IGI Portal Marco Bencivenni 23/06/ CNAF

Obiettivi Creazione di un portale general purpose per: – accedere alla grid per sottomissione di job esclusivamente via web – semplificare la richiesta e gestione dei certificati X.509 e della registrazione ad una VO – richiedere via web la creazione di un ambiente cloud I primi 2 rimangono gli obiettivi primari, ma il portale potrebbe essere un centro di aggregazione di altri servizi: – gestioni delle policy argus – accesso ai dati di accounting 23/06/11Workshop Portale IGI - Marco Bencivenni2

Requisiti Massima semplicità possibile per l’utente Portale opensource Portale modulare Utilizzo di un proprio certificato, per chi lo possiede – Se un utente appartiene già ad una VO tramite il portale deve poter specificare l’utilizzo di quella VO e ruolo. Utilizzo di un certificato emesso da una CA-online, per chi non ne possiede già uno, nel modo più trasparente possibile – Possibilità di richiedere appartenenza ad una VO Possibilità di gestire workflow Creazione di viste ad hoc per comunità di utenti Dare la possibilità a comunità con particolari requisiti di avere campi di configurazione ad hoc per la sottomissione del job Possibilità di personalizzazione del jdl 23/06/11Workshop Portale IGI - Marco Bencivenni3

Architettura L’utilizzo di Liferay come framework Utilizzo di portlet per l’implementazione dei servizi Sistema di autenticazione esterno al portale mediante IDP della federazione IDEM Gestione di certificati personali emessi da una ca-online in modo trasparente (o quasi) all’utente Uso di altri servizi grid già in essere: VOMS, MyProxy,HLR- mon… 23/06/11Workshop Portale IGI - Marco Bencivenni4

Job submissio n VOMS Myproxy server voms-proxy-init myproxy-init Cloud bridge portlet (WNoDEs) GRID Cloud Si Primo Login Modifica dati personali e aggiunta info Data managem ent Accountin g HLR Autenti cazione CA online IDP-IGI INFN-AAI IDP-n IDEM Portale Liferay

Autenticazione Il solo modo per accedere al portale è appartenere ad una federazione shibboleth riconosciuta. Al momento del login al portale l’utente potrà scegliere la propria federazione e quindi essere direzionato alla pagina di login di questa (ad esempio AAI per INFN). Ciascun IdP userà i propri metodi di autenticazione. IGI avrà un proprio IdP Shibboleth v.2 di cui potranno usufruire gli utenti che non hanno un account in un IDP IDEM (previa verifica dell’identità). 23/06/11Workshop Portale IGI - Marco Bencivenni6

Autenticazione: esempio 23/06/11Workshop Portale IGI - Marco Bencivenni7

Authentication workflow LiferayCasshib IDP Portale Authentication module for CAS CAS SP Shibboleth Apache Tomcat IDP shibboleth Apache Tomcat Tomcat LDAP + kerberos + X.509 IDP-n 23/06/11Workshop Portale IGI - Marco Bencivenni8 WAYF IDPs IDEM

Fase preliminare di accesso La prima volta che un utente accede al portale verranno registrate in un database una serie di informazioni legate all’utente. Le volte successive che l’utente accederà al portale sarà automaticamente riconosciuto e il portale interrogando il database prepara già quali sono le possibili opzioni del singolo utente. Questa fase è suddivisa in 4 step: – federazione di appartenenza, – inserimento dati personali, – caricamento/richiesta di un certificato e VO di appartenenza, – accettazione delle condizioni. In futuro l’utente potrà rivedere le info caricate e aggiungerne delle nuove dal pannello di gestione dati personali 23/06/11Workshop Portale IGI - Marco Bencivenni9

IDP Appartieni alla federazione IDEM? Sì No Verifica IDP selezionato Viene richiesto all’utente se appartiene già ad una federazione potendo scegliere da un menu. SI’  ridirezione alla pagina di login della federazione NO  Ridirezione ad una pagina con indicazioni sulla procedura per registrarsi all’IDP Raccolta dati personali Ridirezione ad una pagina di supporto 23/06/11Workshop Portale IGI - Marco Bencivenni10

Informazioni personali Nome Cognome Istituto Organizzazione Istituto ed Organizzazione possono essere utile nella raccolta di dati di accounting Altri campi, se ritenuti utili, potranno essere aggiunti in futuro. 23/06/11Workshop Portale IGI - Marco Bencivenni11

Certificato Possiedi un certificato x.509 valido per la grid? Sì No Caricalo sul portale CA online Quali VO? Chiedere appartenenza ad una VO VOMS All’utente viene chiesto se possiede un certificato x.509. SI’  l’utente dovrà caricare il certificato dal quale verrà creato un proxy della durata del certificato stesso e specificare l’appartenenza ad una VO. Le volte successive verrà recuperato il proxy per utilizzare le risorse grid. NO  Agli utenti che si presentano senza certificato gliene verrà fornito uno in modo trasparente e gli verrà chiesto di richiedere l’appartenenza ad una VO Successivamente sarà possibile richiedere di appartenere anche ad altre VO. 23/06/11Workshop Portale IGI - Marco Bencivenni12

Approvazione delle condizioni Accetto lo condizioni ec ecc Sì No Homepage non loggato Homepage loggato Se si richiede l’inserimento di dati personali occorre che il sistema sia conforme alle richieste del DLGS 196/2003 (Legge sulla Privacy). In futuro anche AUP della VO di cui si è chiesta l’appartenenza. 23/06/11Workshop Portale IGI - Marco Bencivenni13

Schema logico Primo Login Carica il certificato su My proxy Sì CA Online No Appartieni ad una federazione Hai un certificato? Quale? Sì Quali VO? Richedi VO No Sì Dati Personali VO? Accetta Condizioni 23/06/11Workshop Portale IGI - Marco Bencivenni14

Gestioni dati personali Sarà possibile una volta loggato aggiornare i propri dati personali: – Upload di altri certificati (uno sarà identificato come quello di default) – Specificare l’appartenenza ad una nuova VO – Specificare il ruolo e gruppo per ciascuna VO – Richiedere l’appartenenza ad una nuova VO 23/06/11Workshop Portale IGI - Marco Bencivenni15

IDP Quale IDP Username IDP Informazioni personali Nome Cognome Mail Istituto Organizzazione Informazioni salvate nel database Certificati DN CA online VOs Quali VO FQANs 23/06/11Workshop Portale IGI - Marco Bencivenni16

Schema DB 23/06/11Workshop Portale IGI - Marco Bencivenni17

Job submission WS-Pgrade – ( Tool open-source (Licenza Apache v.2) distribuito come una serie di portlet per liferay 6.x Possibilità di sottomissione ad un ambiente grid, cloud, cluster Compatibilità con gLite, UNICORE, ARC, Globus (EMI release in fase di test) Gestione di workflow con job di tipo sequential, MPI, parametrici Creazione di workflow specifici per applicazione e per gruppo di utenti Data management Monitoring e accounting system 23/06/11Workshop Portale IGI - Marco Bencivenni18

Cloud Portlet per permettere di definire le caratteristiche della macchina da istanziare via WNODES 2 possibili soluzioni – Interfaccia tra portale e web-application esterna – Integrazione della web-application nel portale 23/06/11Workshop Portale IGI - Marco Bencivenni19

Altri servizi Portlet per interfacciamento ad HLRmon Portlet per la gestione policy argus 23/06/11Workshop Portale IGI - Marco Bencivenni20

Attività concluseAttività in essereAttività future Interfacciamneto di liferay con diversi idp shibboleth Portlet di Primo login (Luglio) Portlet cloud (Ottobre) Installazione di un IDP shibbolth basato su LDAP+kerberos Portlet di modifica dati personali (Agosto) Portlet per interfacciamento ad HLR-mon CA-online SLCS di testModifica portlet di ws- pgrade (Settembre) Portlet per la gestione delle policy ARGUS Portlet di loginPortlet per la registrazione ad una nuova VO (Settembre) DB per la portlet di registrazione e modifica dati personali Discussione sulle policy per la richiesta di cert. da parte del portale (EUGridPMA) (Settembre) Integrazione di WS-Pgrade nel portale 23/06/11Workshop Portale IGI - Marco Bencivenni21

Persone che hanno collaborato Grid Operations – Marco Bencivenni – Paolo Veronesi – Giuseppe Misurelli – Luciano Gaido – Riccardo Brunetti – Diego Michelotto R&D – Francesco Giacomini – Andrea Ceccanti – Vincenzo Ciaschini WNoDeS – Davide Salomoni – Daniele Andreotti 23/06/11Workshop Portale IGI - Marco Bencivenni22