La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:

Presentazioni simili


Presentazione sul tema: "Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:"— Transcript della presentazione:

1 Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata: Shibboleth

2 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Parleremo di: AAI Federazioni Cos’è Shibboleth Architettura di Shibboleth Stato dell’arte Conclusioni

3 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. alcuni concetti …. autenticazione: il processo tramite il quale si è riconosciuti come facente parte di un dominio autorizzazione: una volta riconosciuto, quali sono le credenziali e cioè cosa si è autorizzati a (quali servizi posso utilizzare) risorsa web: è il servizio o l’applicazione cui si vuole accedere

4 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Contesto gli scenari più comuni di autenticazione: per IP: accesso anonimo, su larga scala  no accesso remoto, manutenzione complicata  Es: editori commerciali utente e password: accesso personalizzato, remoto  amministrazione complessa per AR, differenti accounts per diversi servizi  Es: web mail, Emeroteca Virtuale

5 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. A.A.I.  la realizzazione di una architettura (infrastruttura) per semplificare l’accesso alle diverse risorse web, anche tra diverse organizzazioni (università, enti, etc.): In una ambiente senza AAI un utente per poter accedere ad una risorsa deve di volta in volta loggarsi con accounts spesso diversi In una AAI ogni risorsa è accessibile tramite un solo login: la procedura è gestita (di norma) presso il dominio di appartenenza dell’utente SSO (Single Sign On) no ridondanza dei dati utente l’accesso alle risorse è basato sulle credenziali/attributi dell’utente concetto di gestione dell’ identità federata Authentication and Authorization Infrastructure

6 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. A.A.I. © SWITCH

7 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Federazione è un insieme di organizzazioni (università, enti) che decidono di scambiarsi informazioni (condivisione di risorse e/o servizi, applicazioni) secondo regole e attraverso una infrastruttura (AAI) che è certificata e sicura richiede l’attuazione di politiche comuni es.: i membri concordano l’aspetto legale, le “policies” e la tecnologia da adottare esistono già delle federazioni: si parla infatti di cofedarazioni: Shibboleth: U.K., Finlandia, Svizzera Papi: Spagna A-Select: Olanda Liberty Alliance: Norvegia

8 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. …sulla storia di Shibboleth* Sacra Bibbia. Libro dei Giudici, cap 12, 4-6 [4] Iefte, radunati tutti gli uomini di Gàlaad, diede battaglia ad Efraim; gli uomini di Gàlaad sconfissero gli Efraimiti, perché questi dicevano: "Voi siete fuggiaschi di Efraim; Gàlaad sta in mezzo a Efraim e in mezzo a Manàsse". [5] I Galaaditi intercettarono agli Efraimiti i guadi del Giordano; quando uno dei fuggiaschi di Efraim diceva: "Lasciatemi passare", gli uomini di Gàlaad gli chiedevano: "Sei un Efraimita?". Se quegli rispondeva: "No", [6] i Galaaditi gli dicevano: "Ebbene, dì Scibbolet", e quegli diceva Sibbolet, non sapendo pronunciare bene. Allora lo afferravano e lo uccidevano presso i guadi del Giordano. In quella occasione perirono quarantaduemila uomini di Efraim. [* letteralmente, torrente]

9 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Cos’è Shibboleth è un progetto del gruppo MACE/Internet 2 che si prefigge di sviluppare una soluzione open source per l’accesso a risorse/servizi web condivisi tramite credenziali di autorizzazione: implementa SSO (accesso federato) e di conseguenza la sicurezza e la pricacy permette lo scambio di attributi utente per consentire l’accesso alle risorse e/o servizi Uso SAML (Security Assertion Markup Language), framework basato su XML per lo scambio di informazioni (“assertions”) per l’autenticazione e autorizzazione usa PKI come standard per la certificazione delle entità coinvolte gestione del rilascio e dell’accettazione degli attributi definisce un set di attributi ampliabile: quello standard è lo schema eduPerson

10 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Architettura di Shibboleth tre sono i principali componenti nell’architettura di Shibboleth Service provider (SP) Identity provider (IdP) WAYF (Where Are You From) service

11 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Architettura di Shibboleth: SP SP è chi fornisce la risorsa o il servizio da proteggere: un sito, una applicazione. requisiti di sistema (architettura) O.S. Windows, Linux, Solaris, Mac OS X Apache Web Server OpenSSL (per i certificati) NTP (Network Time Protocol)

12 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Architettura di Shibboleth: IdP IdP ha il compito di autenticare l’utente e di fornire gli attributi richiesti (dal SP) di norma è implementato nella propria “Home Istitution” requisiti di sistema (architettura) O.S. Windows, Linux, Solaris, Mac OS X Apache Web Server Java +Tomcat OpenLdap (schemi inetOrgPerson, SCHAC) OpenSSL (per i certificati) NTP (Network Time Protocol)

13 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Architettura di Shibboleth: WAYF WAYF (Where Are You From?) è il servizio che permette all’utente di scegliere/scoprire l’IdP di appartenenza dove autenticarsi requisiti di sistema (architettura) O.S. Windows, Linux, Solaris, Mac OS X Apache Web Server PHP OpenSSL (per i certificati) NTP (Network Time Protocol)

14 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Esempio: federazione © SWITCH

15 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Flow chart di Shibboleth © SWITCH

16 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Chi lo sta usando (come test)

17 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R.

18 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. E noi?? Stiamo iniziando adesso…. Si sono creati i gruppi di lavoro sotto egida GARR politico (definizione) tecnico (definizione dei documenti)  Attributi e Privacy  Software

19 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Conclusioni Una autenticazione a livello di persona e non più a livello di macchina (indirizzo IP) Un sistema per “raggruppare” le credenziali d’accesso ai diversi servizi L’affermazione del progetto passa attraverso la costituzione dei SP

20 Pescara - Sala Convegni CARIPE MAggio 2007 Seminario residenziale C.I.B.E.R. Grazie per l’attenzione


Scaricare ppt "Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:"

Presentazioni simili


Annunci Google