Lalla Mantovani GARR e UNIMORE Infrastrutture di autenticazione
![[RFC 2377] “Naming Plan for Internet Directory. Enabled Applications” September 1998 RDN: ou=people, dc=unimore,](https://slidetodoc.com/presentation_image_h/aa9acc33e5631ad2b7490c0dc519e963/image-43.jpg "[RFC 2377] “Naming Plan for Internet Directory. Enabled Applications” September 1998 RDN: ou=people, dc=unimore,")
- Slides: 111
Lalla Mantovani (GARR e UNIMORE) Infrastrutture di autenticazione e autorizzazione La federazione IDEM Corso Intensivo APM , Bari, 17 -20 Marzo 2015
Indice 1 § Autenticazione (Auth. N) § Autorizzazione (Auth. Z) § Identity management § Single sign on Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #2
Identity Management Mess IAM SSO Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Id. P SP Lalla Mantovani (GARR e UNIMORE) #3
Authentication Authentic Corso Intensivo APM , Bari, 17 -20 Marzo 2015 nel mondo reale Not Authentic Lalla Mantovani (GARR e UNIMORE) 4
Authentication nel mondo digitale Autenticazione = La procedura che permette di verificare che una identità digitale appartiene al suo legittimo possessore (il presentatore della identità digitale è colui che asserisce di essere; è proprio lui) § Nel mondo digitale semplifichiamo la verifica con: § username|password § lmantovani|My. S 3 cr 3# § username => identifier § Ci rimanda all’entità con cui abbiamo a che fare § password => shared secret § Ci conferma che l’identità dell’entità è autentica Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #5
Come funziona l’autenticazione lmantovani|My. S 3 cr 3# Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #6
mitigate risks, improve security La password può essere facilmente rubata o scoperta (identity theft)-> § One-factor authentication § Two-factor authentication § Multi-factor authentication Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #7
Second factor: device One Time Password Certificate SMS One Time Password Fingerprint Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #8
Second factor: location, behaviour § incrementa la sicurezza delle password usando (senza intromissione) la tua location § Prima memorizza informazioni sulle tue abitudini (tipo di browser, indirizzo IP, lingua, …, numero telefono mobile, …) § Quando ti ricolleghi dallo stesso PC, vieni autenticato automaticamente sulla base di “dove sei”, con un secondo fattore di controllo passivo, senza domande, più facile per l’utente Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #9
Authorization § = Access control § Cosa sei autorizzato a fare? Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #10
Come funziona l’autorizzazione lmantovani Servizio A? lmantovani ∈ Servizio A Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Servizio B Lalla Mantovani (GARR e UNIMORE) #11
Role based access control Rettore/Dirigente Human Resources Staff Studenti Personale T/A Professori Organization Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #12
App dedicate a professori App App Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #13
App dedicate a personale App App Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #14
App dedicate a studenti App App Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #15
App dedicate a manager App App Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #16
App dedicate a contrattisti App App Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #17
Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #18
Corso Intensivo APM , Bari, 17 -20 Marzo 2015 App App App App App App App Lalla Mantovani (GARR e UNIMORE) #19
Layer of abstraction => Roles Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #20
insegnare assistere pagare dirigere privato App App App App App App App gestire reclutare per tutti Corso Intensivo APM , Bari, 17 -20 Marzo 2015 studiare Lalla Mantovani (GARR e UNIMORE) #21
Come funziona l’autorizzazione con i ruoli lmantovani Servizio A? lmantovani ∈ insegnare ∈ Servizio A Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Servizio B Lalla Mantovani (GARR e UNIMORE) #22
Single password Nel dominio dell’Organizzazione ord App password sw password pas s wo rd Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #23
Single password Nel dominio dell’Organizzazione d or w s s pa password pas s wo rd App password swo rd App password App rd o sw password pas directory single password Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #24
directory insegnare pas Rettore/Dirigente Staff Studenti Personale T/A swo assistere Human Resources Professori rd pagare dirigere password privato gestire reclutare per tutti wo s s pa rd studiare Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #25
Single sign on § Single password § Single storage § Multiple app § Devo inserire la password per fare login su ogni app § Single sign on password directory Single Management Point password App § Inserisco la password una volta sola § Identity Management System RICORDA chi sei Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #26
Ricorda? Token Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #27
Token Cinema ? Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #28
§ Acquisto un Ticket (registration) § Ottengo un Token (authentication) § Ticket abilita a controlli differenziati Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #29
Token Cinema Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #30
Ticket = Token § Può contenere informazioni di autorizzazione DATA Corso Intensivo APM , Bari, 17 -20 Marzo 2015 POSTO Lalla Mantovani (GARR e UNIMORE) #31
Provisioning insegnare App App per tutti App App lmantovani|My. S 3 cr 3# identity management system Nuovo Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #32
Deprovisioning insegnare App App per tutti App App identity management system Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #33
Identity life cycle Deprovisi oning Provisioni ng Managing Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #34
Abbiamo parlato di: § Autenticazione § Multi factor auth § Autorizzazione § Role based access control § Single sign on § token § Identity management § Provisioning § Deprovisioning § Identity life cicle Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #35
Indice 2 § Governare Identity & Access Management System § Fonti dati autoritative § Identificazione -> provisioning § Riconciliazione § LDAP § Directory Information Tree § Schema Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #36
Developed by Ann West, of Internet 2, Lynn Mc. Rae, of Stanford, Tom Barton, of the University of Chicago, and Steven Carmody, of Brown University, and used with permission from Internet 2. Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 37
Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 38
Ciclo di vita dell'identità Riconciliazione Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #39
101 cose da sapere su Single Sign On. IDENTITÀ: § § § 1. Il Single sign on richiede fonti di identità autorevoli. 2. Autorevoli fonti di identità devono contenere tutti i dati necessari sulle identità degli utenti 3. Fonti autorevoli di identità necessitano di processi di provisioning sempre aggiornati ed allineati con i processi amministrativi 5. Quando un utente viene assunto, il processo di provisioning dovrebbe mirare a fornire l'accesso ai sistemi e alle applicazioni nello stesso giorno. 6. Quando il ruolo di un utente viene modificato, l'obiettivo del processo di provisioning dovrebbe essere quello di rendere disponibile la variazione nello stesso giorno. 7. Quando un utente è cessato, l'obiettivo del processo di provisioning dovrebbe essere quello di disabilitare l'utente da tutti i sistemi e dalle applicazioni nello stesso giorno. 8. Ogni fonte autorevole di identità deve essere collegata alla directory LDAP dell’organizzazione 9. La Sincronizzazione delle modifiche tra la fonte autorevole delle identità e la directory deve essere in pochi minuti e nel caso peggiore, alla fine della giornata. 12. È necessario un identificatore unico per ogni utente nell’interno dell’organizzazione. 14. La qualità del sistema di SSO dipende dalla qualità dei dati delle identità, non dall’apparecchiatura. Se la qualità dei dati di identità è povera, allora il vostro sistema di SSO sarà anche povero dal punto di vista della sicurezza. 15. Creare una struttura di governo dei dati delle identità dell’organizzazione è importante per regolamentare le modifiche apportate dalle fonti autorevoli sui dati delle identità che verranno usate dal single sign on e dalle applicazioni. http: //www. authenticationworld. com/Single-Sign-On- Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Authentication/101 Things. To. Know. About. Single. Sign. On. pdf Lalla Mantovani (GARR e UNIMORE) 40
Come organizzare la directory? insegnare pas Rettore/Dirigente Staff Studenti Personale T/A swo assistere Human Resources Professori rd pagare dirigere password privato gestire reclutare per tutti wo s s pa rd studiare Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #41
Struttura di LDAP § (Lightweight Directory Access Protocol) § Le informazioni vengono organizzate ad albero (Directory Information Tree – DIT) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #42
[RFC 2377] “Naming Plan for Internet Directory. Enabled Applications” September 1998 RDN: ou=people, dc=unimore, dc=it Base DN (Distinguished Name) Org Domain Name dn: dc=unimore, dc=it RDN: uid=lmantovani, ou=people, dc=unimore, dc=it Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #43
NO Non conviene mettere le persone sotto i dipartimenti. Questa scelta non è conforme a RFC 2377 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 RDN delle persone deve garantire l’univocità (problema omonimi). Scegliere un identificativo per le persone. Preferire la UID nota all’utente. Lalla Mantovani (GARR e UNIMORE) #44
SÌ Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #45
Schema design (1) Usare gli schemi standard § objectclass: top objectclass: person objectclass: organizational. Person objectclass: inet. Org. Person § objectclass: edu. Person objectclass: schac § objectclass: localdomain. Edu. Person Corso Intensivo APM , Bari, 17 -20 Marzo 2015 già presenti da aggiungere solo se necessario Lalla Mantovani (GARR e UNIMORE) #46
Schema design (2) Quali attributi scegliere e valorizzare? Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #47
Identità digitale parziale § Relativa ad un contesto § In ogni contesto esistono attributi necessari ed altri non necessari § In certi contesti la persona vuole rimanere anonima, in altri contesti preferisce presentarsi con uno pseudonimo, in altri casi è necessario rivelare l’identità reale § E’ necessario poter collegare tra loro le identità digitali parziali relative ad una stessa persona? (Borcea-Pfitzmann et al. , 2006). Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 48
Trattamento dati personali § In Italia il trattamento dei dati personali, quindi anche delle identità digitali parziali, è regolato dal Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezione dei dati personali (Testo unico privacy) § I sistemi di Identity Management devono essere progettati in modo da rispettare la legge, in particolare proteggendo i dati (Art. 1). Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 49
Trattamento dati personali § Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. (n. d. r. pseudonomizzazione) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 50
Core. schema e relative Object. Class Person represents a human being objectclass ( 2. 5. 6. 6 NAME 'person‘ DESC 'RFC 2256: a person‘ SUP top STRUCTURAL MUST ( Gli Attributi si devono valorizzare secondo il significato definito negli RFC cognome sn $ nome cognome cn ) MAY ( user. Password $ telephone. Number $ see. Also $ description ) ) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Gli Attributi possono essere non valorizzati Lalla Mantovani (GARR e UNIMORE) 51
Core. schema e relative Object. Class § The 'organizational. Person' object class is the basis of an entry that represents a person in relation to an organization. ( 2. 5. 6. 7 NAME 'organizational. Person' SUP person STRUCTURAL MAY ( title $ x 121 Address $ registered. Address $ destination. Indicator $ preferred. Delivery. Method $ telex. Number $ teletex. Terminal. Identifier $ telephone. Number $ international. ISDNNumber $ facsimile. Telephone. Number $ street $ post. Office. Box $ postal. Code $ postal. Address $ physical. Delivery. Office. Name $ ou $ st $ //state, province l ) ) //locality. Name Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 52
inetorgperson. schema NAME 'inet. Org. Person' SUP organizational. Person STRUCTURAL MAY ( audio $ business. Category $ car. License $ department. Number $ display. Name $ login name uid $ given. Name $ nome employee. Number $ mail $ employee. Type $ //identificatore type of employment for a person mobile $ home. Phone $ home. Postal. Address $ initials $ jpeg. Photo $ labeled. URI $ manager $ o $ pager $ photo $ room. Number $ secretary $ user. Certificate $ x 500 unique. Identifier $ preferred. Language $ user. SMIMECertificate $ user. PKCS 12 ) ) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 53
edu. Person # The edu. Person objectclass is used to represent people who are # associated with a university/school in some way. It is derived # from the inet. Org. Person objectclass ( 1. 3. 6. 1. 4. 1. 5923. 1. 1. 2 NAME 'edu. Person' AUXILIARY MAY ( edu. Person. Affiliation $ edu. Person. Nickname $edu. Person. Org. DN $ edu. Person. Org. Unit. DN $edu. Person. Primary. Affiliation $ edu. Person. Principal. Name $ edu. Person. Entitlement $ edu. Person. Primary. Org. Unit. DN $ edu. Person. Scoped. Affiliation $ edu. Person. Targeted. ID ) ) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 54
Arricchimento People Unifica accesso UNIX <nis. schema> login. Shell: uid. Number: gid. Number: home. Directory: gecos: shadow. Expire: shadow. Inactive: shadow. Last. Change: <samba. schema> samba. NTPassword: samba. Pwd. Must. Change : samba. Primary. Group. S Unifica ID: accesso samba. Pwd. Last. Set: Windows samba. SID: samba. Home. Drive: Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Attributi utili per autorizzare applicazioni istituzionali <myorg. schema> unimorecodicefiscale: unimorestudnumerotessera: unimorestuddescrcorso: unimorestudmatricola: unimorestudduratacorso: unimorecorscodicetipocorso: unimorecorsdescrizionecorso: unimorecorsdurataanni: unimorestudultimoannoaccademico : unimorestuddatarilasciotessera: Per federarsi <edu. Person. schema> <schac. schema> Lalla Mantovani (GARR e UNIMORE) 55
Sincronizzazione / Backend Person Registry Conference guests LDAP Altri ospiti, senza contr. , library-walk-in Selezionare il minimo dei dati indispensabili in base ad uno schema. La directory viene gestita con l’identity managemnt dell’organizzazione e contiene i dati indispensabili per autenticare ed autorizzare le applicazioni Consolidare in base ad un ID Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 56
Abbiamo parlato di: § Governare Identity & Access Management System § Fonti dati autoritative § Identificazione -> provisioning § Riconciliazione § LDAP § Directory Information Tree § Schema Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #57
Indice 3 § § § § Software as a Service (Saa. S) Security Assertion Markup Language (SAML) Identity Provider (Id. P) Service Provider (SP) SAML Web Browser SSO Profile SAML SSO token & lifetime Discovery Service (DS) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #58
Software as a Service (Saa. S) Università: § Studenti e didattica § Docenti e ricerca § Protocollo § Portali § Box § Google. Apps § Office 365 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Scuola: • Registro elettronico • Portale • Box • Google. Apps • Office 365 Lalla Mantovani (GARR e UNIMORE) 59
Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 60
Accedere a Saa. S? ORG username|password Provisioning? Deprovisioning? ? directory Password DB? username|password? #61 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #61
SAML Simple Assertion Markup Language Obiettivo: risolvere i problemi di: § Amministratore dell’Org: vuole gestire gli utenti dell’organizzazione § Utente: vuole accedere facilmente § Amministratore del Servizio: vuole concentrarsi sulle funzioni dell’applicazione e non sulla sicurezza Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #62
SAML e accesso a Saa. S ORG happy! directory Id. P username|password authenticated Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #63
SAML risolve questi problemi § Organizzazioni: § gestiscono meglio il ciclo di vita degli utenti § Provisioning|Deprovisioning § Utenti: § Ricordano le loro poche password § Servizi § Si concentrano sul loro core business e non si preoccupano della sicurezza delle password Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #64
SAML: benefici § SSO nell’accesso a molti servizi fuori dal dominio della propria organizzazione § Identity management unificato nell’accesso a molti servizi fuori dal dominio della propria organizzazione § Federated identity: gli Id. P hanno stabilito un accordo comune sulla definizione degli utenti, perciò i SP possono applicare regole uniformi a tutti gli utenti della federazione Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #65
SAML e accesso a Saa. S: init ORG SP SP-initiated-Web. Browser. SSO directory Id. P-initiated-Web. Browser. SSO Id. P username|password authenticated SAML token Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #66
Discovery Problem § Arriva un utente e devo mandarlo alla sua home organization. Ma non so chi sia l’utente, né a quale organizzazione appartiene § Utente accede a org 1. cloudservice. com => Servizio personalizzato per Org 1 => utente proviene da Org 1 § Utente accede a servizio generico cloudservice. com => Chiedo email a utente => Utente: user@org 1. com => utente proviene da Org 1 § Utente accede a servizio generico cloudservice. com => chiedo a utente di selezionare la sua organizzazione da una lista Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #67
Discovery Service SP-initiated-Web. Browser. SSO ORG SP directory Id. P username|password authenticated ? DS SAML token Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #68
Lifetime? ORG directory 2 h? Tempo scaduto Utente ancora valido? Id. P username|password authenticated Corso Intensivo APM , Bari, 17 -20 Marzo 2015 rinnovato Lalla Mantovani (GARR e UNIMORE) #69
SAML token/assertion Subject: identifier Attributi: Identifier (uid) Sn Cn Telephon. Number given. Name Mail edu. Person. Principal. Name edu. Person. Entitlement edu. Person. Scoped. Affiliation edu. Person. Targeted. ID Group Department Role Organization -------------------Identity Provider emittente Authentication Context Lifetime Corso Intensivo APM , Bari, 17 -20 Marzo 2015 • Non contiene mai la password • Il token è firmato Art. 3. Principio di necessità nel trattamento dei dati 1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. Lalla Mantovani (GARR e UNIMORE) #70
Consenso al rilascio attributi ORG SP 1 directory SP 2 Consent? Id. P username|password SP 3 authenticated Tutti uguali? Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Contrario al principio di necessità Lalla Mantovani (GARR e UNIMORE) #71
Framework che implementano SAML http: //en. wikipedia. org/wiki/SAML-based_products_and_services Identity Provider Service Provider Open source § Shibboleth § Simple. SAMLphp Licensed § ADFS Open source • Shibboleth • Simple. SAMLphp Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Software as a Service • • • Google. Apps Office 365 U-Gov Sebina. Web Media. Library box Lalla Mantovani (GARR e UNIMORE) 72
LDAP pronto per aiutare nell’Autenticazione e nell’Autorizzazione Altri sistemi MAIL WIKI Servizi al Personale Person Registry Applicazioni WEB LIBRARY Google. Apps Conference guests LDAP Altri ospiti, senza contr. , library-walk-in You. Tube. EDU Saa. S Selezionare il minimo dei dati indispensabili in base ad uno schema. Consolidare in base ad un ID Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) Wi-Fi VPN NAC 73
IDEM ed EDUROAM insieme forniscono all’utente più ampie possibilità di accesso Person Registry LDAP Organizzazione Radius Server Lalla Mantovani (GARR e UNIMORE) 74 Corso Intensivo APM , Bari, 1720 Marzo 2015
Abbiamo parlato di: § § § § § Software as a Service (Saa. S) Security Assertion Markup Language (SAML) Identity Provider (Id. P) Service Provider (SP) SAML Web Browser SSO Profile Discovery Service (DS) SAML SSO token & lifetime SAML assertion Consenso al rilascio degli attributi Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #75
Indice 4 § § § § Trust building Federazione di identità Armonizzazione attributi = federated identity La federazione IDEM Federation Manager: servizi necessari Federation Manager: servizi aggiuntivi Inter-federazione edu. GAIN Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #76
Utente accede ad un nuovo SP ORG SP directory Id. P • Perché? • SP deve aver conosciuto l’Id. P username|password authenticated Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #77
Trust building § § § SP non accetta SAML token da chiunque IDP non accetta SAML token da chiunque Ci vuole una relazione di fiducia Come viene stabilita la fiducia tra IDP e SP? Prima che gli utenti dell’Id. P inizino ad usare l’SP, gli amministratori di Id. P e SP devono aver costruito il «trust» reciproco Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #78
Trust building ORG SP SP directory Id. P Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #79
SP 1 Molti SP: Come costruire la fiducia? ORG SP 4 SP 1 SP 2 SP 3 SP 5 SP 6 directory SP 7 Id. P Corso Intensivo APM , Bari, 17 -20 Marzo 2015 SP 8 SP 9 Lalla Mantovani (GARR e UNIMORE) #80
SP 1 Molti SP: Come costruire la fiducia? ORG SP 4 SP 1 SP 2 SP 3 SP 5 SP 6 directory SP 7 Id. P Corso Intensivo APM , Bari, 17 -20 Marzo 2015 SP 8 SP 9 Lalla Mantovani (GARR e UNIMORE) #81
Molti Id. P: Come costruire la fiducia? ORG 1 Id. P 1 ORG 2 SP SP Id. P 2 ORG 3 Id. P 3 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #82
Molti Id. P: Come costruire la fiducia? ORG 1 Id. P 1 ORG 2 SP SP Id. P 2 ORG 3 Id. P 3 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #83
Federazione= ecosistema in cui la fiducia è garantita Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #84
Identity Federations Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #85
Federazione IDEM Metadati: • Raccoglie • Verifica • Aggrega • Firma • Distribuisce Circle of trust in Italia degli Id. P e degli SP del settore istruzione e ricerca SP Id. P Temporizzato SP Id. P Manuale Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Id. P SP Lalla Mantovani (GARR e UNIMORE) #86
Federated identity Armonizzazione attributi 1. attributi riguardanti le caratteristiche personali del soggetto; 2. attributi riguardanti le modalità per contattare il soggetto; 3. attributi di ausilio alla fase di autorizzazione ed eventualmente di accounting; § Tutti gli attributi costituiscono dati personali ai sensi del D. Lgs. 196/2003 (ad eccezione di edu. Person. Scoped. Affiliation), pertanto il loro trattamento è soggetto alla normativa citata. Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #87
Attributi (1) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #88
Attributi (2) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #89
Attributi (3) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #90
edu. Person. Scoped. Affiliation § Student = studenti regolarmente iscritti ad uno dei corsi dell'organizzazione di appartenenza. § Staff = tutto il personale (docenti, personale amministrativo, bibliotecario e tecnico di supporto) in servizio presso l'organizzazione di appartenenza con qualunque tipo di contratto, anche a tempo determinato, oppure rientrante nei contratti cosiddetti atipici (co. co, prestazioni professionali, interinali, ecc. . . ). § Alum = ex studenti dell'organizzazione di appartenenza Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #91
edu. Person. Scoped. Affiliation § Member = tutte le persone che hanno un rapporto istituzionale con l'organizzazione di appartenenza e ai quali viene dato un insieme base di privilegi. Comprende gli student, gli staff, e tutti coloro che pur non rientrando nelle classi precedenti, hanno rapporti istituzionali con la comunità scientifica. § Affiliate = persone con le quali l'organizzazione di appartenenza ha una qualsiasi forma di rapporto ed alle quali è necessario attribuire una identità digitale, ma alle quali non vengono estesi i privilegi derivanti dall'essere membri dell'organizzazione stessa. Ha diritto a servizi locali. Non ha diritto a servizi federati. Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #92
Classi di valori per edu. Person. Affiliation Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #93
Federazione IDEM Circle of Trust in Italia degli Id. P e degli SP del settore istruzione e ricerca § https: //www. idem. garr. it • Ad oggi 109 SP e 64 Id. P di cui: • • • 36 di Università 9 di Enti di Ricerca 5 di IRCCS 2 di IZS 12 di altri • SP che aderisce ad IDEM può fornire il proprio servizio ad utenti italiani del settore R&E ~ 3 milioni di utenti potenziali Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #94
Alcuni SP registrati in IDEM Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #95
Federation Manager: servizi necessari § Verificare l’entità legale dell’Organizzazione che richiede di partecipare alla Federazione. § Raccogliere, verificare (certificati, informazioni, endpoint), aggregare, firmare, redistribuire i metadati degli Id. P e dei SP della Federazione. § Armonizzazione (attributi, entity-category, Mdui, …) § Audit e Monitoring § Offrire supporto tecnico per la risoluzione di problemi di interoperabilità Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #96
Federation Manager: servizi aggiuntivi § Offrire un servizio di Discovery Service § Offrire formazione: § guide di installazione per Id. P e SP § Best practices § Offrire un servizio di Attribute Authority § Offrire facilitazioni per agevolare la partecipazione ( «Id. P in the Cloud» ) Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #97
Come si implementa un SP? https: //www. idem. garr. it/informazionitecniche/guide § 2015, Installazione Shibboleth Service Provider su Debian-Linux § 2014, Guida all’installazione dello Shibboleth Embedded Discovery Service su Debian-Linux § 2014, Guida Installazione Simple. SAMLphp Service Provider su Debian-Linux § 2011, Guida Installazione SP su Win Server 2003 Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 98
Come si implementa un Id. P? https: //www. idem. garr. it/informazionitecniche/guide § 2015, Installazione Shibboleth IDP 2. 4. 0 per Debian-Linux § 2015, Installazione Simple. SAMLphp Identity Provider su Debian-Linux § 2011, Guida Installazione u. Approve 2. 3. 1 su Debian Linux Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 99
Id. M dell’Org che vuole aderire ad IDEM Dominio dell’Organizzazione LDAP/AD istituzionale Risorse della Federazione IDEM Procedure automatiche di sincronizzazione Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Deve essere modificato e reso conforme ai requisiti per l’ingresso in federazione NUOVO SERVER: comporta l’acquisizione di nuove competenze per poterne gestire l’installazione e la configurazione Lalla Mantovani (GARR e UNIMORE) #100
Soluzione «Id. P in the Cloud» Offerta GARR per le Organizzazioni che: § Non hanno sufficienti risorse per poter acquisire nuove competenze e gestire l’Id. P § Non possono modificare l’LDAP istituzionale § Preferiscono una soluzione Saa. S per l’Id. P Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 101
«Id. P in the Cloud» Tipo 1: essenziale facile Interfaccia web per immissione identità da parte dell’istituto Cloud GARR Dominio dell’Organizzazione LDAP/AD istituzionale Corso Intensivo APM , Bari, 17 -20 Marzo 2015 LDAP/AD secondario Risorse della Federazione IDEM VANTAGGI • Nessuna interferenza con l’infrastruttura aziendale • GARR fornisce tutta l’infrastruttura in cloud «chiavi in mano» CRITICITÀ • Gli utenti che vorranno accedere alle risorse IDEM avranno una nuova identità ad hoc • Gestione manuale delle identità a carico dell’istituto Lalla Mantovani (GARR e UNIMORE) #102
«Id. P in the Cloud» Tipo 2: intermedio Sincronizzazione temporizzata su un canale sicuro Cloud GARR Dominio dell’Organizzazione LDAP/AD istituzionale Corso Intensivo APM , Bari, 17 -20 Marzo 2015 LDAP/AD secondario Risorse della Federazione IDEM VANTAGGI • Nessuna interferenza con l’infrastruttura aziendale • GARR fornisce tutta l’infrastruttura in cloud «chiavi in mano» • Gli utenti che vorranno accedere alle risorse IDEM useranno la stessa identità istituzionale CRITICITÀ • I dati personali basilari delle identità aziendali sono replicati nella cloud • La procedura di sincronizzazione non è compresa nel progetto: richiede lavoro personalizzato per istituto Lalla Mantovani (GARR e UNIMORE) #103
«Id. P in the Cloud» Tipo 3: completo No Sincronizzazione, lettura on demand su un canale sicuro (LDAPS/TLS) Cloud GARR Dominio dell’Organizzazione LDAP/AD istituzionale Risorse della Federazione IDEM VANTAGGI • GARR fornisce tutta l’infrastruttura in cloud «chiavi in mano» • Gli utenti che vorranno accedere alle risorse IDEM useranno la stessa identità istituzionale • Nella cloud NON sono registrati dati personali relativi alle identità degli utenti. CRITICITÀ • L’istituto deve mettere in opera le modifiche necessarie a rendere il proprio LDAP istituzionale conforme alle specifiche IDEM Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #104
Federazione edu. GAIN circle of trust mondiale nel settore istruzione e ricerca • • Corso Intensivo APM , Bari, 17 -20 Marzo 2015 La federazione IDEM aderisce ad edu. GAIN SP che, tramite IDEM, aderisce ad edu. GAIN, può offrire il proprio servizio ad utenti di molti paesi ~ 16 milioni di utenti potenziali Oggi 1159 Id. P e 1026 SP 1 Standalone AA Lalla Mantovani (GARR e UNIMORE) #105
Circle of trust aggiornamento dei Metadati Federazione B Federazione A SP Id. P Temporizzato SP Id. P Manuale Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Id. P SP Lalla Mantovani (GARR e UNIMORE) #106
Come partecipare a IDEM e a edu. GAIN https: //www. idem. garr. it/come-partecipare Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #107
Indice 4 § § § § Trust building Federazione di identità Armonizzazione attributi = federated identity La federazione IDEM Federation Manager: servizi necessari Federation Manager: servizi aggiuntivi Inter-federazione edu. GAIN Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #108
5° Convegno IDEM A chi è rivolto il convegno? • Ai bibliotecari: sessione Biblioteche, Beni culturali e progetti europei in Humanities and Social Sciences • Agli esperti tecnici: presentazioni ed approfondimenti sulle ultime novità - confronto con esperti e colleghi • Ai decision maker: opportunità di collaborazione ed innovazione Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #109
Domande? Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #110
Non abbiamo parlato di: § SAML § Content of Payload: XML § Come viene trasportato Account linking Assertions e statements Authentication Context Privacy-preserving persistent identifier e altri meccanismi § Security in SAML § Enhanced Client and Proxy (ECP) Profile § Single Logout Profile § § Corso Intensivo APM , Bari, 17 -20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #111
Madre maria domenica mantovani santa
Madre maria domenica mantovani
Pmis autenticazione
Infrastrutture it resilienti
Infrastrutture portuali
Garr reynolds presentation
Speed test garr
Latifa alaoui
Nadia lalla
Dsv unimore
Dolly blended unimore 2019
Segreterie studenti unimore
Dsv unimore
Scienze biologiche unimore
Dbgroup unimore
Direzione e consulenza d'impresa unimore
Microscopio ottico
Dolly unimore scienze naturali
Alberto rinaldi unimore
