La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.

PubblicatoIvo Di Pietro Modificato 7 anni fa

Presentazioni simili

Presentazione sul tema: "Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric."— Transcript della presentazione:

1 Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric. del 5 luglio 2012 Open City Platform

2 AAI: Il problema che OCP ha affrontato ● Le PA hanno come riferimento dei Data Center eterogenei che usano sistemi di identificazione, autorizzazione e controllo degli accessi ai servizi diversi ● L’accesso a servizi offerti dalle PA in domini amministrativi diversi e ancora di più la collaborazione tra servizi di domini amministrativi diversi può avvenire solo per mezzo di un framework di sicurezza AAI comune e condiviso ● Anche se SPID ha finalmente reso disponibile un’unica tecnologia per l’autenticazione a livello nazionale, non esiste però ancora una soluzione unica per la gestione delle autorizzazioni in Data Center e servizi distribuiti in modo dinamico e sicuro ● Anche il semplice accesso da parte di un utente generico SPID ai servizi offerti da PA diverse oggi è problematico 2

3 La soluzione: il framework di sicurezza di OCP Architettura Service Oriented, risultato di uno sviluppo che consiste di questi elementi fondamentali: Autenticazione Federata (SPID) Autorizzazione (XACML3) Interoperabilità (Policy Decision as a Service, Policy Administration as a Service) Delega di credenziali (OAuth2) 3

4 Il Framework di sicurezza di OCP Attribute Authority Access Manager Utente Framework autorizzativo IdP SPID Registro AgID Risorsa protetta 1 - Richiesta accesso 2 - Ricerca IdP 3 - Avvio SSO 4 - Autenticazione 5 - Notifica autenticazione 6 - Ricerca AA 7 - Recupero attributi utente 8 - Valutazione policy 9 - Notifica accesso 10 - Accesso 4

5 Tecnologie utilizzate (I) Attribute Authority: Compatibile con quanto riportato nella sezione “Regole tecniche per il gestore di attributi qualificati” della specifica SPID Accesso via TLS 1.2, autorizzazione modulare: implementazione proposta basata su standard XACML Gestione di utenti, gruppi ed attributi via web API (standard SCIM 1.1) E' l'evoluzione del prodotto VOMS, adottato in ambito grid a livello europeo Framework autorizzativo: i Servizi PDP e PAP di OpenAM sono basati sullo standard “eXtensible Access Control Markup Language v.3.0” di OpenAM I servizi PDP e PAP as a Service forniscono una interfaccia standard di richiesta servizio, verificano l’asserzione di autenticazione (attualmente SAML) dell’issuer e le caratteristiche della richiesta, trasformano la richiesta nel formato (proprietario) previsto da OpenAM, utilizzando le API che mette a disposizione. 5

6 Tecnologie utilizzate (II) Access Manager: L’ Access Manager di OCP per le web application è basata su OpenAM ed OpenIG OpenAM agisce da centro di riferimento per: Gestione del SSO via SPID Aggregazione di attributi Gestione dell’autorizzazione OpenIG è la barriera d’ingresso (reverse proxy) che protegge la web application L’implementazione ha impatto minimo sullo sviluppo di una web application ed è completamente indipendente dal linguaggio e dalla tecnologia usata 6

7 Scenari supportati Il Framework di sicurezza di OCP soddisfa le esigenze dei seguenti scenari, con diversi domini di autenticazione: Scenario Locale Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti nello stesso dominio di autenticazione Scenario Federazione di Access Manager Il servizio erogato dalla PA & la risorsa protetta sono in un dominio autenticazione MA l’utente è gestito in altro dominio Scenario Federato & Geograficamente distribuito Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti in domini autenticazione geograficamente distribuiti 7

8 Scenario locale 1.L’utente chiede l’accesso alla risorsa protetta tramite browser 2.La richiesta viene intercettata da OCP Access Manager che avvia il processo di verifica dell’identità attivando i servizi di accesso all’Identity Provider SPID indicato dall’utente 3.OCP Access Manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.OCP Access Manager verifica sulla base dell’asserzione e degli attributi, il profilo autorizzativo dell’utente ed effettua l’enforcement verso la risorsa protetta Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti nello stesso dominio Dominio Cloud OCP AM Risorsa protetta IdP SPID OCP AA Altre AA 1 2 3 3 4 8

9 Scenario federato e geograficamente distribuito 1.L’utente chiede l’accesso alla risorsa protetta tramite il browser 2.La richiesta viene intercettata da un access manager facente parte di un altro dominio; access manager avvia il processo di verifica dell’identità accedendo all’Identity Provider SPID indicato dall’utente 3.access manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.access manager costruisce un’asserzione di autenticazione arricchita degli attributi dell’utente e la invia al servizio OCP PDP (es asserzione SAML) 5.Il servizio OCP PDP consuma l’asserzione, richiede una policy decision al PDP OCP Access Manager e riceve da questi una policy response 6.Il servizio OCP PDP trasmette all’access manager la policy response 7.I’access manager applica l’enforcement verso la risorsa protetta in base alla policy response ottenuta Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti in domini geograficamente distribuiti Dominio Cloud OCP Servizio PDP Risorsa protetta IdP SPID OCP AA Altre AA Access manager OCP AM PDP 1 2 3 3 5 6 7 9

10 Delega di credenziali & composizione di servizi La delega di credenziali è un requisito trasversale a tutti gli scenari supportati dal framework di sicurezza di OCP Il requisito che deve soddisfare è quello di una richiesta che per essere eseguita necessita a sua volta una composizione di servizi che devono operare a nome del richiedente iniziale Servizi in cascata che agiscono a nome dello stesso utente Lo sviluppo della delega di credenziali sta avvenendo in collaborazione con il progetto europeo INDIGO-Datacloud ed ha come tecnologia di riferimento OAuth2 Sono al vaglio diversi modelli: Cross client tokens, Macaroons, OAuth token exchange 10

11 Scenario federazione di Access Manager 1.L’utente chiede l’accesso alla risorsa protetta tramite il browser 2.La richiesta viene intercettata da un access manager facente parte di un altro dominio; l’access manager avvia il processo di verifica della identità accedendo all’IdP SPID indicato dall’utente 3.l’access manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.l’access manager trasferisce l’identità dell’utente e relativi attributi all’OCP Access Manager (es. costruisce un’asserzione SAML) 5.OCP Access Manager applica l’enforcement verso la risorsa protetta Il servizio erogato dalla PA & la risorsa protetta sono in un dominio MA l’utente è gestito in altro dominio Dominio Cloud OCP AM Risorsa protetta IdP SPID OCP AA Altre AA Access Manager 1 2 3 3 4 5 11

12 Servizio di Policy Decision 11

Scaricare ppt "Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric."

Presentazioni simili

UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA

UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Gli specialisti degli eDocuments

Gli specialisti degli eDocuments
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Laurea Magistrale in Informatica Reti 2 (2007/08)

Laurea Magistrale in Informatica Reti 2 (2007/08)
Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.

Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.
REGIONE PUGLIATECNOPOLIS CSATA Sustainable and Effective Entrepreneurship Development Scheme INTERREG IIIB – CADSES WORKSHOP LA PUGLIA DELLA COOPERAZIONE.

REGIONE PUGLIATECNOPOLIS CSATA Sustainable and Effective Entrepreneurship Development Scheme INTERREG IIIB – CADSES WORKSHOP LA PUGLIA DELLA COOPERAZIONE.
Java Enterprise Edition (JEE)

Java Enterprise Edition (JEE)
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, 19-07-2007)

Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Perché.Net e non più COM/DCOM ? Superamento dei problemi di COM: Richiede una infrastruttura non semplice da ogni applicazione (ad esempio Class Factory.

Perché.Net e non più COM/DCOM ? Superamento dei problemi di COM: Richiede una infrastruttura "non semplice" da ogni applicazione (ad esempio Class Factory.
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, 19-07-2007)

Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi www.infocamere.it.

Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.

17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Workshop CNAF – Bologna 8 Luglio 2011 FARO Accesso Web a risorse e servizi remoti in ambiente Grid/Cloud A. Rocchi, C. Sciò, G. Bracco, S. Migliori, F.

Workshop CNAF – Bologna 8 Luglio 2011 FARO Accesso Web a risorse e servizi remoti in ambiente Grid/Cloud A. Rocchi, C. Sciò, G. Bracco, S. Migliori, F.
Modello Relazionale Definisce tipi attraverso il costruttore relazione, che organizza i dati secondo record a struttura fissa, rappresentabili attraverso.

Modello Relazionale Definisce tipi attraverso il costruttore relazione, che organizza i dati secondo record a struttura fissa, rappresentabili attraverso.
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.

Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
Contributo dell’Università degli Studi di Palermo e del CNR Sicilia

Contributo dell’Università degli Studi di Palermo e del CNR Sicilia
Guida IIS 6 A cura di Nicola Del Re.

Guida IIS 6 A cura di Nicola Del Re.
Riservato Cisco 1 © 2010 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati.

Riservato Cisco 1 © 2010 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati.
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.

Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.

Presentazioni simili

Annunci Google