Scaricare la presentazione
La presentazione è in caricamento. Aspetta per favore
PubblicatoFabrizio Romano Modificato 8 anni fa
1
Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA
2
Tema affrontato Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Riguarda: Riguarda: servizi web (siti dipartimentali, sistemi informativi, e-learning,…) servizi web (siti dipartimentali, sistemi informativi, e-learning,…) accesso a postazioni (windows e linux): aule didattiche, laboratori,… accesso a postazioni (windows e linux): aule didattiche, laboratori,…
3
Autenticazione e autorizzazione Ogni sistema informatico che dà accesso a risorse e servizi affronta due processi distinti: autenticazione: verifica dell’identità dell’utente autenticazione: verifica dell’identità dell’utente ciò che sa: password ciò che sa: password che ha: smart card che ha: smart card che è: scansione retinica che è: scansione retinica autorizzazione: concessione delle risorse in base all’identità di chi vi accede autorizzazione: concessione delle risorse in base all’identità di chi vi accede
4
Situazione attuale L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione
5
Situazione attuale: svantaggi Non consente l’integrazione tra sistemi Non consente l’integrazione tra sistemi Ogni amministratore deve: Ogni amministratore deve: registrare e amministrare gli (stessi) utenti registrare e amministrare gli (stessi) utenti rispettare le normative di legge rispettare le normative di legge Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”) Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”)
6
Soluzione attuale: escamotage Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: mail server mail server sistema informativo studenti (SIS) sistema informativo studenti (SIS) sistema informativo dipendenti (SIT) sistema informativo dipendenti (SIT) Approccio apparentemente elegante ma… Approccio apparentemente elegante ma…
7
Soluzione attuale: escamotage Problematiche tecniche e legali: Problematiche tecniche e legali: eventuali modifiche ai server del CCA comprometterebbero questi meccanismi eventuali modifiche ai server del CCA comprometterebbero questi meccanismi le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri
8
Alternativa: LDAP centralizzato Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Ripropone maggiorati i problemi descritti: Ripropone maggiorati i problemi descritti: quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione avvenimento molto grave in condizione di password unica avvenimento molto grave in condizione di password unica
9
Proposta: LDAP + SSO server Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows
10
Single Sign On Web: vantaggi Credenziali uniche Credenziali uniche Fornite solo una volta: SSO Fornite solo una volta: SSO Le applicazioni non conoscono le pwd Le applicazioni non conoscono le pwd Le applicazioni gestiscono solo la autorizzazione Le applicazioni gestiscono solo la autorizzazione
11
Single Sign On Web 1: richiesta risorsa web 1: richiesta risorsa web 2: redirect a SSO server 2: redirect a SSO server 3-4-5: autenticazione 3-4-5: autenticazione 6: redirect a web server 6: redirect a web server 7: richiesta risorsa 7: richiesta risorsa 8-9: verifica (PKI trust) 8-9: verifica (PKI trust) 10: concessione risorsa web 10: concessione risorsa web
12
Schema complessivo
13
Componenti SSO server: SSO server: autenticazione servizi web, richiede un backend LDAP autenticazione servizi web, richiede un backend LDAP “Virtual LDAP”, prende i dati da: “Virtual LDAP”, prende i dati da: RDBMS, LDAP, File, Web Services,… RDBMS, LDAP, File, Web Services,… Active Directory server: Active Directory server: autenticazione PC windows autenticazione PC windows Software di provisioning: Software di provisioning: sincronizza LDAP e Virtual Directory sincronizza LDAP e Virtual Directory
14
Scelte da effettuare vari standard e implementazioni possibili: vari standard e implementazioni possibili: Standard: OASIS SAML, Liberty Aliance ID-FF Standard: OASIS SAML, Liberty Aliance ID-FF Schema LDAP: inetOrgPerson, eduPerson, … Schema LDAP: inetOrgPerson, eduPerson, … Sw di Virtual Directory: Oracle, Symlabs,… Sw di Virtual Directory: Oracle, Symlabs,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw di provisioning LDAP Microsoft, Oracle, … Sw di provisioning LDAP Microsoft, Oracle, … Server di SSO: Shibboleth, CAS, … Server di SSO: Shibboleth, CAS, …
15
Server di SSO Varie soluzioni open-source e commerciali Varie soluzioni open-source e commerciali JA-SIG CAS JA-SIG CAS A-Select A-Select Bandit Project Bandit Project OpenID OpenID Cosign Cosign BMC Identity Management Suite BMC Identity Management Suite Oracle Enterprise Single Sign-On Suite Oracle Enterprise Single Sign-On Suite Symlabs Federated Identity Access Manager Symlabs Federated Identity Access Manager IBM Tivoli Federated Identity Manager IBM Tivoli Federated Identity Manager Shibboleth Shibboleth …
16
Server di SSO Requisiti: Requisiti: supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) vasto parco installato in produzione vasto parco installato in produzione supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università) supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università)
17
Shibboleth: caratteristiche Open-source Open-source Standard OASIS SAML Standard OASIS SAML Dispone di moduli per Dispone di moduli per Apache (1.3.x, 2.0 e 2.2) Apache (1.3.x, 2.0 e 2.2) Microsoft IIS (4, 5 e 6) Microsoft IIS (4, 5 e 6) Compatibilità legacy Compatibilità legacy CMS: Zope, Plone CMS: Zope, Plone Sistemi di archiviazione documentale: Dspace Sistemi di archiviazione documentale: Dspace Sistemi di learning: Moodle, eAcademy Sistemi di learning: Moodle, eAcademy Sistemi di mail: Horde Sistemi di mail: Horde Molto altro… Molto altro…
18
Shibboleth: federazioni in produzione Svizzera SWITCH AAI: 28 università (175.000 utenti). Svizzera SWITCH AAI: 28 università (175.000 utenti). Regno Unito The UK Federation: 87 università Regno Unito The UK Federation: 87 università Finlandia HAKA: 25 università Finlandia HAKA: 25 università USA: InCommon 41 università, 16 partner USA: InCommon 41 università, 16 partner Francia: CRU: 28 università Francia: CRU: 28 università Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),… Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),…
19
Shibboleth: progetti pilota Belgio K.U. Leuven Belgio K.U. Leuven Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” E in Italia? E in Italia? Il Garr ha organizzato due incontri e istituito un gruppo di lavoro per studiare la realizzazione di una Infrastruttura di Autenticazione e Autorizzazione (AAI) italiana. Il secondo incontro è stato incentrato su Shibboleth.
20
Link utili Shibboleth: shibboleth.internet2.edu/ Shibboleth: shibboleth.internet2.edu/ Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home SWITCH AAI: www.switch.ch/aai/ SWITCH AAI: www.switch.ch/aai/ DEMO di sito protetto: https://kohala.switch.ch/secure/ DEMO di sito protetto: https://kohala.switch.ch/secure/ The UK Federation: www.ukfederation.org.uk The UK Federation: www.ukfederation.org.uk USA InCommon: www.incommonfederation.org USA InCommon: www.incommonfederation.org CRU France: federation.cru.fr/cru/index-en.html CRU France: federation.cru.fr/cru/index-en.html Schema LDAP eduPerson: Schema LDAP eduPerson: www.nmi-edit.org/eduPerson/draft-internet2-mace-dir- eduperson-latest.html
Presentazioni simili
© 2024 SlidePlayer.it Inc.
All rights reserved.