La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 14-17 Dicembre 2010.

PubblicatoRosalia Nicolosi Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 14-17 Dicembre 2010."— Transcript della presentazione:

1 Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 14-17 Dicembre 2010

2 Architettura Hardware: IAM GODiVA Due DB server Oracle in configurazione RAC (in questo momento, in realtà il tutto si basa su un unico DB server in una macchina virtuale) Due Application Server su cluster di Apache Tomcat su due macchine virtuali (il numero di nodi del cluster può aumentare a piacere per soddisfare le esigenze dei Job) Load-Balancer (effettuato dal router Cisco) Tutto @LNF CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus2

3 Architettura Hardware: AAI LDAP Tre 389-DS master server (2@LNF e 1@CNAF) su macchine virtuali Due 389 slave server (ds1.infn.it @ LNF e ds2.infn.it @ CNAF) entrambi raggiungibili come ds.infn.it Kerberos5 Due slaveKDC-containers (1@LNF e 1@CNAF) pronti per ricevere i DB di autenticazione dei vari REALM CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus3

4 Architettura di GODiVA

5 Il flusso dei dati: Anagrafica dei Dipendenti Il DataBase autoritativo per le anagrafiche dei Dipendenti (in senso lato) è quello della Direzione degli Affari del Personale (adesso diretta da Eleonora Bovo) dell’Amministrazione Centrale. È (ad oggi) il modulo HR di una installazione delle Oracle Enterprise Businnes Suite (Oracle Application) della Direzione Affari del Personale che è la base dati utilizzata dallo stipendiale (SIPERT) Ad oggi, questi dati popolano la parte Dipendenti del modulo HR del Sistema Informativo Ad oggi, i dati che vengono copiati in GODiVA provengono dal Sistema Informativo. CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus5

6 GODiVA Blocks OU=People,DC=INFN,DC=IT CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus6

7 Il flusso dei dati Anagrafica dei Dipendenti Da notare che ci sono due sincronie dal momento in cui una Identità viene inserita nell’HR del “payroll” a quando tale anagrafica è disponibile in GODiVA-DB C’è un ritardo (ma non è poi un guaio così grave) C’è sempre una “serie di operazioni” che vengono eseguite in HR del Sistema Informativo prima che tali dati vengano resi disponibili a GODiVA-DB I soli dati anagrafici dei Dipendenti sono, per GODiVA, in sola lettura (una qualunque modifica verrebbe resettata dalla successiva sincronia) CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus7

8 GODiVA o GOVA? GODiVA ha accesso read-only solo ai dati anagrafici ed amministrativi (essenzialmente quelli legati ai contratti) dei Dipendenti. Usa tali dati per le gestioni dei ruoli, dei permessi, ecc. che poi scrive anche nel Directory Server di INFN-AAI Gestisce l’assegnazione di un UUID per ogni Identità (anche per i Dipendenti) Gestisce il provisioning di default (NetworkAccess) CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus8

9 Il flusso dei dati: Anagrafica degli Associati Il workflow informatizzato relativo alle associazioni è di gestito dal Servizio Coordinamento Banche Dati e Ricerca (DataWeb) Fino alla scorsa estate, DataWeb utilizzava esclusivamente un proprio DB MySQL Dal 19 Agosto 2010, la parte dei dati anagrafici degli Associati è stata portata in GODiVA-DB (l’accesso è garantito via GODiVA-API) I dati anagrafici relativi agli Associati vengono poi forniti al Sistema Informativo attraverso una sincronia periodica CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus9

10 GODiVA Blocks OU=People,DC=INFN,DC=IT CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus10

11 La logica di GODiVA-Engine GODiVA svolge il suo lavoro trattando con: Dominio Identità RuoloAnagrafica Servizio CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus11

12 Dominio I domini sono nodi all’interno di strutture ad albero suddivise alla radice per tipologie. Istituzioni Organigramma Gruppi Scientifici Conferenze CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus12

13 Identità Le identità sono definite dalle informazioni anagrafiche di un individuo. Includono dati complessi come ad esempio una scansione di un documento di riconoscimento o il certificato X.509 Per ogni identità è possibile definire infiniti dettagli ed associarli anche a domini differenti CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus13

14 RuoloAnagrafica In GODiVA i RuoliAnagrafica definiscono la relazione tra: Identità Dominio Range temporale di validità Ruolo (qualifica definita per la tipologia dell’albero a cui il nodo di Dominio appartiene) CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus14

15 Servizio La creazione di un servizio avviene relativamente ad un dominio. Questa serve a definire quali attributi e la relativa posizione dove devono essere materializzati sul server LDAP. I servizi sono definiti nel modo seguente: Descrizione Dominio di materializzazione Attributo per abilitazione all'uso del servizio Lista objectclass Lista entitlement CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus15

16 Provisioning Una volta che il servizio è definito, è necessario effettuare l’operazione di provisioning che consiste nel valorizzare l’insieme di attributi necessari al suo utilizzo. Il provisioning di un servizio può essere associato All’Identità Al Dominio Al Ruolo Al Ruolo all’interno di un solo Dominio CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus16

17 Provisioning all’Identità È un caso molto particolare di assegnazione di un servizio (normalmente si accede ad un servizio in quanto si ricopre un determinato ruolo) In questo caso si specifica una istanza che conterrà anche i limiti temporali di validità del provisioning stesso Es. posso abilitare Claudio Bisegni all’utilizzo di GODiVA CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus17

18 Provisioning al Dominio Operazione che descrive un servizio per un determinato Dominio. Il servizio cosi descritto verrà ereditato da tutte le identità che hanno un qualsiasi Ruolo per uno specifico dominio, per tutta la durata descritta nel relativo RuoloAnagrafica. Es. posso abilitare all’uso del tornello posto vicino all’edificio Alte Energie, tutte le Identità che sono legate ai LNF CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus18

19 Provisioning al Ruolo Operazione che descrive un servizio per un determinato Ruolo. Il servizio cosi descritto verrà ereditato da tutte le identità che hanno uno specifico Ruolo per un qualsiasi dominio, per tutta la durata descritta nel relativo RuoloAnagrafica Es. posso abilitare l’accesso alla rete wireless via 802.1x a tutti i Dipendenti ed Associati CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus19

20 Provisioning al Ruolo@Dominio Operazione che descrive un servizio per un determinato Ruolo su un determinato Dominio. Il servizio cosi descritto verrà ereditato da tutte le identità che hanno uno specifico Ruolo per uno specifico Dominio, per tutta la durata descritta nel relativo RuoloAnagrafica. Es. posso abilitare l’uso del parcheggio di Roma2 ai soli Dipendenti di Roma2 CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus20

21 De-Provisioning I servizi il cui provisioning è assegnato all’Identità, vengono rimossi in modo automatico dalla lista di servizi a cui l’utente può accedere, solo se associati ad una istanza con definita validità temporale (alla scadenza della validità). Es. un direttore può permettere ad un dipendente di accedere temporaneamente (magari in sostituzione del titolare) ad un servizio che normalmente è assegnato ad un ruolo, senza assegnare il ruolo (perché magari la cosa richiederebbe una modifica dell’organigramma e quindi una delibera del Direttivo) o prima che il ruolo venga ufficializzato. CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus21

22 De-Provisioning Nei casi di servizi il cui provisioning è collegato al Ruolo (o Dominio o Ruolo@Dominio) nel momento in cui una Identità non è più associata a tale Ruolo (o Dominio o Ruolo@Dominio) perde anche il diritto di accedere al servizio. Ad ogni variazione di questo tipo, GODiVA ricalcola la lista dei servizi a cui l’utente ha diritto di accedere, in base ai Ruoli che egli ricopre. CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus22

23 La gestione dei privilegi di accesso (IAM) La gestione delle autorizzazioni è capillare e multi- dominio. Es. un ufficio di segreteria di una sede X che svolge anche funzioni di segreteria per, ad esempio, una Commissione Nazionale, potrà avere accesso completo a tutti i dati relativi alle persone della sede X, ma solo alcuni dati (in questo caso solo ai dati relativi alla Commissione Nazionale in considerazione) di alcune persone (delle sole persone che afferiscono a tale Commissione Nazionale) appartenenti a tutte le altre sedi. CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus23

24 GODiVA & INFN-AAI GODiVA è da un lato, l’applicazione che serve per gestire le Identità, i ruoli e le autorizzazioni e registra questi dati nel Directory Server di INFN-AAI la prima applicazione INFN-AAI compliant, nel senso che usa direttamente le informazioni presenti in INFN-AAI per i processi di Autenticazione ed Autorizzazione CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus24

25 Entitlements Gli Entitlements sono i diritti che l’utente ha nei riguardi dell’azione che si vuole compiere. Sono informazioni che devono essere lette un numero elevato di volte (ogni volta che l’applicazione dovrà effettuare una operazione per conto dell’utente) e che non cambiano di frequente. Il supporto migliore per memorizzarle è quindi una Directory Il formato deve identificare in modo univoco l’azione all’interno dell’applicazione, eventualmente limitata ad un dominio CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus25

26 eduPersonEntitlement (ePE) eduPersonEntitlement è un attributo multi-valore della objectClass eduPerson I valori sono in formato URN (Uniform Resource Name) che hanno un formato del tipo urn:mace:infn.it: dove è una “Namespace Specific String” come definita nell’RFC2141, non case sensitive. Es. diritto di modifica del numero telefonico urn:mace:infn.it:IAM:gestioneAnagrafica:modifica:num eroTelefono CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus26

27 Provisioning & Entitlement Il provisioning di una applicazione, ossia l’assegnazione del diritto di utilizzo dell’applicazione stessa, avviene definendo un opportuno valore dell’attributo schacUserStatus (schac sta per SCHema for ACcademia ed è uno schema definito da una Task-Force di TERENA) urn:mace:terena.org:schac:UserStatus:it:infn.it:{Applic azione}:enable CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus27

28 Architettura di INFN-AAI

29 Architettura del Directory Server La struttura ideale per il Directory Information Tree è, come oramai riconosciuto ed affermato da tutti gli esperti, di tipo “basso e grosso” (e non più “alto e magro” come si consigliava una ventina d’anni fa) La “posizione” di una entità all’interno della struttura organizzativa non viene definita dal suo DN, ma dal valore di attributi specifici DN:UID=enrico,OU=People,DC=LE,DC=INFN,DC=IT DN:UID=enrico,DC=INFN,DC=IT L: LE CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus29

30 Gestione del pre-installato “Dio ci ha messo 7 giorni per creare il mondo perché non doveva gestire il pre-installato” Riportare tutte le strutture dell’INFN all’interno di un albero “basso e grosso” è una impresa che va oltre le possibilità di INFN-AAI (basti pensare alla gestione delle omonimie…) CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus30

31 INFN-AAI DIT Sovrapposizione dei due modelli Ramo nazionale e rami locali CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus31

32 Directory e Relazioni Una Directory è un Data Base ad albero. Non è possibile definire, usando i normali sistemi di gestione delle Directory, nessuna relazione tra le entry Per INFN-AAI è invece essenziale poter mettere in relazione le entry relative al “pre-installato” che sono all’interno dei rami locali, con le corrispondenti entry relative alle identità, che vivono nel ramo nazionale CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus32

33 GODiVA-Engine Quando viene inserita una Identità nel GODiVA-DB, GODiVA-Engine genera una UUID e la assegna in modo permanente a tale Identità valorizzando l’attributo infnUUID La corrispondente entry nel ramo nazionale della Directory ha come RDN tale UUID (le entry sono opache) dn:infnUUID=f8d35e28-2532-43c8-989c- 3faa58f5cba4,ou=People,dc=infn,dc=it Nel momento in cui in un ramo locale “compare” una entry legata a tale Identità, GODiVA valorizza l’attributo infnLinkedUUID mettendoci il valore di infnUUID CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus33

34 L’importanza del Codice Fiscale Entry nel ramo nazionale dn:infnUUID=f8d35e28-2532-43c8- 989c- 3faa58f5cba4,ou=People,dc=infn,dc=it uid: enrico infnUUID:f8d35e28-2532-43c8-989c- 3faa58f5cba4 infnLinkedUUID:f8d35e28-2532-43c8- 989c-3faa58f5cba4 sn:Fasanelli givenName:Enrico Maria schacPersonalUniqueID:urn:mace:teren a.org:schac:personalUniqueID:it:CF:FS NNCM61R19B619J l: LE Entry nel ramo locale dn:infnUUID=020f41f5-913a-425f-bb91- aaea40739ff7,ou=People,dc=le,dc=infn,dc =it infnLinkedUUID:f8d35e28-2532-43c8- 989c-3faa58f5cba4 infnUUID: 020f41f5-913a-425f-bb91- aaea40739ff7 schacPersonalUniqueID:urn:mace:terena. org:schac:personalUniqueID:it:CF:FSNNC M61R19B619J uid: enrico cn: Enrico M V Fasanelli givenName: Enrico M V sn: Fasanelli CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus34

35 Tutto passa da GODiVA La necessità di tenere sincronizzate le entry nazionali con le corrispondenti entry locali obbliga a passare da un sistema che tenga memoria di queste relazioni (in un DB relazionale, appunto) e le “materializzi” in un formato pseudo-relazionale nella Directory Questo però rallenta il passaggio ad INFN-AAI perché alcune parti importanti di GODiVA devono ancora essere sviluppate CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus35

36 Accesso ai dati (ACI) Oltre alle ACI di default (che permettono al proprietario delle informazioni di vedere qualunque informazione gli appartenga) abbiamo ristretto la possibilità di lettura L’accesso non autenticato permette di leggere il valore dei soli attributi: cn, givenName, sn, mail L’accesso autenticato permette di leggere tutti gli attributi, ad esclusione di schacPersonalUniqueID e userPassword CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus36

37 Accesso ai server (SSL/TLS) I Directory Server di INFN-AAI sono configurati in modo da dover utilizzare per forza una connessione cifrata Rispondono sulla porta 389, ma esigono che la connessione diventi cifrata (via STARTTLS) Rispondono anche (solo per compatibilità con vecchi client perché è “deprecated”) sulla porta 636 ldaps CNAF 14-17 Dicembre 2010Architettura di INFN-AAI Plus - Enrico M. V. Fasanelli - Tutorial AAI Plus37

38 F I N E Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus

Scaricare ppt "Architettura di INFN-AAI Plus Enrico M. V. Fasanelli Tutorial INFN-AAI Plus CNAF 14-17 Dicembre 2010."

Presentazioni simili

Pratiche edilizie on-line

Pratiche edilizie on-line
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.

Unità D2 Database nel web. Obiettivi Comprendere il concetto di interfaccia utente Comprendere la struttura e i livelli che compongono unapplicazione.
Microsoft Education Academic Licensing Annalisa Guerriero.

Microsoft Education Academic Licensing Annalisa Guerriero.
Le nuove funzioni della piattaforma Puntoedu lingue.

Le nuove funzioni della piattaforma Puntoedu lingue.
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
Connessione con MySQL.

Connessione con MySQL.
1 Biglietti: schema E/R. 2 Biglietti: albero degli attributi.

1 Biglietti: schema E/R. 2 Biglietti: albero degli attributi.
Basi di Dati prof. A. Longheu 4 – Progettazione – Introduzione e Modello E-R Cap. 5 Basi di dati Atzeni – Ceri – Paraboschi - Torlone.

Basi di Dati prof. A. Longheu 4 – Progettazione – Introduzione e Modello E-R Cap. 5 Basi di dati Atzeni – Ceri – Paraboschi - Torlone.
Amministrazione di una rete con Active Directory

Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.

Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory

Amministrazione di una rete con Active Directory
CD ROM Library. Descrizione generale del sistema La soluzione di CD ROM Library sviluppata permette la condivisione di rete di CD ROM (qualunque numero)

CD ROM Library. Descrizione generale del sistema La soluzione di CD ROM Library sviluppata permette la condivisione di rete di CD ROM (qualunque numero)
17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.

17/12/02 1 Direzione Sviluppo Servizi su rete, Banche dati IRIDE Infrastruttura di Registrazione e IDEntificazione.
LDAP Studio di fattibilità. Le sezioni dello studio di fattibilità 1. Panoramica sulla situazione attuale 2. Progetto della soluzione 3. Specifiche generali.

LDAP Studio di fattibilità. Le sezioni dello studio di fattibilità 1. Panoramica sulla situazione attuale 2. Progetto della soluzione 3. Specifiche generali.
389 Directory Server Dael Maselli.

389 Directory Server Dael Maselli.
Nuova tipologia di ruolo segreteria LA SEGRETERIA LIGHT a cura del Servizio per il Personale.

Nuova tipologia di ruolo segreteria LA SEGRETERIA LIGHT a cura del Servizio per il Personale.
Meteo Service Corso di Reti di Calcolatori LS Casarini Stefano matr. 0000195120.

Meteo Service Corso di Reti di Calcolatori LS Casarini Stefano matr
Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.

Decreto Interministeriale 16 agosto 2005 Misure di preventiva acquisizione di dati anagrafici dei soggetti che utilizzano postazioni pubbliche non vigilate.

Presentazioni simili

Annunci Google