“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, 16.5.2012 Istituto.

Slides:



Advertisements
Presentazioni simili
Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.
Advertisements

3 ottobre 2000Consiglio Nazionale delle Ricerche Progetto Biblio MIME 1 Consiglio Nazionale delle Ricerche Area di Ricerca di Bologna Istituto per le Applicazioni.
Shibboleth e IDEM Metting Itale 2010, 23 giugno Roma R. Gibellini e Z. Tajoli.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Configuring Network Access
PROGETTO interdisciplinare
Laurea Magistrale in Informatica Reti 2 (2007/08)
Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.
Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della sperimentazione Torino, 14 dicembre 2009 Stefania Sella Area Infrastrutture.
Registri elettronici e pagelle online
“I servizi di cooperazione applicativa nel SPC”
Roma, Presentazione del sistema ClicLavoro.
Health Science Community, Milano, Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.
Basi di Dati prof. A. Longheu
Amministrazione di una rete con Active Directory
Chiara Francalanci Politecnico di Milano SMAU 22 Ottobre 2004.
Digital Media Management Systems. Stati uniti Brasile Italia Spagna Messico Un team composto dai migliori professionisti del mondo nelle applicazioni.
Cercare informazioni sul Web. 5-2 Organizzazione dellinformazione tramite gerarchie Classificazione gerarchica Linformazione è raggruppata in un piccolo.
Indice Pag. 1 Presentazione La sicurezza nellazienda Banca La sicurezza informatica La catena tecnologica della sicurezza La firma digitale.
Presentazione a cura diSlide n.1 AVIPA 1. Presentazione generale dell'ambiente software Viterbo, 10 Dicembre 2008.
Delay Tolerant Networking Service per SAMOA. Il framework SAMOA SAMOA è un framework che consente di gestire e popolare la rete sociale e propagare a.
Ottobre 2006 – Pag. 1
Stefano Di Giovannantonio ECM Consulting Solution Expert
Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.
Un problema importante
1 Attivazione delle nuove funzioni di NILDE 4 per utenti CNR – Biblioteca dell'Area della Ricerca di Bologna Created by Settembrini Sergio.
DIDATTICA IN RETE APPLICABILE ALLA DIDATTICA SCOLASTICA - Didattica in rete (in senso stretto) e didattica “mista” (blended) - Didattica in aula potenziata.
ITCG “V. De Franchis” - PON FSE Modulo G/1 l’informatica”
I DBMS BASI DI DATI (DATABASE) Insieme organizzato di dati utilizzati
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
PKI e loro implementazione Corso di Sisitemi Informativi Teledidattico A.A. 2006/07
Lucia Melotti 1/14 Bologna, 7 luglio 2004 Aspetti di sicurezza nello scambio di messaggi XML tra un partner ebXML ed un Web Service di Lucia Melotti Relatore:
Servizi Internet Claudia Raibulet
Universita` degli studi di Perugia Corso di Laurea in Matematica Attribute Certificate Valentina Hamam Rosa Leccisotti.
SnippetSearch Database di snippet bilanciato e replicato di Gianluigi Salvi Reti di calcolatori LS – Prof. A.Corradi.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Sicurezza e attacchi informatici
Information Copyright © InfoCert InfoCert S.p.A. 1 Infrastruttura open per la sanità digitale Ambienti Digitali – Digital Identity Trapani 11 settembre.
Come affrontare la sicurezza Internet quando l’utente è uno studente o un figlio Sergio Venturino School Day Milano, 19 ottobre 2010.
Per maggiori informazioni sulle soluzioni presentate contattare Le tecnologie a supporto della didattica e dell′apprendimento Alessandro.
Identity & Access Management 2004: acquisizioni e riposizionamenti In Italia e nel mondo Identity Management in Banca 10 settembre 2004 Alessandro Giacchino.
WORKSHOP GARR_08 GARR-X: il futuro della Rete _ Milano 1-4 aprile 2008 Modelli di MAN ed integrazione in GARR-X Marco Marletta Workshop GARR_08 Milano.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Università degli Studi di Torino16 Maggio YouBlog: quali sfide occorre affrontare per proporre un servizio interfederato Napoli – 16 Maggio 2012.
INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID Maggio.
OpenAM & OpenIG 30 settembre 2015.
Alessandro Tugnoli / Silvana Mangiaracina Secondo Convegno IDEM 9-10 Marzo Secondo Convegno IDEM 9-10 Marzo 2010 Autenticazione federata per NILDE,
Maria Laura Mantovani - GARR e UniMORE 1 Alcune info sugli IDP e indagine Ottobre 2010 Dati provenienti da 32 IDP: 29 in Federazione e 3 in Test Confronto.
D. Dellisanti - Bibliostar 2010 CDL: CILEA DIGITAL LIBRARY UN PROGETTO CONSORTILE AL SERVIZIO DI CONSORZI E ASSOCIAZIONI MEDICHE Domenico Dellisanti
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.
Evoluzione di TRIP: Eduroam, portale Web e autenticazione su IdP INFN Riccardo Veraldi, Vincenzo Ciaschini - CNAF.
Overview del middleware gLite Guido Cuscela INFN-Bari II Corso di formazione INFN su aspetti pratici dell'integrazione.
INFN-AAI stato e prospettive Workshop CCR La Biodola Isola d’Elba 17 maggio 2016 Silvia Arezzini (per il gruppo aai-wg) 1.
IV Corso di formazione INFN per amministratori di siti GRID Tutorial di amministrazione DGAS Giuseppe Patania.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
R. Brunetti – INFN Torino WS. Sicurezza CNAF Bologna dicembre
WS INFN-CCR GARR, Napoli, Federazioni di identità per supportare le esigenze della ricerca.
SAL OR10 Aggiornato alla data del 24/03/2015. AR10.1 – Stato dell’arte - 1 Azioni per la modernizzazione pianificate: ●Integrazione applicativi ospedalieri.
NUOVO SITO WEB DELLA CCR / Sostituisce il sito attualmente in uso:
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Dael Maselli Tutorial INFN-AAI
Transcript della presentazione:

“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto di Fisiologia Clinica del CNR CTS - Federazione IDEM

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identità digitale 2 Borcea-Pfitzmann et al., 2006

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identity Management riduzione del numero di credenziali lato utente Single Sign-On eliminazione delle incoerenze relative ai dati dell’utente autorizzazione semplificata, basata su attributi/ruoli (ABAC/RBAC) 3

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identity Management System Deve supportare: la definizione e la rappresentazione di attributi e relativi valori la gestione di subset di attributi (identità parziali) la possibilità di decidere quali attributi e valori rivelare agli altri la pseudonomizzazione 4

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 IMS: collettore di informazioni 5 © Internet2

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 IM: autorizzazione non sempre è possibile autorizzare sulla base di attributi predefiniti in alcuni casi è necessario assegnare attributi specifici (entitlement) 6

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Strumenti per la gestione dei gruppi Grouper (Internet2) GMT (SWITCH, Gruppi inter-org, Shibboleth-only) 7

CNR - IFC R. Conte - “Virtual Organisation”... WS INFN CCR - GARR 2012 /27 tutto ciò avviene all’interno dell’organizzazione... ma sempre più spesso è necessario oltrepassarne i confini 8

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Federated Identity Management 9 Identity Provider Service Provide r

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM autenticazione locale, presso l’organizzazione di appartenenza accesso remoto a servizi di altre organizzazioni senza ulteriori autenticazioni 10

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM: SAML Security Assertion Markup Language framework XML-based sviluppato da OASIS standard per lo scambio di informazioni (assertion) relative all’identità e all’affiliazione di un utente nei confronti di un’organizzazione 11

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM: SAML sviluppato per rendere sicuri i servizi web- based consente Web-SSO oltre al “tradizionale” Service Provider (SP) introduce i concetti di: Identity Provider (IdP) Metadati: “coordinate” dei partecipanti 12

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Metadati strumento con cui si costruiscono le relazioni di fiducia contengono la posizione (url) e tipologia dei componenti per il consumo delle assertion dei partecipanti ed eventuale descrizione testuale dei partecipanti ogni partecipante, per verificare l’identità della controparte, autenticarsi ed eventualmente cifrare, utilizza il relativo certificato nei MD 13

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Metadati e certificati È consigliato l’utilizzo di certificati self- signed per la comunicazione SP-IdP (back- channel) il ruolo di Garante, affidato a una CA in una PKI, qui è svolto dalla Federazione equivale ad inserire la chiave pubblica, quindi minore tempo di verifica della controparte può essere rigenerato velocemente, quindi minore tempo di downtime in caso di compromissione del certificato 14

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Gruppi inter- organizzazione Nella FIM, si ripropongono gli stessi problemi presenti all’interno dell’organizzazione: è possibile autorizzare, tramite attributi, utenti appartenenti ad organizzazioni diverse: require homeOrg idpX.it idpY.it idpZ.it require affiliation student require studyBranch medicine non sempre è possibile autorizzare, sulla base di attributi, pre-esistenti... 15

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Virtual Organisation attribute- based 16 “Una Virtual Organization (VO) è un gruppo di individui che collaborano attraverso l’uso di servizi online” (Chad La Joie –Internet2) i membri appartengono ad organizzazioni diverse non è possibile accomunare i membri su attributi condivisi assegnati dalla propria organizzazione il SP potrebbe richiedere attributi sconosciuti all’IdP dell’utente

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: possibile soluzione...1 definire un attributo comune es: isMemberOf=VO1 isMemberOf=VO1;VO2;VO3 isMemberOf=VO2 require isMemberOf VO2 affidarsi alle HomeOrganisation per la valorizzazione dell’attributo 17 Impraticabile

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: necessità tecnicamente ciò che è rilevante è la definizione e gestione (aggregazione) di attributi es: givenName=Raffaele entitlement=vo-attribute:IDEM:CTS entitlement=vo-attribute:NOC:APM è necessario un attributo condiviso (sharedID): eduPersonPrincipalName (id univoco) o, meglio, eduPersonTargetedID (pseudonimo univoco) 18

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: possibile soluzione...2 definire un entità terza responsabile di una o più VO che valorizza gli attributi fare in modo che i SP siano “affiliati” verso una o più VO una VO nei metadati: <AffiliationDescriptor affiliationOwnerID="

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: idea di base 20 1 IdP!SP!Type-4-UUID (sharedID) givenName=Raffaele 2 3 sharedID entitlement=vo-attribute:NOC:APM

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Aggregazione di attributi SAML 2 Attribute Query SimpleAggregation AttributeResolver (Shibboleth SP 2.2 e successive) <AttributeResolver type="SimpleAggregation" attributeId="eppn" format="urn:oid: "> External-Links <Attribute Name="urn:oid: " NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="eduPersonEntitlement"/> 21

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: adesione 22 Subject: Join the IDEM CTS From: IDEM VO Admin To: Raffaele Conte You are invited to join the VO group “IDEM CTS”, please click on token=768yjnkdqwc88ed3 redirect click

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: adesione 23 sharedID

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: accesso al VO service 24

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: accesso al VO service 25 sharedID entitlement=vo-attribute:IDEM:CTS entitlement=vo-attribute:NOC:APM IdP!SP!Type-4-UUID (sharedID) givenName=Raffaele

CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO Platforms: strumenti COmanage Gear (COmanage, Internet2) OpenConext (SurfConext, SurfNet) COMATO (SWITCHtoolbox, SWITCH) 26

CNR - IFC R. Conte - “Virtual Organisation”... WS INFN CCR - GARR 2012 /27 Grazie! 27