Roma Relatore Luca Nicoletti 22/05/2007 Access Management centralizzato per le applicazioni Web Lesperienza del MEF

1 Agenda Introduzione Lo scenario iniziale Le fasi del progetto Lo stato dellarte Evoluzioni future Q&A Introduzione Lo scenario iniziale Le fasi del progetto Lo stato dellarte Evoluzioni future Q&A

2 Consip è una società per azioni creata nel 1997 dal Ministero del Tesoro (oggi Ministero dellEconomia e delle Finanze, MEF), che ne è azionista unico. La sua missione è quella di fornire servizi di consulenza e di assistenza progettuale, organizzativa, tecnologica per linnovazione del MEF e delle altre strutture della Pubblica Amministrazione. La vision aziendale, A fianco della PA che cambia, racchiude lessenza del compito svolto dallAzienda: Consip è un partner al servizio della Pubblica Amministrazione italiana e la accompagna nel suo cammino verso la modernizzazione, contribuendo a migliorare il rapporto tra PA, cittadini e imprese. Profilo aziendale

3 Attività Due sono le aree di attività Consip: gestione e sviluppo dei servizi informatici per il MEF (area Economia e Corte dei conti), attraverso unattività di consulenza tecnica, organizzativa e progettuale, che investe i sistemi informativi del Ministero e le attività in materia finanziaria e contabile (lottimizzazione dei processi, lintroduzione di tecnologie più moderne nella gestione, la razionalizzazione e il coordinamento della spesa per lInformation Technology). realizzazione del Programma di razionalizzazione della spesa pubblica per beni e servizi, che si basa sullutilizzo di tecnologie informatiche e di modalità innovative per gli acquisti delle amministrazioni (convenzioni per lacquisto di beni e servizi, le gare telematiche, il Mercato Elettronico della Pubblica Amministrazione – MEPA - e i progetti speciali e di consulenza specifica alle amministrazioni).

4 Metodo Consip offre servizi di consulenza e progettazione. LAzienda si occupa dellideazione strategica dei progetti, avendo maturato competenze di alto livello sullorganizzazione, i processi e i sistemi informativi della PA. Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le soluzioni più idonee alle esigenze delle PA. Consip è dunque anche amministrazione aggiudicatrice che definisce, realizza e aggiudica gare dappalto per conto delle amministrazioni. Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più della metà sono impegnate nelle attività di supporto allevoluzione informatica del MEF e un terzo nel Programma di razionalizzazione della spesa per beni e servizi delle PA. Letà media è inferiore ai 40 anni. Tutta lazione di Consip si basa sui valori dellinnovazione, della trasparenza, della competenza e della concorrenza.

5 Scenario iniziale ed esigenze Nel 2000 non esistevano repository utente centralizzati; Le applicazioni avevano solo utenti interni al MEF; Poche applicazioni Web based; Ambiente tecnologico estremamente eterogeneo. Esigenze primarie: –Repository unico; –SSO per applicazioni Web, Cross piattaforma; –Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione). Nel 2000 non esistevano repository utente centralizzati; Le applicazioni avevano solo utenti interni al MEF; Poche applicazioni Web based; Ambiente tecnologico estremamente eterogeneo. Esigenze primarie: –Repository unico; –SSO per applicazioni Web, Cross piattaforma; –Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione).

6 Gli Input al progetto Diverse applicazioni ERP esistenti; Prodotto aperto, facilmente sostituibile, no lock- in; Software selection su prodotti di SSO: Oracle. Benefici Attesi: –Ottimizzazione di risorse esistenti; –Tempi di implementazione molto veloci; –Prodotto flessibile. Diverse applicazioni ERP esistenti; Prodotto aperto, facilmente sostituibile, no lock- in; Software selection su prodotti di SSO: Oracle. Benefici Attesi: –Ottimizzazione di risorse esistenti; –Tempi di implementazione molto veloci; –Prodotto flessibile.

7 Fasi del progetto Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni; Fase2:Migrazione su repository LDAP; Fase3:Integrazione con autenticazione di dominio Microsoft (Transparent login); Fase4:Profilazione basata su oggetti ed attributi dellLDAP; Fase5:Autenticazione multilivello; Fase6:Nuova Infrastruttura Hardware. Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni; Fase2:Migrazione su repository LDAP; Fase3:Integrazione con autenticazione di dominio Microsoft (Transparent login); Fase4:Profilazione basata su oggetti ed attributi dellLDAP; Fase5:Autenticazione multilivello; Fase6:Nuova Infrastruttura Hardware.

8 Fase 1 (2001) Definizione Modello degli accessi basato su paradigma RBAC (Role Based Access Control); Introduzione della gestione della profilazione applicativa basata sui gruppi; Introduzione meccanismi di accesso per utenti esterni; Centralizzazione utenti e gruppi di profilazione su tabelle Oracle. Risultati e benefici: –Tutte le principali nuove applicazioni Web del MEF in SSO; –Amministrazione/gestione delle utenze centralizzata; –Gestione della sicurezza delegata dalle applicazioni allAccess Manager, quindi per tutte allineata su standard elevati.

9 Fase 2 (2003) Introduzione server LDAP per il repository utente; Risultati e benefici: –Piattaforma aperta, standard di mercato; –Apertura verso soluzioni basate su prodotti proprietari. Introduzione server LDAP per il repository utente; Risultati e benefici: –Piattaforma aperta, standard di mercato; –Apertura verso soluzioni basate su prodotti proprietari.

10 Fase 3 (2004) Integrazione con lautenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti); Risultati e benefici: –Lutente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate allSSO. Integrazione con lautenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti); Risultati e benefici: –Lutente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate allSSO.

11 Fase 4 (2005) Introduzione della profilazione basata su classi di oggetti LDAP; Sviluppo Applicazione di gestione. Risultati e benefici: –Superamento dei limiti di profilazione tramite gruppi; –Maggiore flessibilità; –Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi. Introduzione della profilazione basata su classi di oggetti LDAP; Sviluppo Applicazione di gestione. Risultati e benefici: –Superamento dei limiti di profilazione tramite gruppi; –Maggiore flessibilità; –Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi.

12 Fase 5 (2005) Introduzione meccanismi di autenticazione multilivello Risultati e benefici: –Possibilità di autenticarsi tramite smart card e certificato digitale; –Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. one-time-password, etc.); –Maggiore flessibilità nel disegno delle applicazioni. Introduzione meccanismi di autenticazione multilivello Risultati e benefici: –Possibilità di autenticarsi tramite smart card e certificato digitale; –Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. one-time-password, etc.); –Maggiore flessibilità nel disegno delle applicazioni.

13 Fase 6 (2007) Nuova Infrastruttura Hardware

14 Qualche numero 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java,.NET, FileNet, Business Object, etc.); Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute; LDAP con 6 rami e utenti, destinati a raddoppiare entro 12/2007; operazioni di login al mese (3.000 tramite Smart Card e certificato digitale); utenti distinti al mese. 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java,.NET, FileNet, Business Object, etc.); Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute; LDAP con 6 rami e utenti, destinati a raddoppiare entro 12/2007; operazioni di login al mese (3.000 tramite Smart Card e certificato digitale); utenti distinti al mese.

15 I passi futuri Introduzione verifica CRL su OCSP Risultati e benefici: –Elimina la necessità di scaricare e analizzare le liste di revoca; –Provvede ad un migliore utilizzo della banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL; –La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore. Introduzione verifica CRL su OCSP Risultati e benefici: –Elimina la necessità di scaricare e analizzare le liste di revoca; –Provvede ad un migliore utilizzo della banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL; –La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.

16 I passi futuri Identity Federation

17 I passi futuri Introduzione Identity management. Risultati e benefici: –Minori oneri gestionali grazie a funzionalità di Provisioning; –Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc); –Meta repository centralizzato. Introduzione Identity management. Risultati e benefici: –Minori oneri gestionali grazie a funzionalità di Provisioning; –Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc); –Meta repository centralizzato.

18 Q&A