"Infrastrutture di autenticazione e autorizzazione" e "La federazione IDEM"

Infrastrutture di autenticazione e

autorizzazione

La federazione IDEM

Corso Intensivo APM , Bari, 17-20 Marzo 2015

Lalla Mantovani (GARR e UNIMORE)

Indice 1

Autenticazione (AuthN)

Autorizzazione (AuthZ)

Identity management

Single sign on

Corso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #2

Identity Management Mess

IAM SSO IdP SPCorso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #3

Authentication

Corso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 4

Authentic Not Authentic

nel mondo reale

Authentication

nel mondo digitaleAutenticazione = La procedura che permette di verificare che una identità digitale appartiene al suo legittimo possessore (il presentatore della identità digitale è colui che asserisce di essere; è proprio lui) Nel mondo digitale semplifichiamo la verifica con:

username|password

lmantovani|MyS3cr3#

username => identifier

Ci rimanda all’entità con cui abbiamo a che fare

password => shared secret

Ci conferma che l’identità dell’entità è autentica


Come funziona l’autenticazione

lmantovani|MyS3cr3#

lmantovani|MyS3cr3#

lmantovani


La password può essere facilmente rubata o scoperta (identity theft)->

One-factor authentication

Two-factor authentication

Multi-factor authentication


mitigate risks, improve security

Second factor: device

One Time PasswordCertificate

Fingerprint

SMS One Time Password


Second factor: location, behaviour

incrementa la sicurezza delle password usando(senza intromissione) la tua location

Prima memorizza informazioni sulle tueabitudini (tipo di browser, indirizzo IP, lingua, …, numero telefono mobile, …)

Quando ti ricolleghi dallo stesso PC, vieniautenticato automaticamente sulla base di “dove sei”, con un secondo fattore di controllopassivo, senza domande, più facile per l’utente


Authorization

= Access control

Cosa sei autorizzato a fare?


Come funziona l’autorizzazione

Servizio Almantovani

Servizio B

Servizio A?

lmantovani ∈ Servizio A


Role based access control

Rettore/Dirigente

StudentiPersonale

T/AProfessori

StaffHuman

Resources

Organization


App dedicate a professori

App

App

App


App dedicate a personale

App

App

App


App dedicate a studenti

App

App

App


App dedicate a manager

AppApp

App


App dedicate a contrattisti

App

App

App



App App App

App App App

App App App

App App App

App App App

App App App

App App App

App App App

App App App


Layer of abstraction

=> Roles


App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

App

insegnare

assistere

studiare

per tutti

gestire

pagare

privato

dirigere

reclutare


Come funziona l’autorizzazione

con i ruoli

Servizio Almantovani

Servizio B

Servizio A?

lmantovani ∈ insegnare

insegnare ∈ Servizio A


Single password

App passwordpassword

App password

App password


Nel dominio dell’Organizzazione

Single password

Apppassword

App

App

password

password

password

password directory

single passwordCorso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) #24

Nel dominio dell’Organizzazione

directory

Rettore/Dirigente

Studenti Personale T/A

Professori

StaffHuman

Resources

insegnare

assistere

studiare

per tutti

gestire

pagare

privato

dirigere

reclutare

password


Single sign on

Single password

Single storage

Multiple app Devo inserire

la passwordper fare loginsu ogni app

Single sign on Inserisco la password una volta sola

Identity Management System RICORDA chi sei

password

directory

App

App

App

password

password

password

Single Management Point


Ricorda?

Token


Token

Cinema

?


Acquisto un Ticket (registration)

Ottengo un Token (authentication)

Ticket abilita a controlli differenziati


Token

Cinema


Ticket = Token

Può contenere informazioni di autorizzazione

DATA POSTO


Provisioning

Nuovo

identity management system

lmantovani|MyS3cr3#

App

App

insegnare

per tutti

App

App

App

App


Deprovisioning

identity management system

App

App

insegnare

per tutti

App

App

App

App


Identity life cycle

Provisioning

Managing

Deprovisioning


Abbiamo parlato di:

Autenticazione Multi factor auth

Autorizzazione Role based access control

Single sign on token

Identity management Provisioning Deprovisioning Identity life cicle


Indice 2

Governare Identity & Access Management System

Fonti dati autoritative

Identificazione -> provisioning

Riconciliazione

LDAP

Directory Information Tree

Schema



Developed by Ann West, of Internet2, Lynn McRae, of Stanford, Tom Barton, of the University of

Chicago, and Steven Carmody, of Brown University, and used with permission from Internet2.


Ciclo di vita dell'identità

Riconciliazione


101 cose da sapere su Single Sign On.

IDENTITÀ:

1. Il Single sign on richiede fonti di identità autorevoli.

2. Autorevoli fonti di identità devono contenere tutti i dati necessari sulle identità degli utenti

3. Fonti autorevoli di identità necessitano di processi di provisioning sempre aggiornati ed allineati con i processi amministrativi

5. Quando un utente viene assunto, il processo di provisioning dovrebbe mirare a fornire l'accesso ai sistemi e alle applicazioni nello stesso giorno.

6. Quando il ruolo di un utente viene modificato, l'obiettivo del processo di provisioning dovrebbe essere quello di rendere disponibile la variazione nello stesso giorno.

7. Quando un utente è cessato, l'obiettivo del processo di provisioning dovrebbe essere quello di disabilitare l'utente da tutti i sistemi e dalle applicazioni nello stesso giorno.

8. Ogni fonte autorevole di identità deve essere collegata alla directory LDAP dell’organizzazione

9. La Sincronizzazione delle modifiche tra la fonte autorevole delle identità e la directory deve essere in pochi minuti e nel caso peggiore, alla fine della giornata.

12. È necessario un identificatore unico per ogni utente nell’interno dell’organizzazione.

14. La qualità del sistema di SSO dipende dalla qualità dei dati delle identità, non dall’apparecchiatura. Se la qualità dei dati di identità è povera, allora il vostro sistema di SSO sarà anche povero dal punto di vista della sicurezza.

15. Creare una struttura di governo dei dati delle identità dell’organizzazione è importante per regolamentare le modifiche apportate dalle fonti autorevoli sui dati delle identità che verranno usate dal single sign on e dalle applicazioni.

http://www.authenticationworld.com/Single-Sign-On-Authentication/101ThingsToKnowAboutSingleSignOn.pdfCorso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE) 40

http://www.authenticationworld.com/Single-Sign-On-Authentication/101ThingsToKnowAboutSingleSignOn.pdf

Come organizzare la directory?

Rettore/Dirigente

Studenti Personale T/A

Professori

StaffHuman

Resources

insegnare

assistere

studiare

per tutti

gestire

pagare

privato

dirigere

reclutare

password


Struttura di LDAP

(Lightweight Directory Access Protocol)

Le informazioni vengono organizzate ad albero (Directory Information Tree – DIT)


Base DN (Distinguished Name)

Org Domain Namedn: dc=unimore,dc=it

RDN: ou=peopleDN: ou=people,dc=unimore,dc=it

RDN: uid=lmantovaniDN: uid=lmantovani,ou=people,dc=unimore,dc=it

[RFC 2377] “Naming Plan for Internet Directory-

Enabled Applications” September 1998


NO

Non conviene mettere le persone sotto i

dipartimenti. Questa scelta non è conforme a

RFC2377

RDN delle persone deve

garantire l’univocità (problema omonimi).

Scegliere un identificativo

per le persone. Preferire la UID nota all’utente.


SÌ


Schema design (1)

Usare gli schemi standard

objectclass: topobjectclass: personobjectclass: organizationalPersonobjectclass: inetOrgPerson

objectclass: eduPersonobjectclass: schac

objectclass: localdomainEduPerson

già presenti

da aggiungere

solo se necessario


Schema design (2)

Quali attributi scegliere e valorizzare?



Identità digitale parziale

Relativa ad un contesto

In ogni contesto esistono attributi necessari ed altri non necessari

In certi contesti la persona vuole rimanere anonima, in altri contesti preferisce presentarsi con uno pseudonimo, in altri casi è necessario rivelare l’identità reale

E’ necessario poter collegare tra loro le identità digitali parziali relative ad una stessa persona?

(Borcea-Pfitzmann et al., 2006).


Trattamento dati personali

In Italia il trattamento dei dati personali, quindi anche delle identità digitali parziali, è regolato dal Decreto legislativo 30 giugno 2003, n. 196 - Codice in materia di protezionedei dati personali (Testo unico privacy)

I sistemi di Identity Management devono essere progettati in modo da rispettare la legge, in particolare proteggendo i dati (Art.1).


Trattamento dati personali

Art. 3. Principio di necessità nel trattamento dei dati1. I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità. (n.d.r.pseudonomizzazione)

Core.schema e relative ObjectClass

Person represents a human being

objectclass ( 2.5.6.6 NAME 'person‘DESC 'RFC2256: a person‘SUP top STRUCTURALMUST (

sn

$

cn )

MAY ( userPassword $

telephoneNumber

$ seeAlso $ description ) )

cognome

nome cognome

Gli Attributi si devono

valorizzare secondo

il significato definito

negli RFC

Gli Attributi

possono essere

non valorizzati


Core.schema e relative ObjectClass

The 'organizationalPerson' object class is the basis of an entry that represents a person in relation to an organization. ( 2.5.6.7 NAME 'organizationalPerson'

SUP person STRUCTURAL MAY ( title $

x121Address $ registeredAddress $ destinationIndicator $ preferredDeliveryMethod $ telexNumber $ teletexTerminalIdentifier $ telephoneNumber $ internationalISDNNumber $ facsimileTelephoneNumber $ street $ postOfficeBox $ postalCode $ postalAddress $ physicalDeliveryOfficeName $ ou $ st $ //state, provincel ) ) //localityName


inetorgperson.schema

NAME 'inetOrgPerson'

SUP organizationalPersonSTRUCTURAL MAY ( audio $ businessCategory $ carLicense $ departmentNumber $ displayName $ uid $givenName $ employeeNumber $ mail $employeeType $ //type of employment for a person

mobile $ homePhone $ homePostalAddress $ initials $ jpegPhoto $ labeledURI $ manager $ o $ pager $ photo $ roomNumber $ secretary $ userCertificate $ x500uniqueIdentifier $ preferredLanguage $ userSMIMECertificate $ userPKCS12 ) )

login name

nome

identificatore


eduPerson

# The eduPerson objectclass is used to represent people who are# associated with a university/school in some way. It is derived# from the inetOrgPerson objectclass.

objectclass ( 1.3.6.1.4.1.5923.1.1.2NAME 'eduPerson'AUXILIARYMAY ( eduPersonAffiliation $

eduPersonNickname $eduPersonOrgDN $ eduPersonOrgUnitDN $eduPersonPrimaryAffiliation $eduPersonPrincipalName $

eduPersonEntitlement$ eduPersonPrimaryOrgUnitDN $

eduPersonScopedAffiliation $ eduPersonTargetedID

) )


<myorg.schema>

unimorecodicefiscale:

unimorestudnumerotessera:

unimorestuddescrcorso:

unimorestudmatricola:

unimorestudduratacorso:

unimorecorscodicetipocorso:

unimorecorsdescrizionecorso:

unimorecorsdurataanni:

unimorestudultimoannoaccademico

:

unimorestuddatarilasciotessera:

Attributi utili per

autorizzare

applicazioni

istituzionali

Unifica

accesso

Windows

Unifica

accesso

UNIX<nis.schema>

loginShell:

uidNumber:

gidNumber:

homeDirectory:

gecos:

shadowExpire:

shadowInactive:

shadowLastChange:

Per federarsi

<samba.schema>

sambaNTPassword:

sambaPwdMustChange

:

sambaPrimaryGroupS

ID:

sambaPwdLastSet:

sambaSID:

sambaHomeDrive: <eduPerson.schema>

<schac.schema>

Arricchimento People


Sincronizzazione / Backend


Person Registry

LDAP

Selezionare il minimo dei dati

indispensabili in base ad uno

schema.

Consolidare in base ad un ID

Conference

guests

Altri ospiti,

senza contr.,

library-walk-in

La directory

viene gestita

con l’identity

managemnt

dell’organizza-

zione e

contiene i dati

indispensabili

per autenticare

ed autorizzare

le applicazioni

Abbiamo parlato di:

Governare Identity & Access Management System

Fonti dati autoritative

Identificazione -> provisioning

Riconciliazione

LDAP

Directory Information Tree

Schema


Indice 3

Software as a Service (SaaS)

Security Assertion Markup Language (SAML)

Identity Provider (IdP)

Service Provider (SP)

SAML Web Browser SSO Profile

SAML SSO token & lifetime

Discovery Service (DS)


Software as a Service (SaaS)

Università:

Studenti e didattica

Docenti e ricerca

Protocollo

Portali

Box

GoogleApps

Office365


Scuola:

• Registro elettronico

• Portale

• Box

• GoogleApps

• Office365


Accedere a SaaS?

ORG

directory

username|password

Provisioning?Deprovisioning?

Corso Intensivo APM , Bari, 17-20 Marzo 2015 Lalla Mantovani (GARR e UNIMORE)

#61

#61

SAML

Simple Assertion Markup Language

Obiettivo: risolvere i problemi di:

Amministratore dell’Org: vuole gestire gli utenti dell’organizzazione

Utente: vuole accedere facilmente

Amministratore del Servizio: vuole concentrarsi sulle funzioni dell’applicazione e non sulla sicurezza


SAML e accesso a SaaS

ORG

directory

IdPusername|password

authenticated

happy!happy!

happy!


SAML risolve questi problemi

Organizzazioni:

gestiscono meglio il ciclo di vita degli utenti

Provisioning|Deprovisioning

Utenti:

Ricordano le loro poche password

Servizi

Si concentrano sul loro core business e non si preoccupano della sicurezza delle password


SAML: benefici

SSO nell’accesso a molti servizi fuori dal dominio della propria organizzazione

Identity management unificato nell’accesso a molti servizi fuori dal dominio della propria organizzazione

Federated identity: gli IdP hanno stabilito un accordo comune sulla definizione degli utenti, perciò i SP possono applicare regole uniformi a tutti gli utenti della federazione


SAML e accesso a SaaS: init

ORG

directory


authenticated

SP

IdP-initiated-WebBrowserSSO

SP-initiated-WebBrowserSSO

SAML token


Discovery Problem

Arriva un utente e devo mandarlo alla sua home organization. Ma non so chi sia l’utente, né a quale organizzazione appartiene Utente accede a org1.cloudservice.com => Servizio

personalizzato per Org1 => utente proviene da Org1

Utente accede a servizio generico cloudservice.com =>Chiedo email a utente =>Utente: [email protected] =>utente proviene da Org1

Utente accede a servizio generico cloudservice.com =>chiedo a utente di selezionare la sua organizzazione da una lista


mailto:[email protected]

Discovery Service

ORG

directory


authenticated

SP

SP-initiated-WebBrowserSSO

SAML token


DS

Lifetime?

ORG

directory


authenticated

2h? Tempo scadutoUtente ancora

valido?

rinnovato


SAML token/assertion

Subject: identifierAttributi:Identifier (uid)SnCnTelephonNumbergivenNameMaileduPersonPrincipalNameeduPersonEntitlementeduPersonScopedAffiliationeduPersonTargetedIDGroupDepartmentRoleOrganization--------------------------------------Identity Provider emittenteAuthentication ContextLifetime

• Non contiene mai la password

• Il token è firmato


Art. 3. Principio di necessità nel trattamento dei dati

1. I sistemi informativi e i programmi informatici sono configurati riducendo al

minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il

trattamento quando le finalità perseguite nei singoli casi possono essere realizzate

mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di

necessità.

Consenso al rilascio attributi

ORG

directory


authenticated


Tutti uguali?Contrario al principio di necessità

SP1

SP3SP2Consent?

Framework che implementano SAML

Open source

Shibboleth

SimpleSAMLphp

Licensed

ADFS


Identity Provider Service Provider

Open source• Shibboleth• SimpleSAMLphp

http://en.wikipedia.org/wiki/SAML-based_products_and_services

Software as a Service • GoogleApps• Office365• U-Gov• SebinaWeb• MediaLibrary• box

Corso Intensivo APM , Bari,

17-20 Marzo 2015Lalla Mantovani (GARR e UNIMORE) 73

LDAP pronto per aiutare nell’Autenticazione e nell’Autorizzazione

Person Registry

LDAP

Altri sistemi

Selezionare il minimo dei dati

indispensabili in base ad uno

schema.

Consolidare in base ad un ID

Applicazioni

WEB

MAIL

Servizi al

Personale

LIBRARY

WIKI

Wi-Fi

VPN

NAC

GoogleAppsYouTubeEDU

SaaS

Conference

guests

Altri ospiti,

senza contr.,

library-walk-in

Lalla Mantovani (GARR e UNIMORE)

74Corso Intensivo APM , Bari, 17-

20 Marzo 2015

IDEM ed EDUROAM insieme forniscono all’utente più ampie possibilità di accesso

Person Registry

LDAP

Organizzazione

Radius Server

Abbiamo parlato di:

Software as a Service (SaaS) Security Assertion Markup Language (SAML) Identity Provider (IdP) Service Provider (SP) SAML Web Browser SSO Profile Discovery Service (DS) SAML SSO token & lifetime SAML assertion Consenso al rilascio degli attributi


Indice 4

Trust building

Federazione di identità

Armonizzazione attributi = federated identity

La federazione IDEM

Federation Manager: servizi necessari

Federation Manager: servizi aggiuntivi

Inter-federazione eduGAIN


Utente accede ad un nuovo SP

ORG

directory


authenticated

• Perché?• SP deve aver conosciuto l’IdP

SP


Trust building

SP non accetta SAML token da chiunque

IDP non accetta SAML token da chiunque

Ci vuole una relazione di fiducia

Come viene stabilita la fiducia tra IDP e SP?

Prima che gli utenti dell’IdP inizino ad usare l’SP, gli amministratori di IdP e SP devono aver costruito il «trust» reciproco


Trust building

ORG

directory

IdP

SP

IdP

SP


SP6

SP5SP4

SP4SP5

SP6

Molti SP:

Come costruire la fiducia?

ORG

directory

IdP IdP

SP3

SP2SP1

SP1SP2

SP3

SP9

SP8SP7

SP7SP8

SP9


SP6

SP5SP4

SP4SP5

SP6

Molti SP:

Come costruire la fiducia?

ORG

directory

IdP IdP

SP3

SP2SP1

SP1SP2

SP3

SP9

SP8SP7

SP7SP8

SP9


Molti IdP:

Come costruire la fiducia?ORG1

IdP1

SPSP


ORG2

IdP2ORG3

IdP3

Molti IdP:

Come costruire la fiducia?ORG1

IdP1

SPSP


ORG2

IdP2ORG3

IdP3

Federazione= ecosistema in cui la

fiducia è garantita


Identity Federations


Lalla Mantovani (GARR e UNIMORE) #86Corso Intensivo APM , Bari, 17-20 Marzo 2015

Federazione IDEM

IdP

IdP

IdP

IdP

IdP SP

SP

SP

SP

SP

Temporizzato

Manuale

Metadati:• Raccoglie• Verifica• Aggrega• Firma• Distribuisce

Circle of trust in Italia

degli IdP e degli SP del

settore istruzione e

ricerca

Federated identity

Armonizzazione attributi

1. attributi riguardanti le caratteristiche personali del soggetto;

2. attributi riguardanti le modalità per contattare il soggetto;

3. attributi di ausilio alla fase di autorizzazione ed eventualmente di accounting;

Tutti gli attributi costituiscono dati personali ai sensi del D.Lgs. 196/2003 (ad eccezione di eduPersonScopedAffiliation), pertanto il loro trattamento è soggetto alla normativa citata.


Attributi (1)


Attributi (2)


Attributi (3)


eduPersonScopedAffiliation

Student = studenti regolarmente iscritti ad uno dei corsi dell'organizzazione di appartenenza.

Staff = tutto il personale (docenti, personale amministrativo, bibliotecario e tecnico di supporto) in servizio presso l'organizzazione di appartenenza con qualunque tipo di contratto, anche a tempo determinato, oppure rientrante nei contratti cosiddetti atipici (co.co.co, prestazioni professionali, interinali, ecc...).

Alum = ex studenti dell'organizzazione di appartenenza


eduPersonScopedAffiliation

Member = tutte le persone che hanno un rapporto istituzionale con l'organizzazione di appartenenza e ai quali viene dato un insieme base di privilegi. Comprende gli student, gli staff, e tutti coloro che pur non rientrando nelle classi precedenti, hanno rapporti istituzionali con la comunità scientifica.

Affiliate = persone con le quali l'organizzazione di appartenenza ha una qualsiasi forma di rapporto ed alle quali è necessario attribuire una identità digitale, ma alle quali non vengono estesi i privilegi derivanti dall'essere membri dell'organizzazione stessa. Ha diritto a servizi locali. Non ha diritto a servizi federati.


Classi di valori per

eduPersonAffiliation


Federazione IDEM

Circle of Trust in Italia degli IdP e degli SP del settore istruzione e ricerca

https://www.idem.garr.it

• Ad oggi 109 SP e 64 IdP di cui:• 36 di Università

• 9 di Enti di Ricerca

• 5 di IRCCS

• 2 di IZS

• 12 di altri

• SP che aderisce ad IDEM può fornire il proprio servizio ad utenti italiani del settore R&E~ 3 milioni di utenti potenziali


Alcuni SP registrati in IDEM


Federation Manager: servizi

necessari

Verificare l’entità legale dell’Organizzazione che richiede di partecipare alla Federazione.

Raccogliere, verificare (certificati, informazioni, endpoint), aggregare, firmare, redistribuire i metadati degli IdP e dei SP della Federazione.

Armonizzazione (attributi, entity-category, Mdui, …)

Audit e Monitoring Offrire supporto tecnico per la risoluzione di

problemi di interoperabilità


Federation Manager: servizi

aggiuntivi

Offrire un servizio di Discovery Service

Offrire formazione:

guide di installazione per IdP e SP

Best practices

Offrire un servizio di Attribute Authority

Offrire facilitazioni per agevolare la partecipazione («IdP in the Cloud»)


Come si implementa un SP?

https://www.idem.garr.it/informazioni-tecniche/guide

2015, Installazione Shibboleth Service Provider su Debian-Linux

2014, Guida all’installazione dello ShibbolethEmbedded Discovery Service su Debian-Linux

2014, Guida Installazione SimpleSAMLphp Service Provider su Debian-Linux

2011, Guida Installazione SP su Win Server 2003



https://www.idem.garr.it/it/documenti/doc_download/313-installazione-shibboleth-service-provider-su-debian-linux

https://www.idem.garr.it/it/documenti/doc_download/359-guida-all-installazione-dello-shibboleth-embedded-discovery-service-su-debian-linux

https://www.idem.garr.it/it/documenti/doc_download/312-installazione-simplesamlphp-service-provider-su-debian-linux

https://www.idem.garr.it/it/documenti/doc_download/178-guida-installazione-sp-su-win-server-2003pdf

Come si implementa un IdP?


2015, Installazione Shibboleth IDP 2.4.0 per Debian-Linux

2015, Installazione SimpleSAMLphp Identity Provider su Debian-Linux

2011, Guida Installazione uApprove 2.3.1 su Debian Linux



https://www.idem.garr.it/it/documenti/doc_download/314-installazione-shibboleth-idp-2-4-0-per-debian-linux

https://www.idem.garr.it/it/documenti/doc_download/311-installazione-simplesamlphp-identity-provider-su-debian-linux

https://www.idem.garr.it/it/documenti/doc_download/180-guida-installazione-uapprove-231-su-debian-linuxpdf

IdM dell’Org che vuole aderire ad IDEM

LDAP/AD istituzionale

Risorse dellaFederazione IDEM

NUOVO SERVER:comporta l’acquisizione di

nuove competenze per poterne gestire

l’installazione e la configurazione

Deve essere modificato e reso conforme ai requisiti

per l’ingresso in federazione

Procedure automatiche di sincronizzazione

Dominio dell’Organizzazione


Soluzione «IdP in the Cloud»

Offerta GARR per le Organizzazioni che:

Non hanno sufficienti risorse per poter acquisire nuove competenze e gestire l’IdP

Non possono modificare l’LDAP istituzionale

Preferiscono una soluzione SaaS per l’IdP


«IdP in the Cloud» Tipo 1: essenziale -

facile




CloudGARR

Interfaccia web per immissione identità da parte dell’istituto

VANTAGGI• Nessuna interferenza con l’infrastruttura aziendale • GARR fornisce tutta l’infrastruttura in cloud «chiavi

in mano»CRITICITÀ• Gli utenti che vorranno accedere alle risorse IDEM

avranno una nuova identità ad hoc• Gestione manuale delle identità a carico

dell’istituto

LDAP/AD secondario


«IdP in the Cloud» Tipo 2: intermedio




LDAP/AD secondarioCloud

GARR

VANTAGGI• Nessuna interferenza con l’infrastruttura aziendale • GARR fornisce tutta l’infrastruttura in cloud «chiavi

in mano»• Gli utenti che vorranno accedere alle risorse IDEM

useranno la stessa identità istituzionaleCRITICITÀ• I dati personali basilari delle identità aziendali sono

replicati nella cloud• La procedura di sincronizzazione non è compresa

nel progetto: richiede lavoro personalizzato per istituto

Sincronizzazione temporizzata su un

canale sicuro


«IdP in the Cloud» Tipo 3: completo



CloudGARR

No Sincronizzazione, lettura on demand su

un canale sicuro (LDAPS/TLS)


VANTAGGI• GARR fornisce tutta l’infrastruttura in cloud «chiavi in

mano»• Gli utenti che vorranno accedere alle risorse IDEM

useranno la stessa identità istituzionale• Nella cloud NON sono registrati dati personali relativi

alle identità degli utenti.CRITICITÀ• L’istituto deve mettere in opera le modifiche necessarie

a rendere il proprio LDAP istituzionale conforme alle specifiche IDEM


Federazione eduGAIN

• La federazione IDEM aderisce ad eduGAIN

• SP che, tramite IDEM, aderisce ad eduGAIN, può offrire il proprio servizio ad utenti di molti paesi~ 16 milioni di utenti potenziali

• Oggi 1159 IdP e 1026 SP

• 1 Standalone AA

circle of trust mondiale nel settore istruzione e ricerca



Circle of trust

aggiornamento dei Metadati

Federazione A Federazione B

IdP

IdP

IdP

IdP

IdP SP

SP

SP

SP

SP

Temporizzato

Manuale

Come partecipare a IDEM e a

eduGAIN


https://www.idem.garr.it/come-partecipare

https://www.idem.garr.it/come-partecipare

Indice 4

Trust building

Federazione di identità

Armonizzazione attributi = federated identity

La federazione IDEM

Federation Manager: servizi necessari

Federation Manager: servizi aggiuntivi

Inter-federazione eduGAIN


5° Convegno IDEM


A chi è rivolto il convegno?

• Ai bibliotecari: sessione Biblioteche, Beni culturali e progetti europei in Humanities and Social Sciences

• Agli esperti tecnici: presentazioni ed approfondimenti sulle ultime novità -confronto con esperti e colleghi

• Ai decision maker: opportunità di collaborazione ed innovazione

Domande?


Non abbiamo parlato di:

SAML Content of Payload: XML Come viene trasportato

Account linking Assertions e statements Authentication Context Privacy-preserving persistent identifier e altri

meccanismi Security in SAML Enhanced Client and Proxy (ECP) Profile Single Logout Profile
