INFNAAI HA SAML Identity Provider Dael Maselli Workshop

SAML Identity Provider l l l idp. infn. it è l’Identity Provider SAML 2.

Autorizzazione l Backend autorizzazione: LDAP INFN-AAI l l’Id. P può fornire attributi alle applicazioni

Stato attuale l idp. infn. it è in produzione da Agosto 2010 l Servito

Clienti l Attualmente viene utilizzato da vari servizi nazionali: l l l l Portale

Attuali sistemi di ridondanza l Attualmente il sistema risiede su 2 nodi ai LNF

Ridondanza su WAN! l l Il core di INFN-AAI è naturalmente ridondato geograficamente: LNF

idp. infn. it idp-infn. lnf idp-infn. cnaf idp 1 -infn. lnf idp 2 -infn.

FINE INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID 2011

Slides: 9

Download presentation

INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID 2011 16 -20 Maggio

SAML Identity Provider l l l idp. infn. it è l’Identity Provider SAML 2. 0 di INFN-AAI Compatibile con Shibboleth 2. 0 e 1. 3 Supporto autenticazione: l username/password l X. 509 PKI l Kerberos GSSAPI l MOTP: Mobile One Time Password INFN-AAI - Dael Maselli - 2011 2

Autorizzazione l Backend autorizzazione: LDAP INFN-AAI l l’Id. P può fornire attributi alle applicazioni (Service Provider) prendendoli dai server LDAP di AAI l è possibile definire quali attributi fornire per ogni Service Provider l di default vengono esposti gli attributi: cn, edu. Person. Affiliation, edu. Person. Scoped. Affiliation, edu. Person. Entitlement, edu. Person. Principal. Name, edu. Person. Targeted. ID, given. Name, mail, sn, uid INFN-AAI - Dael Maselli - 2011 3

Stato attuale l idp. infn. it è in produzione da Agosto 2010 l Servito da 2 nodi ai LNF l Gestisce circa 1200 autenticazioni (riuscite) ogni giorno senza accenni al sovraccarico l è comunque possibile aggiungere nodi al servizio con poco sforzo INFN-AAI - Dael Maselli - 2011 4

Clienti l Attualmente viene utilizzato da vari servizi nazionali: l l l l Portale SI (portale-sisinfo. infn. it) Gestione presenze SI Tutte le applicazioni Data. Web (preventivi, consuntivi, formazione, associazioni, ecc. ) Indico INFN (agenda. infn. it) Wiki INFN (wiki. infn. it) Joomla! INFN (web. infn. it) altri… alcune sedi lo usano anche per applicazioni locali: l Catania, LNF, Parma, Pavia, Roma 2, Trieste INFN-AAI - Dael Maselli - 2011 5

Attuali sistemi di ridondanza l Attualmente il sistema risiede su 2 nodi ai LNF l System, LAN, Storage NSPOF l Load balancing & failover via Cisco SLB l PHP Sessions: Memcache l sessioni in mirror tra i 2 nodi l Se i LNF sono online lo è anche idp. infn. it INFN-AAI - Dael Maselli - 2011 6

Ridondanza su WAN! l l Il core di INFN-AAI è naturalmente ridondato geograficamente: LNF e CNAF Fin ora ci siamo posti il problema di come ottenere un failover trasparente dei servizi come i web server Ora abbiamo il dominio ha. infn. it A breve avremo un Id. P gemello di quelli di Frascati al CNAF l otterremo una configurazione active/passive con priorità maggiore su LNF (2 nodi LB) INFN-AAI - Dael Maselli - 2011 7

idp. infn. it idp-infn. lnf idp-infn. cnaf idp 1 -infn. lnf idp 2 -infn. lnf INFN-AAI Core Service LDAP INFN-AAI - Dael Maselli - 2011 8

FINE INFN-AAI HA SAML Identity Provider Dael Maselli Workshop CCR INFN GRID 2011