Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della...
-
Upload
gabriele-rossetti -
Category
Documents
-
view
218 -
download
2
Transcript of Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della...
Progetto Shibboleth-UniTo-Scuole
Servizio di autenticazione federataDescrizione della sperimentazione
Torino, 14 dicembre 2009Stefania SellaArea Infrastrutture & Tecnologie
Direzione Progettazione
Progetto Shibboleth-UniTo-Scuole 2
Architetture di accesso ai servizi
Architetture FEDERATE
Shibboleth: come funziona e chi lo adotta
Antefatti del progetto sperimentale
Progetto sostenuto dalla Regione Piemonte
I servizi offerti da CSP alle scuole
Come attivare il circolo 'virtuoso'
Sommario
Progetto Shibboleth-UniTo-Scuole 3
Si distinguono sempre due blocchi funzionali:– Identity Provider (detentore della base dati e validatore della
fase di autenticazione)– Service Provider (detentore del Servizio e validatore della fase
di autorizzazione)
Per la fruizione di un servizio è necessario il superamento di due fasi:• Autenticazione (fase di riconoscimento dell'utente)• Autorizzazione (fase di profilazione e di effettivo accesso al
servizio)
Architetture di accesso ai servizi 1/2
BASE DATI SERVIZIO
UTENTEIdentity Provider Service Provider
Progetto Shibboleth-UniTo-Scuole 4
Normalmente l'Ente che fornisce il servizio si occupa della creazione/ gestione della base dati
Tanti servizi quante basi dati
Altrettanti credenziali di accesso!!!
Inutile spreco di risorse e...di memoria
Architetture di accesso ai servizi 2/2
Progetto Shibboleth-UniTo-Scuole 5
Una sola base dati creata presso la sede dell'Ente cui l'utente appartiene che funge da Identity Provider
Sottoscrizione di un accordo tra Enti (RELAZIONE FIDUCIARIA) così che ciascuno sia garante nei confronti di ogni altro per il
compito gli compete
Ottimizzazione nell'uso delle risorse ed uso di uniche credenziali per l'utente
Architetture FEDERATE di accesso ai servizi
Progetto Shibboleth-UniTo-Scuole 6
Shibboleth...un esempio di AAI FEDERATA
Blocchi funzionali:– IdP (Identity Provider) si interfaccia con il backend di autenticazione
– SP (Service Provider) fornisce servizi (‘protegge’ servizi)
– WAYF/DS (Where Are You From/Discovery Service) guida l'utente nell'individuazione del proprio IdP
Progetto Shibboleth-UniTo-Scuole 7
Shibboleth: come funziona..in breve
L’utente si connette alla risorsae viene rediretto alla pagina delServizio WAYF
L’utente seleziona il proprioIdP
L’utente inserisce le propriecredenziali presso la propriaHome Organization
Superata la fase di autenticazioneOttiene accesso alla risorsa richiesta
1 2
3 4
Progetto Shibboleth-UniTo-Scuole 8
Shibboleth: chi lo adotta
Vari Enti educativo/formativi stanno adottando la piattaforma Shibboleth
non ultimo il GARR che ha promosso IDEM
la prima federazione Shibboleth in Italia
che coinvolge centri di ricerca e Enti accademici
UniTo ha aderito attivamente ad IDEM diventandoa sua volta portavoce e propotrice dell'architettura
Shibboleth
Progetto Shibboleth-UniTo-Scuole 9
• Scelta di UniTo di migrazione all’architettura di autenticazione Shibboleth rinnovo del proprio LDAP in quest'ottica
• Maggiori competenze tecniche in ambito Shibboleth di CSP
• Idea di coinvolgere in una federazione gli Istituti Superiori per avvicinare gli studenti degli ultimi anni all'Università
UniTO, in una prima fase ha dato disponibilità ad ospitare presso un proprio IdP i dati di alcuni utenti degli Istituti, coinvolgibili nella
sperimentazione
Per garanzie di privacy ogni Istituto ha scelto di volersi dotare di un proprio IdP/LDAP
Antefatti al progetto sperimentale... 1/2
ma
Progetto Shibboleth-UniTo-Scuole 10
Problematiche/criticità evidenziate:
- Installazione/configurazione del box presso gli Istituti
- Prototipazione del box
- Gestione/aggiornamento box
- Strutturazione di opportune linee guida che aiutino alla messa in ‘produzione’ del servizio
Antefatti al progetto sperimentale...2/2
Progetto Shibboleth-UniTo-Scuole 11
• Titolo: Architettura Shibboleth per l’accesso unificato a servizi web based
• Sovvenzione della RegPie alle attività di CSP ed indirettamente anche alle Scuole e all’Università
– censimento esteso alle scuole appartenenti al progetto Dschola
– prototipazione del box IdP/LDAP– configurazione/integrazione nella rete dell'Istituto– formazione del personale per l'uso del box– Risoluzione/supporto problematiche fino a chiusura d'anno
(oltre a supporto telefonico in base a necessità)– Raccolta esigenze/vincoli/criticità evidenziate durante la
fase di sperimentazione– Estrapolazione di linee guida utili al consolidamento del
servizio sperimentale e all’estensione dello stesso ad un sempre crescente numero di Istituti
Il progetto sostenuto dalla Regione Piemonte
Progetto Shibboleth-UniTo-Scuole 12
Enti coinvolti nel progetto e rispettivi ruoli
IstitutoMajorana
IstitutoMaxwell
IstitutoAvogadro
CSP
beneficiari dell’iniziativa
supporto tecnico
fornitoredi servizi
UniTo
Progetto Shibboleth-UniTo-Scuole 13
Schema architetturale
IdP
LDAP
MaxwellIdP
LDAP
Avogadro
IdP
LDAP
Majorana
SP
SD/WAYF
UniTo
1
2
3
Apertura porte firewall:443, 22
idp.itismajo.it
idp.itisavogadro.it
itismaxwell.csp.it
LDAP
CSP
idp-csp.csp.it
http://fire.rettorato.unito.it/blog20/
UniTo
Dschola
Dschola
Progetto Shibboleth-UniTo-Scuole 14
Come sono stati coinvolti gli Istituti
• Fornitura del PC/server su cui installare il box IdP/LDAP • Disponibilità di un IP pubblico con cui garantire la raggiungibilità
dell’IdP ad opera dell’SP di UniTo
• Assegnazione di un nome macchina sul dominio dell’Istituto (possibilmente)
• Firma di una dichiarazione per il rilascio, ad opera di CSP, di un certificato a chiave pubblica
• Inserimento dei principali dati dell’utenza che parteciperà alla sperimentazione
• Comunicazione di eventuali anomalie nel funzionamento a CSP
• Raccolta di feedback presso gli utenti direttamente coinvolti nell’iniziativa
Progetto Shibboleth-UniTo-Scuole 15
IdP + LDAP + PHP LDAP Admin
IdP
LDAP
BASE DATIUFFICIALE
SERVIZIO INPRODUZIONE
REPLICA PARZIALEBASE DATI
SERVIZIOSPERIMENTALE
Con esito positivo della fase sperimentale inizierà la fase di consolidamento del servizio e saranno implementate soluzioni che
consentano un allineamento tra le basi dati
Accesso consentito al SOLO amministratore
Progetto Shibboleth-UniTo-Scuole 16
Cosa è stato fatto…
• Installazione/configurazione dei 3 box IdP/LDAP
• Validazione dei box degli Istituti Maxwell e Majorana (grazie al valido supporto di UniTo)
• Caricamento dei dati sulla base dati:
1590 utenze per l'Istituto Avogadro
400 utenze per l'Istituto Majorana
Progetto Shibboleth-UniTo-Scuole 17
… I servizi offerti da CSP alle scuole
• La consulenza tecnica nel dettagliare il funzionamento dell'architettura Shibboleth
• Interfaccia tra Istituti e UniTo
• Installazione/configurazione/validazione dei box– Registrazione dei nomi a dominio– Fornitura dei certificati a chiavi pubbliche– Interfaccia user-friendly per inserimento manuale dei dati nell'LDAP– Caricamento della base dati– Fornitura di script per il caricamento automatico dei dati– Gestione del box durante l'intera fase sperimentale– Formazione per la gestione del box
Linee guida
• Come avviare il “circolo virtuoso”– individuare l'SP-killer application– attivare le scuole affinché creino un proprio SP – definire la struttura della federazione estesa cui potranno
partecipare in modo opportuno: PA, università del territorio regionale, Istituti Superiori piemontesi
• Primi scenari di federazione coinvolgente gli Istituti Scolastici e l'impegno di UniTo:
– blog– servizio e-learning – servizio wifi
• Come aderire alla federazione– Procedure e documentazione per sottoscrivere la federazione
Progetto Shibboleth-UniTo-Scuole 18
Progetto Shibboleth-UniTo-Scuole 19
Contatti
Stefania SellaArea Infrastrutture & TecnologieDirezione Progettazione
mail: [email protected] cell: +39 348 6424348tel. +39 011 4815110
CSP innovazione nelle ICT
Sede via Livorno 60 - 10144 TorinoEdificio Laboratori A1Tel +39 011 4815111Fax +39 011 4815001E-mail: [email protected]
Seconda sede operativaVilla Gualino - Viale Settimio Severo 6310133 Torino
www.csp.it
Progetto Shibboleth-UniTo-Scuole 20
Elenco attributi ‘obbligatori’
• Cognome• Nome• Ruolo dell’utente (studente, docente, …)• Username dell’utente• Password dell’utente• Indirizzo email