

• Sistema Operativo: Windows o Linux

• Server Web: Apache o IIS

• Web Container: Tomcat

• Protocollo: SAML

• Directory: OpenLDAP, LDAP

• Applicativo: Shibboleth, PAPI, SimpleSAMLphp

17 Giugno 2010

Michele Manzotti

22

Identity e Access Management Federato

Shibboleth

• Progetto inter-universitario del gruppo Middleware Architecture Committee for Education MACE, appartenente al consorzio Internet2

• Le sue finalità sono la progettazione, la specifica e l’implementazione Open Source di sistemi per la condivisione inter-istituzionale di risorse web soggette a controllo di accesso.

Pacchetti per l’installazione:• Identity Provider

• Service Provider

• Discovery Service17 Giugno

2010Michele Manzotti

23

Identity e Access Management Federato

Identity Provider - Shibboleth

Pacchetti:• Debian 5.03 (non-free)• Tomcat5.5• Apache2.2• Openssl• Sun-java6-jdk• Slapd

17 Giugno 2010

Michele Manzotti

24

Identity e Access Management Federato

File di configurazione:• Relying-party.xml• Attribute-resolver.xml• Attribute-filter.xml • Handler.xml• Login.config• Logging.xml

Service Provider - Shibboleth

Pacchetti• Apache2.2• Ntp• Libapache2_mod_sh

ib2

17 Giugno 2010

Michele Manzotti

25

Identity e Access Management Federato

File di configurazione• Shibboleth2.xml• .htaccess

• Lazy session

• shibd -t /etc/shibboleth/shibboleth2.xml

• http://SP/Shibboleth.sso/Login?target=http://SP/Shibboleth.sso/Session

• Strict session

Metadata - Shibboleth

Identity Provider• shibboleth-idp/metadata/idp-metadata.xmlService Provider• http://SP/Shibboleth.sso/Metadata

Metadata condiviso

17 Giugno 2010

Michele Manzotti

26

Identity e Access Management Federato

Architettura dell’infrastruttura

1. Accesso alla risorsa2. Shibboleth lato SP protegge l’accesso3. SP interroga i metadati condivisi e reindirizza l’utente all’IdP4. L’utente inserisce le credenziali e l’IdP controlla il database5. Ad autenticazione avvenuta, l’utente è rindirizzato alla risorsa

17 Giugno 2010

Michele Manzotti

27

Identity e Access Management Federato

Integrazione

• SimpleSAMLphp• Google

• Estensioni sui CMS• Joomla• Drupal• Moodle• Wordpress

• Tutorial

17 Giugno 2010

Michele Manzotti

28

Identity e Access Management Federato

Conclusioni e sviluppi e futuri

• Autenticazione con Smart card

• Autenticazione per le reti Wireless

• Possibile utilizzo con i servizi di esse3 (caso Unipd)

• Minimo skill di base

• Configurazioni non sono così banali

• Lavoro interessante e stimolante

17 Giugno 2010

Michele Manzotti

29

Identity e Access Management Federato

Grazie per l’attenzione

• I docenti• Dott. Fausto Marcantoni• Ing. Alberto Polzonetti• Dott.ssa Barbara Re

• Il gruppo e-lios

• I camerti

• Gli osimani

• La mia famiglia e la mia ragazza

17 Giugno 2010

Michele Manzotti

30

Identity e Access Management Federato