La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture.

Presentazioni simili


Presentazione sul tema: "Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture."— Transcript della presentazione:

1 Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture & Tecnologie Direzione Progettazione

2 Progetto Shibboleth-UniTo-Scuole 2 Architetture di accesso ai servizi Architetture FEDERATE Shibboleth: come funziona e chi lo adotta Antefatti del progetto sperimentale Progetto sostenuto dalla Regione Piemonte I servizi offerti da CSP alle scuole Come attivare il circolo 'virtuoso' Sommario

3 Progetto Shibboleth-UniTo-Scuole 3 Si distinguono sempre due blocchi funzionali: –Identity Provider (detentore della base dati e validatore della fase di autenticazione) –Service Provider (detentore del Servizio e validatore della fase di autorizzazione) Per la fruizione di un servizio è necessario il superamento di due fasi: Autenticazione (fase di riconoscimento dell'utente) Autorizzazione (fase di profilazione e di effettivo accesso al servizio) Architetture di accesso ai servizi 1/2 BASE DATI SERVIZIO UTENTE Identity Provider Service Provider

4 Progetto Shibboleth-UniTo-Scuole 4 Normalmente l'Ente che fornisce il servizio si occupa della creazione/ gestione della base dati Tanti servizi quante basi dati Altrettanti credenziali di accesso!!! Inutile spreco di risorse e...di memoria Architetture di accesso ai servizi 2/2

5 Progetto Shibboleth-UniTo-Scuole 5 Una sola base dati creata presso la sede dell'Ente cui l'utente appartiene che funge da Identity Provider Sottoscrizione di un accordo tra Enti (RELAZIONE FIDUCIARIA) così che ciascuno sia garante nei confronti di ogni altro per il compito gli compete Ottimizzazione nell'uso delle risorse ed uso di uniche credenziali per l'utente Architetture FEDERATE di accesso ai servizi

6 Progetto Shibboleth-UniTo-Scuole 6 Shibboleth...un esempio di AAI FEDERATA Blocchi funzionali: –IdP (Identity Provider) si interfaccia con il backend di autenticazione –SP (Service Provider) fornisce servizi (protegge servizi) –WAYF/DS (Where Are You From/Discovery Service) guida l'utente nell'individuazione del proprio IdP

7 Progetto Shibboleth-UniTo-Scuole 7 Shibboleth: come funziona..in breve Lutente si connette alla risorsa e viene rediretto alla pagina del Servizio WAYF Lutente seleziona il proprio IdP Lutente inserisce le proprie credenziali presso la propria Home Organization Superata la fase di autenticazione Ottiene accesso alla risorsa richiesta

8 Progetto Shibboleth-UniTo-Scuole 8 Shibboleth: chi lo adotta Vari Enti educativo/formativi stanno adottando la piattaforma Shibboleth non ultimo il GARR che ha promosso IDEM la prima federazione Shibboleth in Italia che coinvolge centri di ricerca e Enti accademici UniTo ha aderito attivamente ad IDEM diventando a sua volta portavoce e propotrice dell'architettura Shibboleth

9 Progetto Shibboleth-UniTo-Scuole 9 Scelta di UniTo di migrazione allarchitettura di autenticazione Shibboleth rinnovo del proprio LDAP in quest'ottica Maggiori competenze tecniche in ambito Shibboleth di CSP Idea di coinvolgere in una federazione gli Istituti Superiori per avvicinare gli studenti degli ultimi anni all'Università UniTO, in una prima fase ha dato disponibilità ad ospitare presso un proprio IdP i dati di alcuni utenti degli Istituti, coinvolgibili nella sperimentazione Per garanzie di privacy ogni Istituto ha scelto di volersi dotare di un proprio IdP/LDAP Antefatti al progetto sperimentale... 1/2 ma

10 Progetto Shibboleth-UniTo-Scuole 10 Problematiche/criticità evidenziate: -Installazione/configurazione del box presso gli Istituti -Prototipazione del box -Gestione/aggiornamento box -Strutturazione di opportune linee guida che aiutino alla messa in produzione del servizio Antefatti al progetto sperimentale...2/2

11 Progetto Shibboleth-UniTo-Scuole 11 Titolo: Architettura Shibboleth per laccesso unificato a servizi web based Sovvenzione della RegPie alle attività di CSP ed indirettamente anche alle Scuole e allUniversità –censimento esteso alle scuole appartenenti al progetto Dschola –prototipazione del box IdP/LDAP –configurazione/integrazione nella rete dell'Istituto –formazione del personale per l'uso del box –Risoluzione/supporto problematiche fino a chiusura d'anno (oltre a supporto telefonico in base a necessità) –Raccolta esigenze/vincoli/criticità evidenziate durante la fase di sperimentazione –Estrapolazione di linee guida utili al consolidamento del servizio sperimentale e allestensione dello stesso ad un sempre crescente numero di Istituti Il progetto sostenuto dalla Regione Piemonte

12 Progetto Shibboleth-UniTo-Scuole 12 Enti coinvolti nel progetto e rispettivi ruoli Istituto Majorana Istituto Maxwell Istituto Avogadro CSP beneficiari delliniziativa supporto tecnico fornitore di servizi UniTo

13 Progetto Shibboleth-UniTo-Scuole 13 Schema architetturale IdP LDAP Maxwell IdP LDAP Avogadro IdP LDAP Majorana SP SD/WAYF UniTo Apertura porte firewall: 443, 22 idp.itismajo.it idp.itisavogadro.it itismaxwell.csp.it LDAP CSP idp-csp.csp.it UniTo Dschola

14 Progetto Shibboleth-UniTo-Scuole 14 Come sono stati coinvolti gli Istituti Fornitura del PC/server su cui installare il box IdP/LDAP Disponibilità di un IP pubblico con cui garantire la raggiungibilità dellIdP ad opera dellSP di UniTo Assegnazione di un nome macchina sul dominio dellIstituto (possibilmente) Firma di una dichiarazione per il rilascio, ad opera di CSP, di un certificato a chiave pubblica Inserimento dei principali dati dellutenza che parteciperà alla sperimentazione Comunicazione di eventuali anomalie nel funzionamento a CSP Raccolta di feedback presso gli utenti direttamente coinvolti nelliniziativa

15 Progetto Shibboleth-UniTo-Scuole 15 IdP + LDAP + PHP LDAP Admin IdP LDAP BASE DATI UFFICIALE SERVIZIO IN PRODUZIONE REPLICA PARZIALE BASE DATI SERVIZIO SPERIMENTALE Con esito positivo della fase sperimentale inizierà la fase di consolidamento del servizio e saranno implementate soluzioni che consentano un allineamento tra le basi dati Accesso consentito al SOLO amministratore

16 Progetto Shibboleth-UniTo-Scuole 16 Cosa è stato fatto… Installazione/configurazione dei 3 box IdP/LDAP Validazione dei box degli Istituti Maxwell e Majorana (grazie al valido supporto di UniTo) Caricamento dei dati sulla base dati: 1590 utenze per l'Istituto Avogadro 400 utenze per l'Istituto Majorana

17 Progetto Shibboleth-UniTo-Scuole 17 … I servizi offerti da CSP alle scuole La consulenza tecnica nel dettagliare il funzionamento dell'architettura Shibboleth Interfaccia tra Istituti e UniTo Installazione/configurazione/validazione dei box –Registrazione dei nomi a dominio –Fornitura dei certificati a chiavi pubbliche –Interfaccia user-friendly per inserimento manuale dei dati nell'LDAP –Caricamento della base dati –Fornitura di script per il caricamento automatico dei dati –Gestione del box durante l'intera fase sperimentale –Formazione per la gestione del box

18 Linee guida Come avviare il circolo virtuoso –individuare l'SP-killer application –attivare le scuole affinché creino un proprio SP –definire la struttura della federazione estesa cui potranno partecipare in modo opportuno: PA, università del territorio regionale, Istituti Superiori piemontesi Primi scenari di federazione coinvolgente gli Istituti Scolastici e l'impegno di UniTo: –blog –servizio e-learning –servizio wifi Come aderire alla federazione –Procedure e documentazione per sottoscrivere la federazione Progetto Shibboleth-UniTo-Scuole 18

19 Progetto Shibboleth-UniTo-Scuole 19 Contatti Stefania Sella Area Infrastrutture & Tecnologie Direzione Progettazione mail: cell: tel CSP innovazione nelle ICT Sede via Livorno Torino Edificio Laboratori A1 Tel Fax Seconda sede operativa Villa Gualino - Viale Settimio Severo Torino

20 Progetto Shibboleth-UniTo-Scuole 20 Elenco attributi obbligatori Cognome Nome Ruolo dellutente (studente, docente, …) Username dellutente Password dellutente Indirizzo


Scaricare ppt "Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture."

Presentazioni simili


Annunci Google