Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.

Slides:



Advertisements
Presentazioni simili
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
Advertisements

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
Gli specialisti degli eDocuments
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Laurea Magistrale in Informatica Reti 2 (2007/08)
Smart Card Distribution for EGovernment Identity Promotion: Problems and Solutions.
REGIONE PUGLIATECNOPOLIS CSATA Sustainable and Effective Entrepreneurship Development Scheme INTERREG IIIB – CADSES WORKSHOP LA PUGLIA DELLA COOPERAZIONE.
Java Enterprise Edition (JEE)
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Perché.Net e non più COM/DCOM ? Superamento dei problemi di COM: Richiede una infrastruttura "non semplice" da ogni applicazione (ad esempio Class Factory.
Proposta di integrazione e consolidamento delle risorse presenti nellinfrastruttura Grid dellItalia Meridionale (L. Merola, )
Parma, 20 marzo 2003 Francesco Schinaia Firma Digitale e strumenti di accesso ai servizi
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
Workshop CNAF – Bologna 8 Luglio 2011 FARO Accesso Web a risorse e servizi remoti in ambiente Grid/Cloud A. Rocchi, C. Sciò, G. Bracco, S. Migliori, F.
Modello Relazionale Definisce tipi attraverso il costruttore relazione, che organizza i dati secondo record a struttura fissa, rappresentabili attraverso.
Sicurezza in Windows NT Fabrizio Inguglia. Tratteremo: Struttura generale di Windows NT 4 Gestione delle politiche di sicurezza.
Contributo dell’Università degli Studi di Palermo e del CNR Sicilia
Guida IIS 6 A cura di Nicola Del Re.
Riservato Cisco 1 © 2010 Cisco e/o i relativi affiliati. Tutti i diritti sono riservati.
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.
I servizi di cooperazione applicativa ed accesso
Un problema importante
LO SPORTELLO UNICO DELL’ EDILIZIA
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
10 azioni per lo scheduling su Grid Uno scheduler per Grid deve selezionare le risorse in un ambiente dove non ha il controllo diretto delle risorse locali,
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
Misure di Sicurezza per gli Strumenti Elettronici Gianpiero Guerrieri Dirigente Analista Responsabile I.C.T.
Sistema pubblico di connettività Cooperazione Applicativa Cooperazione Applicativa Roberto Benzi 30 giugno 2005.
TW Asp - Active Server Pages Nicola Gessa. TW Nicola Gessa Introduzione n Con l’acronimo ASP (Active Server Pages) si identifica NON un linguaggio di.
1 Dott. Federico Del Freo a.d. Zucchetti Spa. 2 LA ZUCCHETTI Tra le maggiori realtà Italiane nel Software e nei servizi > 1700 dipendenti > 155 Ml € fatturato.
Requisiti Funzionali del Sistema Obiettivo: realizzare un ambiente distribuito nel quale tutti gli Enti Regionali possano interagire prescindendo dalle.
Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007 Autenticazione federata:
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
Servizi Internet Claudia Raibulet
Internetworking V anno. Le soluzioni cloud per la progettazione di infrastrutture di rete.
La conservazione dei documenti informatici delle pubbliche amministrazioni Agenzia per l’Italia Digitale Roma, 27 maggio 2015.
Il giornalista del futuro Soluzioni innovative per lavorare ovunque Grand Hotel De La Minerve Roma, 30 settembre 2004.
La conservazione dei documenti informatici delle pubbliche amministrazioni Enrica Massella Ducci Teri Roma, 27 maggio 2015.
PHP.  HTML (Hyper Text Markup Language)  CSS (Cascading Style Sheets)  Javascript (linguaggio di programmazione client)  PHP ( Hypertext Preprocessor.
1 Prof. Stefano Bistarelli Dipartimento di Scienze e-government: oggi.
Information Copyright © InfoCert InfoCert S.p.A. 1 Infrastruttura open per la sanità digitale Ambienti Digitali – Digital Identity Trapani 11 settembre.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Architetture software
Sistemi distribuiti Sistema distribuito indica una tipologia di sistema informatico costituito da un insieme di processi interconnessi tra loro in cui.
PPT- Postecert PEC – 05/2009 Postecert Posta Elettronica Certificata.
Università degli Studi di Torino16 Maggio YouBlog: quali sfide occorre affrontare per proporre un servizio interfederato Napoli – 16 Maggio 2012.
I nnovazione al servizio dei C omuni e degli E nti L ocali A NCITEL.
“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, Istituto.
OpenAM & OpenIG 30 settembre 2015.
Alessandro Tugnoli / Silvana Mangiaracina Secondo Convegno IDEM 9-10 Marzo Secondo Convegno IDEM 9-10 Marzo 2010 Autenticazione federata per NILDE,
CIVIS canale telematico per l’assistenza sulle comunicazioni di irregolarità, sulle cartelle di pagamento e la presentazione documenti (36/ter)
La Carta Regionale dei Servizi e i suoi molteplici usi, dalla Sanità ai Servizi degli Enti Locali.
Un'infrastruttura per il Paese: il progetto SUNFISH Francesco Paolo Schiavo Luca Nicoletti Sede Sogei Roma, 5 Aprile 2016 C.
Office365 Antonella Monducci Francesca Del Corso INFN - Bologna.
Open City Platform è un progetto finanziato da Application Store Tutorial 30/09/2015.
XzelCloud Cloud Advanced Services on large-scale Federated Infrastructures Call ICT-7 (23 Apr ‘14) Marco Verlato (INFN-PD)
Workshop della Commissione Calcolo e Reti 28 Maggio 2013 Federazione di risorse Cloud con CLEVER 1.
Open City Platform: i primi risultati Riunione CCR, 16 settembre 2015 Luciano Gaido.
Open City Platform: stato del progetto Workshop CCR, Trento, 17 marzo 2016 Luciano Gaido.
1 OR 6 – C ITIZEN ’ S M ARKETPLACE Progetto “Open City Platform” Bando MIUR Smart Cities and Communities and Social Innovation Mauro Coletta, Maggioli.
Progetto WELL-FIR Manuale Utente del Web GIS Versione 0.1.
WS INFN-CCR GARR, Napoli, Federazioni di identità per supportare le esigenze della ricerca.
LaBiodoloa Attività di sperimentazione RECAS - Catania G. Andronico
INFN-AAI architettura del sistema e strategia di implementazione Enrico M.V. Fasanelli INFN - sezione di Lecce Riunione comitato di revisione progetto.
INFN-AAI Autenticazione e Autorizzazione Dael Maselli Tutorial INFN-AAI Plus Marzo 2012.
Studio di metodologie e sviluppo di MiddleWare per interoperabilità
Bando MIUR Smart Cities and Communities and Social Innovation
OCP: AA nel capitolato.
Dael Maselli Tutorial INFN-AAI
Transcript della presentazione:

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric. del 5 luglio 2012 Open City Platform

AAI: Il problema che OCP ha affrontato ● Le PA hanno come riferimento dei Data Center eterogenei che usano sistemi di identificazione, autorizzazione e controllo degli accessi ai servizi diversi ● L’accesso a servizi offerti dalle PA in domini amministrativi diversi e ancora di più la collaborazione tra servizi di domini amministrativi diversi può avvenire solo per mezzo di un framework di sicurezza AAI comune e condiviso ● Anche se SPID ha finalmente reso disponibile un’unica tecnologia per l’autenticazione a livello nazionale, non esiste però ancora una soluzione unica per la gestione delle autorizzazioni in Data Center e servizi distribuiti in modo dinamico e sicuro ● Anche il semplice accesso da parte di un utente generico SPID ai servizi offerti da PA diverse oggi è problematico 2

La soluzione: il framework di sicurezza di OCP Architettura Service Oriented, risultato di uno sviluppo che consiste di questi elementi fondamentali: Autenticazione Federata (SPID) Autorizzazione (XACML3) Interoperabilità (Policy Decision as a Service, Policy Administration as a Service) Delega di credenziali (OAuth2) 3

Il Framework di sicurezza di OCP Attribute Authority Access Manager Utente Framework autorizzativo IdP SPID Registro AgID Risorsa protetta 1 - Richiesta accesso 2 - Ricerca IdP 3 - Avvio SSO 4 - Autenticazione 5 - Notifica autenticazione 6 - Ricerca AA 7 - Recupero attributi utente 8 - Valutazione policy 9 - Notifica accesso 10 - Accesso 4

Tecnologie utilizzate (I) Attribute Authority: Compatibile con quanto riportato nella sezione “Regole tecniche per il gestore di attributi qualificati” della specifica SPID Accesso via TLS 1.2, autorizzazione modulare: implementazione proposta basata su standard XACML Gestione di utenti, gruppi ed attributi via web API (standard SCIM 1.1) E' l'evoluzione del prodotto VOMS, adottato in ambito grid a livello europeo Framework autorizzativo: i Servizi PDP e PAP di OpenAM sono basati sullo standard “eXtensible Access Control Markup Language v.3.0” di OpenAM I servizi PDP e PAP as a Service forniscono una interfaccia standard di richiesta servizio, verificano l’asserzione di autenticazione (attualmente SAML) dell’issuer e le caratteristiche della richiesta, trasformano la richiesta nel formato (proprietario) previsto da OpenAM, utilizzando le API che mette a disposizione. 5

Tecnologie utilizzate (II) Access Manager: L’ Access Manager di OCP per le web application è basata su OpenAM ed OpenIG OpenAM agisce da centro di riferimento per: Gestione del SSO via SPID Aggregazione di attributi Gestione dell’autorizzazione OpenIG è la barriera d’ingresso (reverse proxy) che protegge la web application L’implementazione ha impatto minimo sullo sviluppo di una web application ed è completamente indipendente dal linguaggio e dalla tecnologia usata 6

Scenari supportati Il Framework di sicurezza di OCP soddisfa le esigenze dei seguenti scenari, con diversi domini di autenticazione: Scenario Locale Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti nello stesso dominio di autenticazione Scenario Federazione di Access Manager Il servizio erogato dalla PA & la risorsa protetta sono in un dominio autenticazione MA l’utente è gestito in altro dominio Scenario Federato & Geograficamente distribuito Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti in domini autenticazione geograficamente distribuiti 7

Scenario locale 1.L’utente chiede l’accesso alla risorsa protetta tramite browser 2.La richiesta viene intercettata da OCP Access Manager che avvia il processo di verifica dell’identità attivando i servizi di accesso all’Identity Provider SPID indicato dall’utente 3.OCP Access Manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.OCP Access Manager verifica sulla base dell’asserzione e degli attributi, il profilo autorizzativo dell’utente ed effettua l’enforcement verso la risorsa protetta Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti nello stesso dominio Dominio Cloud OCP AM Risorsa protetta IdP SPID OCP AA Altre AA

Scenario federato e geograficamente distribuito 1.L’utente chiede l’accesso alla risorsa protetta tramite il browser 2.La richiesta viene intercettata da un access manager facente parte di un altro dominio; access manager avvia il processo di verifica dell’identità accedendo all’Identity Provider SPID indicato dall’utente 3.access manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.access manager costruisce un’asserzione di autenticazione arricchita degli attributi dell’utente e la invia al servizio OCP PDP (es asserzione SAML) 5.Il servizio OCP PDP consuma l’asserzione, richiede una policy decision al PDP OCP Access Manager e riceve da questi una policy response 6.Il servizio OCP PDP trasmette all’access manager la policy response 7.I’access manager applica l’enforcement verso la risorsa protetta in base alla policy response ottenuta Il servizio erogato dalla PA, la risorsa protetta & l’utente sono gestiti in domini geograficamente distribuiti Dominio Cloud OCP Servizio PDP Risorsa protetta IdP SPID OCP AA Altre AA Access manager OCP AM PDP

Delega di credenziali & composizione di servizi La delega di credenziali è un requisito trasversale a tutti gli scenari supportati dal framework di sicurezza di OCP Il requisito che deve soddisfare è quello di una richiesta che per essere eseguita necessita a sua volta una composizione di servizi che devono operare a nome del richiedente iniziale Servizi in cascata che agiscono a nome dello stesso utente Lo sviluppo della delega di credenziali sta avvenendo in collaborazione con il progetto europeo INDIGO-Datacloud ed ha come tecnologia di riferimento OAuth2 Sono al vaglio diversi modelli: Cross client tokens, Macaroons, OAuth token exchange 10

Scenario federazione di Access Manager 1.L’utente chiede l’accesso alla risorsa protetta tramite il browser 2.La richiesta viene intercettata da un access manager facente parte di un altro dominio; l’access manager avvia il processo di verifica della identità accedendo all’IdP SPID indicato dall’utente 3.l’access manager arricchisce l’asserzione di identità interrogando l’attribute authority di OCP o di terze parti 4.l’access manager trasferisce l’identità dell’utente e relativi attributi all’OCP Access Manager (es. costruisce un’asserzione SAML) 5.OCP Access Manager applica l’enforcement verso la risorsa protetta Il servizio erogato dalla PA & la risorsa protetta sono in un dominio MA l’utente è gestito in altro dominio Dominio Cloud OCP AM Risorsa protetta IdP SPID OCP AA Altre AA Access Manager

Servizio di Policy Decision 11