Tecnologie di Sicurezza in Internet APPLICAZIONI Identity Management AA 2009-2010 Ingegneria Informatica e dell’Automazione.

Slides:



Advertisements
Presentazioni simili
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
Advertisements

Profilazione d’utente nei sistemi di e-commerce
CORSO DI SICUREZZA SU RETI II PROF. A. DE SANTIS ANNO 2006/07 Informatica granata Gruppo 2 ISP Gruppo 3 ISP.
EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità B1 Introduzione alle basi di dati.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Miglioramento della protezione dei dati mediante SQL Server 2005 Utilizzo della crittografia di SQL Server 2005 per agevolare la protezione dei dati Pubblicato:
Configuring Network Access
| | Microsoft Certificate Lifecycle Manager.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Java Enterprise Edition (JEE)
Confronto di sistemi per
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
Basi di Dati prof. A. Longheu
Organizzazione di una rete Windows 2003
Amministrazione di una rete con Active Directory.
Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
UNIVERSITÀ DEGLI STUDI DI BOLOGNA
Modello Relazionale Definisce tipi attraverso il costruttore relazione, che organizza i dati secondo record a struttura fissa, rappresentabili attraverso.
Distributed File System Service Dario Agostinone.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Guida IIS 6 A cura di Nicola Del Re.
Office 365 per professionisti e piccole imprese
Firenze 17 Giugno 2010 Sala Grazzini 9.30Registrazione e welcome coffee 9.45Benvenuto di S&NT Informatica 10.00Il nuovo Desktop Microsoft per la PMI Italiana:
Analisi (Analista) Progettazione (Progettista) Sviluppo o Traduzione (Sviluppatore) Documentazione.
Stefano Di Giovannantonio ECM Consulting Solution Expert
1 Modello di utilizzo n° 1 Login al sistema. 2 Accedere al sistema con autenticazione debole: PASSWORD ? PASSWORD scaduta ? La password è adeguata alle.
Connecting to Content in Context Ivo Nastasi Pre-Sales Support Manager Network Connectivity Solutions.
Fabrizio Grossi Verifica delle attività. L'operato degli amministratori di sistema deve essere oggetto, con cadenza almeno annuale, di un'attività
Server Web in una rete Windows Sommario Meccanismi di accesso remoto Meccanismi di accesso remoto Introduzione ai Server Web Introduzione ai Server.
Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF.
Il modello di riferimento OSI
Configurazione in ambiente Windows Ing. A. Stile – Ing. L. Marchesano – 1/23.
Servizi Grid ed agenti mobili : un ambiente di sviluppo e delivering
Gestione delle Identità Digitali: dall’Enterprise User Administration alla Federated Identity Catania, 22 Settembre 2006.
Un problema importante
Configurazione di una rete Windows
Analisi dei Requisiti (Requirements Engineering) Seminario RE Università degli Studi di Padova, 12 Gennaio 2004.
Struttura Complessa per la gestione dei Sistemi Informativi Aziendali e Progettazione Reti Informatiche LInformation Technology nel settore sanitario,
Architettura dei Servizi di Directory Università Cattolica del Sacro Cuore - Sede di Brescia - Facoltà di Scienze Matematiche Fisiche e Naturali Corso.
Protocolli e architetture per WIS. Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di.
Roma, 9 maggio 2005 Luca Nicoletti – Unità Disegno e progettazione Sistemi Access Management centralizzato per applicazioni WEB: l’esperienza del MEF.
INFN-AAI SAML 2.0 Dael Maselli Tutorial INFN-AAI Plus Dicembre 2010.
By: Powered by:. Tecnologia Microsoft La soluzione CCAnalyzer utilizza la tecnologia OLAP (On Line Analytical Processing) di Microsoft presente nel software.
Come applicare le disposizione del Garante per la Privacy utilizzando i prodotti Microsoft Fabrizio Grossi.
Relatore: Prof. Ing. Stefano SalsanoLaureando: Flaminio Antonucci.
Tecnologie di Sicurezza in Internet APPLICAZIONI FYI 8: The Site Security Handbook AA Ingegneria Informatica e dell’Automazione.
PiattaformePiattaformePiattaformePiattaforme Antonio Cisternino 28 Gennaio 2005 OpenSourceOpenSourceOpenSourceOpenSource e ProprietarieProprietarieProprietarieProprietarie.
Reti di calcolatori LS1 Service Middleware Reti di calcolatori LS progetto di Andrea Belardi Infrastruttura dedicata alla gestione di servizi disponibili.
Tecnologie di Sicurezza in Internet APPLICAZIONI AA Ingegneria Informatica e dell’Automazione programma.
 Primo livello: Field Management. A questo livello le informazioni sono relative ai dispositivi di campo  Secondo livello:
Ingegneria del software Modulo 3 -Tecniche d’implementazione Unità didattica 1 -Ingegneria dei componenti Ernesto Damiani Università degli Studi di Milano.
Alex Marchetti Infrastruttura di supporto per l’accesso a un disco remoto Presentazione del progetto di: Reti di calcolatori L-S.
Layered Grid Architecture. Application Fabric “Controlling elements locally”: Access to, & control of, resources Connectivity “Talking to Grid elements”:
Progettazione e realizzazione di un’applicazione J2EE Parte 2.
31 ottobre Security Assessment per Cassa Centrale Analisi delle modalità di deployment di server e di postazioni utente. Simulazione di consulente.
12 dicembre Analisi di sicurezza dell’applicazione SISS Security Assessment dell’applicativo e Reversing del client.
Le basi di dati.
Identity & Access Management 2004: acquisizioni e riposizionamenti In Italia e nel mondo Identity Management in Banca 10 settembre 2004 Alessandro Giacchino.
Sistemi distribuiti Sistema distribuito indica una tipologia di sistema informatico costituito da un insieme di processi interconnessi tra loro in cui.
Migrazione a Win2003 Server a cura del Prof. Arturo Folilela.
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.
Open City Platform: i primi risultati Riunione CCR, 16 settembre 2015 Luciano Gaido.
04/06/2016Francesco Serafini INDICO Corso Nazionale Novembre 2007.
Progetto WELL-FIR Manuale Utente del Web GIS Versione 0.1.
FatIn: Fatturazione Interventi Applicazione di facile utilizzo che permette la prenotazione, la gestione e la fatturazione di interventi e prestazioni.
Software Group – Tivoli Services © 2006 IBM Corporation Edison: progetto di Identity Management Obiettivo del progetto.
La gestione della rete e dei server. Lista delle attività  Organizzare la rete  Configurare i servizi di base  Creare gli utenti e i gruppi  Condividere.
Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 391/Ric.
Transcript della presentazione:

Tecnologie di Sicurezza in Internet APPLICAZIONI Identity Management AA Ingegneria Informatica e dell’Automazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/2 Identities Chiamiamo identity l'insieme di attributi che rappresentano una persona in un sistema informatico La definizione di una identity nell’intero sistema informatico o in uno specifico sistema equivale a una proiezione della persona nel sottospazio degli attributi rappresentabili nel sistema stesso Il sottinsieme di attributi che costituiscono la proiezione dell’identità in uno specifico sistema prende anche il nome di identità immagine

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/3 Identity Repositories Come già visto, le identità elettroniche sono contenute e gestite all’interno di Identity Repository Sono sistemi atti a contenere e rendere accessibili le identità immagine Possono inoltre fornire strumenti, API e protocolli per creare e cercare le identità, modificarne gli attributi e costruire relazioni

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/4 Identity Repositories Esempio: Sistemi "*nix“ I file /etc/passwd ed /etc/group e le utility per la gestione degli utenti costituiscono l'identity repository del sistema getpwent(), setpwent() Network Information Service Pluggable Authentication Modules

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/5 Identity Repositories Esempi: Sistemi Microsoft In NT esistono il SAM database e le relative utility di amministrazione, sia della security locale che di dominio. Windows 200x è basato invece su Active Directory SMB ADSI LDAP

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/6 Identity Repositories Esempi: Sistemi Novell Novell Directory Service è stata una delle prime directory disponibili per ambienti di rete PC X.500 NDS LDAP

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/7 Identity Repositories Esempio: Sistemi IBM Nei sistemi mainframe esiste RACF (Resource Access Control Facility), che controlla l'accesso a tutti i dati e i componenti del sistema con politiche di Mandatory Access Control LDAP

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/8 Identity Repositories Esiste un’altra classe di Identity Repository che non possiamo trascurare nell’ottica della gestione delle identità; potremmo definirla “repository di fatto” Tabelle “employee” nei database, sistemi gestionali, paghe, applicazioni MS Access ecc. Tabelle utente/password di applicazioni, fogli elettronici protetti, ZIP files o equivalenti vari Elenchi telefonici interni, database dei centralini, indirizzari ecc. Altri elenchi e anagrafiche, anche in formato cartaceo

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/9 Riconoscere i repository Non tutti gli esempi di repository di identità esposti precedentemente sono directory in senso proprio Tuttavia tutti questi sottosistemi sono accessibili e manutenibili in vari modi (p.es. anche solo manualmente) e contenengono informazioni relative a utenti di sistemi o applicazioni, ossia contengono identità immagine di persone che interagiscono con il sistema informatico

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/10 Riconoscere i repository Tutti sono identity repository NOS directory Human Resources foglio.xls ERP database Web directory

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/11 Riconoscere i repository Ma sono gestiti in modo consistente? NOS directory Human Resources foglio.xls ERP database Web directory ???

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/12 Identity Lifecycle active inactive attr. chg Creation Termination attr. chg

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/13 Identity Lifecycle Vari fattori concorrono a rendere onerosa la gestione consistente delle identity: numero dei sistemi diverse interfacce disponibili cambiamenti organizzazione delle relazioni diverse Entità partecipanti

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/14 Identity Lifecycle: requisiti di gestione Per ogni identità immagine e per ogni suo attributo occorre garantire … in tutti i sistemi e in ogni momento existence ownership context connectivity brokerage Vincoli:Funzionalità:

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/15 Existence Le identità non devono esistere necessariamente in tutti i sistemi, ma in quelli in cui l’utente reale è tenuto ad operare sì

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/16 Ownership Gli attributi che definiscono le identità possono esistere in più sistemi, ma devono essere modificati dalle Entità giuste al momento giusto Se necessario, le modifiche devono essere propagate nelle altre “immagini” dell'identità in modo consistente

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/17 Context Le definizioni degli attributi delle identità immagine devono essere le stesse in tutti gli ambienti Classico caso è invece mettere nella “descrizione” di un oggetto, che di solito è un campo libero è privo di significato, altre info, per esempio il numero di telefono. Questo porta rapidamente alla comparsa di informazioni inconsistenti nel sistema, in quanto dove l’informazione è gestita correttamente resterà aggiornata nel tempo, mentre il numero di telefono nella “descrizione” resterà sempre quello inserito inizialmente

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/18 Goal Rispettare i vincoli e le funzionalità… managed identity authentication provisioning authorization existence ownership context connectivity brokerage Governare l'accesso all'informazione …

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/19 Authentication Le persone accedono alle risorse sulla base della loro identity Il processo di verifica della identity, basata sulla disponibilità di credenziali, si chiama authentication user/password digital certificates one-time passwords, tokens, biometrics...

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/20 Provisioning Si chiama provisioning l'obiettivo di garantire la disponibilità delle risorse che occorrono per svolgere un compito All'utente autenticato viene cioè reso disponibile il sottinsieme di risorse giusto in quel particolare momento

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/21 Authorization Il processo che controlla gli accessi alle risorse da parte di una identity, si chiama authorization coarse-grained (statica, di provisioning) fine-grained (dinamica, di business)

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/22 Identity Management Sono stati fatti molti sforzi e vari tentativi per unificare gli identity repository. Si è però sempre osservato che: le applicazioni esistenti non si modificano facilmente è meglio mantenere le informazioni nei formati più appropriati vi sono vincoli politici e organizzativi che impediscono una completa unificazione Esiste dunque il problema di mantenere le immagini di una identity in posti differenti e di fare in modo che diversi identity repository funzionino insieme mantenendo consistenti le informazioni sulle identità immagine che contengono

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/23 Identity Management Connettività e brokering DAP, SQL, proprietary protocol + app + API propagare i cambiamenti e allineare i repository Aggregazione e correlazione consolidare più repository in uno mantenere legami di correlazione garantire il rispetto della ownership Gestione errori e replicazione integrità referenziale tra repository distribuire informazioni consistenti

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/24 Soluzioni Meta-Directory Multi-Directory Access Synchronization Connectors DAP Proxies Directory Consolidation Hub & Spokes

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/25 Meta Directory incapsula trasparentemente tutti i repository offre un'interfaccia opportuna alle applicazioni

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/26 Multi-Directory access ciascuna applicazione interagisce direttamente con i repository contenenti le identità immagine ad essa pertinenti

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/27 Synchronization Connectors le applicazioni accedono alle proprie directory le directory vengono sincronizzate dai connettori

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/28 DAP Proxies accesso alle directory con un'interfaccia comune protocollo di accesso standard (es. LDAP), con brokering module interfacciati con le varie directory

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/29 Directory Consolidation si modificano tutte le applicazioni in modo che usino lo stesso directory service

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/30 Hub & Spokes le applicazioni si classificano in legacy e non- ciascuna applicazione accede al rispettivo repository, catturando i cambiamenti e propagandoli ai repository che devono riflettere il cambiamento New applications brokering & rules engine hub-directory database ERP directory NOS database HR directory other

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/31 Risultati Per gli utenti facile accesso alle applicazioni (seamless login o SSO) stessa password per l'accesso ai sistemi Per la struttura IT sicurezza applicativa consistenza e controllo semplice realizzazione dell'authorization conformità ai requisiti di legge (es. DPS) Managed identity

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/32 Federated Identity Management Finora abbiamo fatto considerazioni che si applicano solamente al mondo B2E In scenari B2B o B2C, in cui la gestione delle identità include utenti esterni all'azienda, queste tecniche non sono sufficienti e occorre estenderle Le Aziende devono gestire le identità non solo dei loro impiegati, ma anche di Clienti, Fornitori e Partner Le relazioni tra queste identità e il proprio business vanno aggiornate di frequente

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/33 Federated Identity Management Di solito non è possibile delegare ad altri questa gestione per vari motivi a parte i mercati finanziari consumer, non vi sono Identity Providers con tale offerta vi sono rischi, di immagine e legali, per il non corretto uso delle informazioni personali associate alle identità esterne

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/34 Federated Identity Management La situazione attuale costringe gli utenti a ripetere un'autenticazione ad ogni accesso ad applicazioni esterne all'Azienda l'IT a gestire identità, frequentemente variabili nel tempo, che non sono sotto il controllo dell'Azienda Con la diffusione dei web services, la difficoltà diventa sempre maggiore

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/35 Federated Identity Management La tecnica di federated identity management consente agli utenti l'accesso trasparente ai siti e alle applicazioni che partecipano alla federazione, senza riautenticarsi Esiste un issuing party e un relying party Definisce come si effettua l'enrollment e l'identity linking Definisce come mappare gli attributi delle identità Definisce come gestire la privacy

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/36 Federated Identity Management

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/37 Risultati Per gli utenti Accesso trasparente alle applicazioni fornite dall'esterno Per la struttura IT Minori costi di gestione delle identità appartenenti a sistemi esterni managed federated identity

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/38 Applicazioni Come consentire agli utenti l'accesso trasparente a tutte le applicazioni web aziendali (nuove ed esistenti), senza riautenticarsi? Esistendo l’Identity Management, si può definire un Web/Application server principale autentica l’utente e gli permette il lancio delle applicazioni definire tutti i Web/Application server come secondari essi “ereditano” le credenziali dell’utente già autenticato progettare un meccanismo di sessioni federate che realizzi questo scambio di credenziali in modo trasparente all’utente e consenta ai web/appserver secondari di iniziare la propria sessione web senza chiedere all’utente un’autenticazione

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/39 Applicazioni Come realizzare autorizzazioni fine-grained riutilizzando basi dati e logica applicativa esistente? Web Services / URLs as auth calls il protocollo HTTP è disponibile dappertutto e ad esso ci si può appoggiare per effettuare chiamate a logica applicativa remota (anche senza necessariamente realizzare web services…) In applicazioni web e client-server le medesime tecniche risulteranno poi riutilizzabili per applicazioni tradizionali c-s e per applicazioni web

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/40 Applicazioni Fornire agli utenti un unico punto di gestione della password per tutti i sistemi Loosely integrated directories ciascuna directory rimane indipendente dalle altre e si sceglie di non realizzare integrazioni forti con l’installazione di un gestore di identità esterno (es. TIM) Web/Application server con gestione password si centralizza l’azione di cambio password nell’ambiente più facilmente accessibile e si diffondono le regole di gestione Architettura hub&spokes l’azione di cambio password può essere automaticamente propagata alle altre directory da automatismi realizzati con chiamate LDAP ad ogni directory esistente

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/41 Xxx Applicazioni Enterprise ACL Gestione automatica dei gruppi e tool per l’alimentazione - i gruppi vengono svuotati e ripopolati ogni volta - esempio per i filesystem (2 directory e 2 gruppi) - esempio per autorizzazioni applicative (1 uo con n gruppi)

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/42 Xxx Applicazioni Shibboleth: web SSO e IM federation

Tecnologie di Sicurezza in Internet: applicazioni – AA – A70/43 Riferimenti Active Directory Interoperability and Metadirectory Overview Microsoft Strategy White Paper Enterprise Identity Management Microsoft Strategy White Paper Microsoft metadirectory Services 2003 Overview Microsoft IBM Tivoli Identity Manager IBM Tivoli Buyer's Guide for Identity Management IBM Tivoli Strategic Implications of Network Identity Sun White Paper How to Implement Network Identity Sun White Paper Federated Identity Systems Aberdeen Group, Inc. What is Identity Management? Rutrell Yasin Towards Federated Identity Management Eric Norlin and Andre Durand

Feed-back: Privacy Policy Feed-back
Sul progetto: SlidePlayer Condizioni di utilizzo

© 2024 SlidePlayer.it Inc. All rights reserved.