Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.

Slides:



Advertisements
Presentazioni simili
Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.
Advertisements

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Microsoft Education Academic Licensing Annalisa Guerriero.
Proposta architettura sistema elearning
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Health Science Community, Milano, Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.
Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Nuovi servizi per il personale
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Cos’è un CMS? Content Management System
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.
Ottobre 2006 – Pag. 1
Infracom for you il portale a servizio dei partner
“Misure minime di sicurezza: adempimenti tecnici e organizzativi”
Stefano Di Giovannantonio ECM Consulting Solution Expert
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Windows Intune, la soluzione Cloud per la gestione dei PC in azienda Lorenzo Santagata Product Marketing Manager Windows Client Microsoft 15 dicembre 2010.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.
SISTEMA INOLTRO TELEMATICO ISTANZE DECRETO FLUSSI 2010
Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.
Installazione di Drupal: requisiti. (sistemista) Installazione, struttura dei file, nodi speciali.
Un problema importante
Copyright © 2003 Toshiba Corporation. All rights reserved. E-card: e-learning service Gianfranco Lipani Services Solutions Business.
1 Archivio Assistiti Laboratorio di Basi Dati II Università di Roma La Sapienza Corso di Laurea Tecnologie Informatiche Sito di una comunità fotografica.
Requisiti per Collaboration di WebTools. Obiettivo Sistema Documentale Agende Gestione Progetti Contatti Wiki Organizzazione Meeting e Conferenze.
Architettura dei Servizi di Directory Università Cattolica del Sacro Cuore - Sede di Brescia - Facoltà di Scienze Matematiche Fisiche e Naturali Corso.
Dischi in RAID  Redundant Array of Independent Disk Configurazione che permette di combinare più dischi secondo obiettivi di performance e ridondanza.
SIARL ARCHITETTURA DEL SISTEMA E GESTIONE DELLA SICUREZZA Milano, 5 novembre 2003 Struttura Sistemi Informativi e Semplificazione.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
CORSO DI ALFABETIZZAZIONE INFORMATICA ORIENTATO A INTERNET E ALLA PIATTAFORMA NOVARETE REDAZIONE, STRUTTURA E OBIETTIVI DI NOVARETE DIREZIONE DIDATTICA.
ASP.NET – Autenticazione e Sicurezza basata sui ruoli
1 Dott. Federico Del Freo a.d. Zucchetti Spa. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi > 1700 dipendenti > 155 Ml € fatturato.
1 Federico Del Freo a.d. Zucchetti. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi addetti di cui 500 dedicati alla ricerca.
Dael Maselli Gruppo WebTools CCR – 14 Marzo 2007.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Una magnifica alleanza ! Roberto CHIMENTI Joomladay Roma–19/11/2009 Roberto CHIMENTI Joomladay Roma–19/11/2009 Roberto Chimenti -
INFN AAI Estensione meccanismi standard di Autenticazione ed Autorizzazione.
Nuova architettura aule informatiche POLO2. Perché cambiare ? 1. Architettura infrastruttura vecchia (NIS) Difficile manutenzione Mancanza di aggiornamenti.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
Postecom B.U. CA e Sicurezza Offerta Sicurezza Scenario di servizi ed integrazioni di “Certificazione”
Security Monitor and Auditing & Event Management Franco Rasello Angelo Bianchi Integra Spa.
Identity & Access Management 2004: acquisizioni e riposizionamenti In Italia e nel mondo Identity Management in Banca 10 settembre 2004 Alessandro Giacchino.
… una soluzione per l’eLearning e la condivisione delle informazioni cos’è la piattaforma Moodle le caratteristiche di Moodle come viene implementata dal.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
OpenAM & OpenIG 30 settembre 2015.
Alessandro Tugnoli / Silvana Mangiaracina Secondo Convegno IDEM 9-10 Marzo Secondo Convegno IDEM 9-10 Marzo 2010 Autenticazione federata per NILDE,
Maria Laura Mantovani - GARR e UniMORE 1 Alcune info sugli IDP e indagine Ottobre 2010 Dati provenienti da 32 IDP: 29 in Federazione e 3 in Test Confronto.
Wireless Campus Dario Zucchini Associazione Dschola Scuola Digitale Piemonte.
Office365 Antonella Monducci Francesca Del Corso INFN - Bologna.
Dominio Windows ai LNF Frascati 17/02/2012 Tomaso Tonto Laboratori Nazionali di Frascati.
Lecce, 05 Maggio 2009 Links Management and Technology S.p.A. Portale Unisalento Corso di Formazione Lecce, 05 Maggio 2009.
Progressi AAI. Agenda Report da WorkingGroup e WorkShop GARR AAI Stato avanzamento lavori Lavori in corso To Do List.
REGIONE TOSCANA Regione Toscana ART
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Obiettivo del progetto.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA

Tema affrontato Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Riguarda: Riguarda: servizi web (siti dipartimentali, sistemi informativi, e-learning,…) servizi web (siti dipartimentali, sistemi informativi, e-learning,…) accesso a postazioni (windows e linux): aule didattiche, laboratori,… accesso a postazioni (windows e linux): aule didattiche, laboratori,…

Autenticazione e autorizzazione Ogni sistema informatico che dà accesso a risorse e servizi affronta due processi distinti: autenticazione: verifica dell’identità dell’utente autenticazione: verifica dell’identità dell’utente ciò che sa: password ciò che sa: password che ha: smart card che ha: smart card che è: scansione retinica che è: scansione retinica autorizzazione: concessione delle risorse in base all’identità di chi vi accede autorizzazione: concessione delle risorse in base all’identità di chi vi accede

Situazione attuale L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione

Situazione attuale: svantaggi Non consente l’integrazione tra sistemi Non consente l’integrazione tra sistemi Ogni amministratore deve: Ogni amministratore deve: registrare e amministrare gli (stessi) utenti registrare e amministrare gli (stessi) utenti rispettare le normative di legge rispettare le normative di legge Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”) Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”)

Soluzione attuale: escamotage Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: mail server mail server sistema informativo studenti (SIS) sistema informativo studenti (SIS) sistema informativo dipendenti (SIT) sistema informativo dipendenti (SIT) Approccio apparentemente elegante ma… Approccio apparentemente elegante ma…

Soluzione attuale: escamotage Problematiche tecniche e legali: Problematiche tecniche e legali: eventuali modifiche ai server del CCA comprometterebbero questi meccanismi eventuali modifiche ai server del CCA comprometterebbero questi meccanismi le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri

Alternativa: LDAP centralizzato Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Ripropone maggiorati i problemi descritti: Ripropone maggiorati i problemi descritti: quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione avvenimento molto grave in condizione di password unica avvenimento molto grave in condizione di password unica

Proposta: LDAP + SSO server Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows

Single Sign On Web: vantaggi Credenziali uniche Credenziali uniche Fornite solo una volta: SSO Fornite solo una volta: SSO Le applicazioni non conoscono le pwd Le applicazioni non conoscono le pwd Le applicazioni gestiscono solo la autorizzazione Le applicazioni gestiscono solo la autorizzazione

Single Sign On Web 1: richiesta risorsa web 1: richiesta risorsa web 2: redirect a SSO server 2: redirect a SSO server 3-4-5: autenticazione 3-4-5: autenticazione 6: redirect a web server 6: redirect a web server 7: richiesta risorsa 7: richiesta risorsa 8-9: verifica (PKI trust) 8-9: verifica (PKI trust) 10: concessione risorsa web 10: concessione risorsa web

Schema complessivo

Componenti SSO server: SSO server: autenticazione servizi web, richiede un backend LDAP autenticazione servizi web, richiede un backend LDAP “Virtual LDAP”, prende i dati da: “Virtual LDAP”, prende i dati da: RDBMS, LDAP, File, Web Services,… RDBMS, LDAP, File, Web Services,… Active Directory server: Active Directory server: autenticazione PC windows autenticazione PC windows Software di provisioning: Software di provisioning: sincronizza LDAP e Virtual Directory sincronizza LDAP e Virtual Directory

Scelte da effettuare vari standard e implementazioni possibili: vari standard e implementazioni possibili: Standard: OASIS SAML, Liberty Aliance ID-FF Standard: OASIS SAML, Liberty Aliance ID-FF Schema LDAP: inetOrgPerson, eduPerson, … Schema LDAP: inetOrgPerson, eduPerson, … Sw di Virtual Directory: Oracle, Symlabs,… Sw di Virtual Directory: Oracle, Symlabs,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw di provisioning LDAP Microsoft, Oracle, … Sw di provisioning LDAP Microsoft, Oracle, … Server di SSO: Shibboleth, CAS, … Server di SSO: Shibboleth, CAS, …

Server di SSO Varie soluzioni open-source e commerciali Varie soluzioni open-source e commerciali JA-SIG CAS JA-SIG CAS A-Select A-Select Bandit Project Bandit Project OpenID OpenID Cosign Cosign BMC Identity Management Suite BMC Identity Management Suite Oracle Enterprise Single Sign-On Suite Oracle Enterprise Single Sign-On Suite Symlabs Federated Identity Access Manager Symlabs Federated Identity Access Manager IBM Tivoli Federated Identity Manager IBM Tivoli Federated Identity Manager Shibboleth Shibboleth …

Server di SSO Requisiti: Requisiti: supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) vasto parco installato in produzione vasto parco installato in produzione supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università) supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università)

Shibboleth: caratteristiche Open-source Open-source Standard OASIS SAML Standard OASIS SAML Dispone di moduli per Dispone di moduli per Apache (1.3.x, 2.0 e 2.2) Apache (1.3.x, 2.0 e 2.2) Microsoft IIS (4, 5 e 6) Microsoft IIS (4, 5 e 6) Compatibilità legacy Compatibilità legacy CMS: Zope, Plone CMS: Zope, Plone Sistemi di archiviazione documentale: Dspace Sistemi di archiviazione documentale: Dspace Sistemi di learning: Moodle, eAcademy Sistemi di learning: Moodle, eAcademy Sistemi di mail: Horde Sistemi di mail: Horde Molto altro… Molto altro…

Shibboleth: federazioni in produzione Svizzera SWITCH AAI: 28 università ( utenti). Svizzera SWITCH AAI: 28 università ( utenti). Regno Unito The UK Federation: 87 università Regno Unito The UK Federation: 87 università Finlandia HAKA: 25 università Finlandia HAKA: 25 università USA: InCommon 41 università, 16 partner USA: InCommon 41 università, 16 partner Francia: CRU: 28 università Francia: CRU: 28 università Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),… Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),…

Shibboleth: progetti pilota Belgio K.U. Leuven Belgio K.U. Leuven Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” E in Italia? E in Italia? Il Garr ha organizzato due incontri e istituito un gruppo di lavoro per studiare la realizzazione di una Infrastruttura di Autenticazione e Autorizzazione (AAI) italiana. Il secondo incontro è stato incentrato su Shibboleth.

Link utili Shibboleth: shibboleth.internet2.edu/ Shibboleth: shibboleth.internet2.edu/ Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home SWITCH AAI: SWITCH AAI: DEMO di sito protetto: DEMO di sito protetto: The UK Federation: The UK Federation: USA InCommon: USA InCommon: CRU France: federation.cru.fr/cru/index-en.html CRU France: federation.cru.fr/cru/index-en.html Schema LDAP eduPerson: Schema LDAP eduPerson: eduperson-latest.html