Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoGabriele Rossetti Modificato 11 anni fa
1
Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture & Tecnologie Direzione Progettazione 1
2
Sommario Architetture di accesso ai servizi Architetture FEDERATE
Shibboleth: come funziona e chi lo adotta Antefatti del progetto sperimentale Progetto sostenuto dalla Regione Piemonte I servizi offerti da CSP alle scuole Come attivare il circolo 'virtuoso' Progetto Shibboleth-UniTo-Scuole 2 2
3
Architetture di accesso ai servizi 1/2
Si distinguono sempre due blocchi funzionali: Identity Provider (detentore della base dati e validatore della fase di autenticazione) Service Provider (detentore del Servizio e validatore della fase di autorizzazione) Per la fruizione di un servizio è necessario il superamento di due fasi: Autenticazione (fase di riconoscimento dell'utente) Autorizzazione (fase di profilazione e di effettivo accesso al servizio) Identity Provider Service Provider UTENTE BASE DATI SERVIZIO Progetto Shibboleth-UniTo-Scuole 3 3
4
Architetture di accesso ai servizi 2/2
Normalmente l'Ente che fornisce il servizio si occupa della creazione/ gestione della base dati Tanti servizi quante basi dati Altrettanti credenziali di accesso!!! Inutile spreco di risorse e...di memoria Progetto Shibboleth-UniTo-Scuole 4 4
5
Architetture FEDERATE di accesso ai servizi
Una sola base dati creata presso la sede dell'Ente cui l'utente appartiene che funge da Identity Provider Sottoscrizione di un accordo tra Enti (RELAZIONE FIDUCIARIA) così che ciascuno sia garante nei confronti di ogni altro per il compito gli compete Ottimizzazione nell'uso delle risorse ed uso di uniche credenziali per l'utente Progetto Shibboleth-UniTo-Scuole 5 5
6
Shibboleth...un esempio di AAI FEDERATA
Blocchi funzionali: IdP (Identity Provider) si interfaccia con il backend di autenticazione SP (Service Provider) fornisce servizi (‘protegge’ servizi) WAYF/DS (Where Are You From/Discovery Service) guida l'utente nell'individuazione del proprio IdP Progetto Shibboleth-UniTo-Scuole 6 6
7
L’utente seleziona il proprio
Shibboleth: come funziona..in breve 1 2 L’utente si connette alla risorsa e viene rediretto alla pagina del Servizio WAYF L’utente seleziona il proprio IdP 3 4 L’utente inserisce le proprie credenziali presso la propria Home Organization Superata la fase di autenticazione Ottiene accesso alla risorsa richiesta Progetto Shibboleth-UniTo-Scuole 7 7
8
Shibboleth: chi lo adotta
Vari Enti educativo/formativi stanno adottando la piattaforma Shibboleth non ultimo il GARR che ha promosso IDEM la prima federazione Shibboleth in Italia che coinvolge centri di ricerca e Enti accademici UniTo ha aderito attivamente ad IDEM diventando a sua volta portavoce e propotrice dell'architettura Shibboleth Progetto Shibboleth-UniTo-Scuole 8 8
9
ma Antefatti al progetto sperimentale... 1/2
Scelta di UniTo di migrazione all’architettura di autenticazione Shibboleth rinnovo del proprio LDAP in quest'ottica Maggiori competenze tecniche in ambito Shibboleth di CSP Idea di coinvolgere in una federazione gli Istituti Superiori per avvicinare gli studenti degli ultimi anni all'Università UniTO, in una prima fase ha dato disponibilità ad ospitare presso un proprio IdP i dati di alcuni utenti degli Istituti, coinvolgibili nella sperimentazione Per garanzie di privacy ogni Istituto ha scelto di volersi dotare di un proprio IdP/LDAP ma Progetto Shibboleth-UniTo-Scuole 9 9
10
Antefatti al progetto sperimentale...2/2
Problematiche/criticità evidenziate: Installazione/configurazione del box presso gli Istituti Prototipazione del box Gestione/aggiornamento box Strutturazione di opportune linee guida che aiutino alla messa in ‘produzione’ del servizio Progetto Shibboleth-UniTo-Scuole 10 10
11
Il progetto sostenuto dalla Regione Piemonte
Titolo: Architettura Shibboleth per l’accesso unificato a servizi web based Sovvenzione della RegPie alle attività di CSP ed indirettamente anche alle Scuole e all’Università censimento esteso alle scuole appartenenti al progetto Dschola prototipazione del box IdP/LDAP configurazione/integrazione nella rete dell'Istituto formazione del personale per l'uso del box Risoluzione/supporto problematiche fino a chiusura d'anno (oltre a supporto telefonico in base a necessità) Raccolta esigenze/vincoli/criticità evidenziate durante la fase di sperimentazione Estrapolazione di linee guida utili al consolidamento del servizio sperimentale e all’estensione dello stesso ad un sempre crescente numero di Istituti Progetto Shibboleth-UniTo-Scuole 11 11
12
UniTo CSP fornitore supporto di servizi tecnico beneficiari
Enti coinvolti nel progetto e rispettivi ruoli Istituto Majorana Istituto Avogadro UniTo CSP Istituto Maxwell fornitore di servizi supporto tecnico beneficiari dell’iniziativa Progetto Shibboleth-UniTo-Scuole 12 12
13
IdP Maxwell IdP SP UniTo Avogadro IdP CSP Majorana
Schema architetturale Apertura porte firewall: 443, 22 IdP 2 LDAP SD/WAYF itismaxwell.csp.it Dschola Maxwell IdP 1 SP 3 LDAP UniTo idp.itisavogadro.it UniTo Avogadro IdP LDAP LDAP idp-csp.csp.it idp.itismajo.it Dschola CSP Majorana Progetto Shibboleth-UniTo-Scuole 13 13
14
Come sono stati coinvolti gli Istituti
Fornitura del PC/server su cui installare il box IdP/LDAP Disponibilità di un IP pubblico con cui garantire la raggiungibilità dell’IdP ad opera dell’SP di UniTo Assegnazione di un nome macchina sul dominio dell’Istituto (possibilmente) Firma di una dichiarazione per il rilascio, ad opera di CSP, di un certificato a chiave pubblica Inserimento dei principali dati dell’utenza che parteciperà alla sperimentazione Comunicazione di eventuali anomalie nel funzionamento a CSP Raccolta di feedback presso gli utenti direttamente coinvolti nell’iniziativa Progetto Shibboleth-UniTo-Scuole 14 14
15
SERVIZIO SPERIMENTALE SERVIZIO IN PRODUZIONE
IdP + LDAP + PHP LDAP Admin Accesso consentito al SOLO amministratore IdP LDAP BASE DATI UFFICIALE REPLICA PARZIALE BASE DATI SERVIZIO SPERIMENTALE SERVIZIO IN PRODUZIONE Con esito positivo della fase sperimentale inizierà la fase di consolidamento del servizio e saranno implementate soluzioni che consentano un allineamento tra le basi dati Progetto Shibboleth-UniTo-Scuole 15 15
16
Cosa è stato fatto… Installazione/configurazione dei 3 box IdP/LDAP
Validazione dei box degli Istituti Maxwell e Majorana (grazie al valido supporto di UniTo) Caricamento dei dati sulla base dati: 1590 utenze per l'Istituto Avogadro 400 utenze per l'Istituto Majorana Progetto Shibboleth-UniTo-Scuole 16 16
17
… I servizi offerti da CSP alle scuole
La consulenza tecnica nel dettagliare il funzionamento dell'architettura Shibboleth Interfaccia tra Istituti e UniTo Installazione/configurazione/validazione dei box Registrazione dei nomi a dominio Fornitura dei certificati a chiavi pubbliche Interfaccia user-friendly per inserimento manuale dei dati nell'LDAP Caricamento della base dati Fornitura di script per il caricamento automatico dei dati Gestione del box durante l'intera fase sperimentale Formazione per la gestione del box Progetto Shibboleth-UniTo-Scuole 17 17
18
Linee guida Come avviare il “circolo virtuoso”
individuare l'SP-killer application attivare le scuole affinché creino un proprio SP definire la struttura della federazione estesa cui potranno partecipare in modo opportuno: PA, università del territorio regionale, Istituti Superiori piemontesi Primi scenari di federazione coinvolgente gli Istituti Scolastici e l'impegno di UniTo: blog servizio e-learning servizio wifi Come aderire alla federazione Procedure e documentazione per sottoscrivere la federazione Progetto Shibboleth-UniTo-Scuole 18 18
19
www.csp.it Contatti Stefania Sella Area Infrastrutture & Tecnologie
Direzione Progettazione mail: cell: tel CSP innovazione nelle ICT Sede via Livorno Torino Edificio Laboratori A1 Tel Fax Seconda sede operativa Villa Gualino - Viale Settimio Severo Torino Progetto Shibboleth-UniTo-Scuole 19 19
20
Elenco attributi ‘obbligatori’
Cognome Nome Ruolo dell’utente (studente, docente, …) Username dell’utente Password dell’utente Indirizzo Progetto Shibboleth-UniTo-Scuole 20 20
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.