La presentazione è in caricamento. Aspetta per favore

La presentazione è in caricamento. Aspetta per favore

Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA.

PubblicatoFabrizio Romano Modificato 8 anni fa

Presentazioni simili

Presentazione sul tema: "Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA."— Transcript della presentazione:

1 Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA

2 Tema affrontato Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Studio di fattibilità di un’infrastruttura centralizzata di autenticazione Riguarda: Riguarda: servizi web (siti dipartimentali, sistemi informativi, e-learning,…) servizi web (siti dipartimentali, sistemi informativi, e-learning,…) accesso a postazioni (windows e linux): aule didattiche, laboratori,… accesso a postazioni (windows e linux): aule didattiche, laboratori,…

3 Autenticazione e autorizzazione Ogni sistema informatico che dà accesso a risorse e servizi affronta due processi distinti: autenticazione: verifica dell’identità dell’utente autenticazione: verifica dell’identità dell’utente ciò che sa: password ciò che sa: password che ha: smart card che ha: smart card che è: scansione retinica che è: scansione retinica autorizzazione: concessione delle risorse in base all’identità di chi vi accede autorizzazione: concessione delle risorse in base all’identità di chi vi accede

4 Situazione attuale L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture L'elenco aggiornato di studenti, dottorandi, dipendenti,… viene fornito dal CCA alle strutture Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione Ogni struttura alimenta il proprio database di utenti e password e gestisce in proprio il processo di autenticazione

5 Situazione attuale: svantaggi Non consente l’integrazione tra sistemi Non consente l’integrazione tra sistemi Ogni amministratore deve: Ogni amministratore deve: registrare e amministrare gli (stessi) utenti registrare e amministrare gli (stessi) utenti rispettare le normative di legge rispettare le normative di legge Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”) Ogni utente deve ricordare molte password (invogliato a sceglierne “facili”)

6 Soluzione attuale: escamotage Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: Alcune strutture hanno “centralizzato” il processo di autenticazione sfruttando: mail server mail server sistema informativo studenti (SIS) sistema informativo studenti (SIS) sistema informativo dipendenti (SIT) sistema informativo dipendenti (SIT) Approccio apparentemente elegante ma… Approccio apparentemente elegante ma…

7 Soluzione attuale: escamotage Problematiche tecniche e legali: Problematiche tecniche e legali: eventuali modifiche ai server del CCA comprometterebbero questi meccanismi eventuali modifiche ai server del CCA comprometterebbero questi meccanismi le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri le applicazioni dipartimentali possono accedere a password di servizi diversi dai propri

8 Alternativa: LDAP centralizzato Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Apparentemente una buona soluzione (molti sistemi hanno moduli di tipo auth_ldap) Ripropone maggiorati i problemi descritti: Ripropone maggiorati i problemi descritti: quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione quanti più sistemi accedono al server LDAP, tanto maggiore la possibilità di intrusione avvenimento molto grave in condizione di password unica avvenimento molto grave in condizione di password unica

9 Proposta: LDAP + SSO server Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web Server centrale di Web Single Sign On (SSO) basato su database LDAP degli utenti universitari per l’autenticazione dei servizi web LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows LDAP affiancato (sincronizzato) ad un server Active Directory per l’autenticazione delle postazioni windows

10 Single Sign On Web: vantaggi Credenziali uniche Credenziali uniche Fornite solo una volta: SSO Fornite solo una volta: SSO Le applicazioni non conoscono le pwd Le applicazioni non conoscono le pwd Le applicazioni gestiscono solo la autorizzazione Le applicazioni gestiscono solo la autorizzazione

11 Single Sign On Web 1: richiesta risorsa web 1: richiesta risorsa web 2: redirect a SSO server 2: redirect a SSO server 3-4-5: autenticazione 3-4-5: autenticazione 6: redirect a web server 6: redirect a web server 7: richiesta risorsa 7: richiesta risorsa 8-9: verifica (PKI trust) 8-9: verifica (PKI trust) 10: concessione risorsa web 10: concessione risorsa web

12 Schema complessivo

13 Componenti SSO server: SSO server: autenticazione servizi web, richiede un backend LDAP autenticazione servizi web, richiede un backend LDAP “Virtual LDAP”, prende i dati da: “Virtual LDAP”, prende i dati da: RDBMS, LDAP, File, Web Services,… RDBMS, LDAP, File, Web Services,… Active Directory server: Active Directory server: autenticazione PC windows autenticazione PC windows Software di provisioning: Software di provisioning: sincronizza LDAP e Virtual Directory sincronizza LDAP e Virtual Directory

14 Scelte da effettuare vari standard e implementazioni possibili: vari standard e implementazioni possibili: Standard: OASIS SAML, Liberty Aliance ID-FF Standard: OASIS SAML, Liberty Aliance ID-FF Schema LDAP: inetOrgPerson, eduPerson, … Schema LDAP: inetOrgPerson, eduPerson, … Sw di Virtual Directory: Oracle, Symlabs,… Sw di Virtual Directory: Oracle, Symlabs,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw LDAP: Oracle, Sun, OpenLDAP,… Sw di provisioning LDAP Microsoft, Oracle, … Sw di provisioning LDAP Microsoft, Oracle, … Server di SSO: Shibboleth, CAS, … Server di SSO: Shibboleth, CAS, …

15 Server di SSO Varie soluzioni open-source e commerciali Varie soluzioni open-source e commerciali JA-SIG CAS JA-SIG CAS A-Select A-Select Bandit Project Bandit Project OpenID OpenID Cosign Cosign BMC Identity Management Suite BMC Identity Management Suite Oracle Enterprise Single Sign-On Suite Oracle Enterprise Single Sign-On Suite Symlabs Federated Identity Access Manager Symlabs Federated Identity Access Manager IBM Tivoli Federated Identity Manager IBM Tivoli Federated Identity Manager Shibboleth Shibboleth …

16 Server di SSO Requisiti: Requisiti: supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) supporto applicazioni legacy (SIS, Portal, Business Objects, Moodle, Mailer, Aleph, CMS,…) vasto parco installato in produzione vasto parco installato in produzione supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università) supporto alla Federated Identity (mutua accettazione degli utenti autenticati da altre università)

17 Shibboleth: caratteristiche Open-source Open-source Standard OASIS SAML Standard OASIS SAML Dispone di moduli per Dispone di moduli per Apache (1.3.x, 2.0 e 2.2) Apache (1.3.x, 2.0 e 2.2) Microsoft IIS (4, 5 e 6) Microsoft IIS (4, 5 e 6) Compatibilità legacy Compatibilità legacy CMS: Zope, Plone CMS: Zope, Plone Sistemi di archiviazione documentale: Dspace Sistemi di archiviazione documentale: Dspace Sistemi di learning: Moodle, eAcademy Sistemi di learning: Moodle, eAcademy Sistemi di mail: Horde Sistemi di mail: Horde Molto altro… Molto altro…

18 Shibboleth: federazioni in produzione Svizzera SWITCH AAI: 28 università (175.000 utenti). Svizzera SWITCH AAI: 28 università (175.000 utenti). Regno Unito The UK Federation: 87 università Regno Unito The UK Federation: 87 università Finlandia HAKA: 25 università Finlandia HAKA: 25 università USA: InCommon 41 università, 16 partner USA: InCommon 41 università, 16 partner Francia: CRU: 28 università Francia: CRU: 28 università Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),… Svezia (SWAMID), Danimarca (DK-AAI), Norvegia (FEIDE),…

19 Shibboleth: progetti pilota Belgio K.U. Leuven Belgio K.U. Leuven Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” Australia Mams “three-year $4.2 million project sponsored by Australia's Department of Education Science and Training” E in Italia? E in Italia? Il Garr ha organizzato due incontri e istituito un gruppo di lavoro per studiare la realizzazione di una Infrastruttura di Autenticazione e Autorizzazione (AAI) italiana. Il secondo incontro è stato incentrato su Shibboleth.

20 Link utili Shibboleth: shibboleth.internet2.edu/ Shibboleth: shibboleth.internet2.edu/ Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home Compatibilità legacy: wiki.internet2.edu/confluence/display/seas/Home SWITCH AAI: www.switch.ch/aai/ SWITCH AAI: www.switch.ch/aai/ DEMO di sito protetto: https://kohala.switch.ch/secure/ DEMO di sito protetto: https://kohala.switch.ch/secure/ The UK Federation: www.ukfederation.org.uk The UK Federation: www.ukfederation.org.uk USA InCommon: www.incommonfederation.org USA InCommon: www.incommonfederation.org CRU France: federation.cru.fr/cru/index-en.html CRU France: federation.cru.fr/cru/index-en.html Schema LDAP eduPerson: Schema LDAP eduPerson: www.nmi-edit.org/eduPerson/draft-internet2-mace-dir- eduperson-latest.html

Scaricare ppt "Gruppi di lavoro Dreams Single Sign On, LDAP Stefano Zanmarchi, CCA."

Presentazioni simili

Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.

Progetto Shibboleth-UniTo-Scuole Il Portale d’Ateneo e I servizi offerti dall’Università alle Scuole: Interoperabilità Università-Scuole attraverso una.
EGEE-II INFSO-RI-031688 Enabling Grids for E-sciencE www.eu-egee.org EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.

EGEE-II INFSO-RI Enabling Grids for E-sciencE EGEE and gLite are registered trademarks Sicurezza in EGEE Vincenzo Ciaschini Roma.
© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.

© 2007 SEI-Società Editrice Internazionale, Apogeo Unità D1 Architetture di rete.
Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.

Windows Server 2003 Active Directory Diagnostica, Troubleshooting e Ripristino PierGiorgio Malusardi IT Pro – Evangelist Microsoft.
Microsoft Education Academic Licensing Annalisa Guerriero.

Microsoft Education Academic Licensing Annalisa Guerriero.
Proposta architettura sistema elearning

Proposta architettura sistema elearning
Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.

Safe.dschola.it Attenti alle sovrapposizioni! Procedure Reali Procedure Qualità Procedure Privacy Le politiche per la privacy e la sicurezza non si risolvono.
UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA

UNIVERSITÀ DEGLI STUDI DI MODENA E REGGIO EMILIA
UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA

UNIVERSITA’ DEGLI STUDI DI MODENA E REGGIO EMILIA
Health Science Community, Milano, 01.02.2010 Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.

Health Science Community, Milano, Maria Laura Mantovani - La Federazione IDEM infrastrutture di autenticazione.
Amministrazione di una rete con Active Directory

Amministrazione di una rete con Active Directory
Amministrazione di una rete con Active Directory.

Amministrazione di una rete con Active Directory.
Amministrazione di una rete con Active Directory

Amministrazione di una rete con Active Directory
Organizzazione di una rete Windows 2000. Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.

Organizzazione di una rete Windows Server Client Il ruolo dei computer I computer in una rete possono svolgere le funzioni di client e server dei.
Nuovi servizi per il personale

Nuovi servizi per il personale
IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.

IL PATRIMONIO DI DATI - LE BASI DI DATI. Il patrimonio dei dati Il valore del patrimonio di dati: –Capacità di rispondere alle esigenze informative di.
Cos’è un CMS? Content Management System

Cos’è un CMS? Content Management System
1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.

1 Titolo Presentazione / Data / Confidenziale / Elaborazione di... ASP. Net Web Part e controlli di login Elaborazione di Franco Grivet Chin.
Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.

Gruppo Directory Services Rapporto dell'attivita' svolta - Marzo 2000.
Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Norman SecureTide Soluzione sul cloud potente per bloccare le spam e le minacce prima che entrino all'interno della rete.

Presentazioni simili

Annunci Google