La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, 16.5.2012 Istituto.

Presentazioni simili


Presentazione sul tema: "“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, 16.5.2012 Istituto."— Transcript della presentazione:

1 “Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, 16.5.2012 raffaele.conte@cnr.it Istituto di Fisiologia Clinica del CNR CTS - Federazione IDEM

2 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identità digitale 2 Borcea-Pfitzmann et al., 2006

3 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identity Management riduzione del numero di credenziali lato utente Single Sign-On eliminazione delle incoerenze relative ai dati dell’utente autorizzazione semplificata, basata su attributi/ruoli (ABAC/RBAC) 3

4 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Identity Management System Deve supportare: la definizione e la rappresentazione di attributi e relativi valori la gestione di subset di attributi (identità parziali) la possibilità di decidere quali attributi e valori rivelare agli altri la pseudonomizzazione 4

5 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 IMS: collettore di informazioni 5 © Internet2

6 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 IM: autorizzazione non sempre è possibile autorizzare sulla base di attributi predefiniti in alcuni casi è necessario assegnare attributi specifici (entitlement) 6

7 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Strumenti per la gestione dei gruppi Grouper (Internet2) GMT (SWITCH, Gruppi inter-org, Shibboleth-only) 7

8 CNR - IFC R. Conte - “Virtual Organisation”... WS INFN CCR - GARR 2012 /27 tutto ciò avviene all’interno dell’organizzazione... ma sempre più spesso è necessario oltrepassarne i confini 8

9 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Federated Identity Management 9 Identity Provider Service Provide r

10 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM autenticazione locale, presso l’organizzazione di appartenenza accesso remoto a servizi di altre organizzazioni senza ulteriori autenticazioni 10

11 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM: SAML Security Assertion Markup Language framework XML-based sviluppato da OASIS standard per lo scambio di informazioni (assertion) relative all’identità e all’affiliazione di un utente nei confronti di un’organizzazione 11

12 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 FIM: SAML sviluppato per rendere sicuri i servizi web- based consente Web-SSO oltre al “tradizionale” Service Provider (SP) introduce i concetti di: Identity Provider (IdP) Metadati: “coordinate” dei partecipanti 12

13 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Metadati strumento con cui si costruiscono le relazioni di fiducia contengono la posizione (url) e tipologia dei componenti per il consumo delle assertion dei partecipanti ed eventuale descrizione testuale dei partecipanti ogni partecipante, per verificare l’identità della controparte, autenticarsi ed eventualmente cifrare, utilizza il relativo certificato nei MD 13

14 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Metadati e certificati È consigliato l’utilizzo di certificati self- signed per la comunicazione SP-IdP (back- channel) il ruolo di Garante, affidato a una CA in una PKI, qui è svolto dalla Federazione equivale ad inserire la chiave pubblica, quindi minore tempo di verifica della controparte può essere rigenerato velocemente, quindi minore tempo di downtime in caso di compromissione del certificato 14

15 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Gruppi inter- organizzazione Nella FIM, si ripropongono gli stessi problemi presenti all’interno dell’organizzazione: è possibile autorizzare, tramite attributi, utenti appartenenti ad organizzazioni diverse: require homeOrg idpX.it idpY.it idpZ.it require affiliation student require studyBranch medicine non sempre è possibile autorizzare, sulla base di attributi, pre-esistenti... 15

16 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Virtual Organisation attribute- based 16 “Una Virtual Organization (VO) è un gruppo di individui che collaborano attraverso l’uso di servizi online” (Chad La Joie –Internet2) i membri appartengono ad organizzazioni diverse non è possibile accomunare i membri su attributi condivisi assegnati dalla propria organizzazione il SP potrebbe richiedere attributi sconosciuti all’IdP dell’utente

17 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: possibile soluzione...1 definire un attributo comune es: isMemberOf=VO1 isMemberOf=VO1;VO2;VO3 isMemberOf=VO2 require isMemberOf VO2 affidarsi alle HomeOrganisation per la valorizzazione dell’attributo 17 Impraticabile

18 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: necessità tecnicamente ciò che è rilevante è la definizione e gestione (aggregazione) di attributi es: ePPN=raf@mia.org givenName=Raffaele surname=Conteraf@mia.org mail=raffaele.conte@mia.orgraffaele.conte@mia.org entitlement=vo-attribute:IDEM:CTS entitlement=vo-attribute:NOC:APM è necessario un attributo condiviso (sharedID): eduPersonPrincipalName (id univoco) o, meglio, eduPersonTargetedID (pseudonimo univoco) 18

19 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: possibile soluzione...2 definire un entità terza responsabile di una o più VO che valorizza gli attributi fare in modo che i SP siano “affiliati” verso una o più VO una VO nei metadati: http://voplatform.garr.it/CTS <AffiliationDescriptor affiliationOwnerID="http://voplatform.garr.it/vo">http://voplatform.garr.it/vo http://voplatform.garr.it/wiki http://voplatform.garr.it/blog 19

20 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: idea di base 20 1 IdP!SP!Type-4-UUID (sharedID) ePPN=raf@mia.org givenName=Raffaele surname=Conteraf@mia.org mail=raffaele.conte@mia.orgraffaele.conte@mia.org... 2 3 sharedID entitlement=vo-attribute:NOC:APM

21 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 Aggregazione di attributi SAML 2 Attribute Query SimpleAggregation AttributeResolver (Shibboleth SP 2.2 e successive) <AttributeResolver type="SimpleAggregation" attributeId="eppn" format="urn:oid:1.3.6.1.4.1.5923.1.1.1.6"> https://ieee.org/idp/shibboleth External-Links <Attribute Name="urn:oid:1.3.6.1.4.1.5923.1.1.1.7" NameFormat="urn:oasis:names:tc:SAML:2.0:attrname-format:uri" FriendlyName="eduPersonEntitlement"/> 21

22 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: adesione 22 Subject: Join the IDEM CTS From: IDEM VO Admin To: Raffaele Conte You are invited to join the VO group “IDEM CTS”, please click on https://voplatform.garr.it/enrol?https://voplatform.garr.it/enrol? token=768yjnkdqwc88ed3 redirect click

23 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: adesione 23 sharedID

24 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: accesso al VO service 24

25 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO: accesso al VO service 25 sharedID entitlement=vo-attribute:IDEM:CTS entitlement=vo-attribute:NOC:APM IdP!SP!Type-4-UUID (sharedID) ePPN=raf@mia.org givenName=Raffaele surname=Conteraf@mia.org mail=raffaele.conte@mia.orgraffaele.conte@mia.org...

26 CNR - IFC R. Conte - “Virtual Organisation”... /27 WS INFN CCR - GARR 2012 VO Platforms: strumenti COmanage Gear (COmanage, Internet2) OpenConext (SurfConext, SurfNet) COMATO (SWITCHtoolbox, SWITCH) 26

27 CNR - IFC R. Conte - “Virtual Organisation”... WS INFN CCR - GARR 2012 /27 Grazie! 27


Scaricare ppt "“Virtual Organisation” in un contesto di Federazioni di Identità Workshop congiunto INFN CCR - GARR 2012 Napoli, 16.5.2012 Istituto."

Presentazioni simili


Annunci Google