Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della...

Progetto Shibboleth-UniTo-Scuole

Servizio di autenticazione federataDescrizione della sperimentazione

Torino, 14 dicembre 2009Stefania SellaArea Infrastrutture & Tecnologie

Direzione Progettazione

Progetto Shibboleth-UniTo-Scuole 2

Architetture di accesso ai servizi

Architetture FEDERATE

Shibboleth: come funziona e chi lo adotta

Antefatti del progetto sperimentale

Progetto sostenuto dalla Regione Piemonte

I servizi offerti da CSP alle scuole

Come attivare il circolo 'virtuoso'

Sommario


Si distinguono sempre due blocchi funzionali:– Identity Provider (detentore della base dati e validatore della

fase di autenticazione)– Service Provider (detentore del Servizio e validatore della fase

di autorizzazione)

Per la fruizione di un servizio è necessario il superamento di due fasi:• Autenticazione (fase di riconoscimento dell'utente)• Autorizzazione (fase di profilazione e di effettivo accesso al

servizio)

Architetture di accesso ai servizi 1/2

BASE DATI SERVIZIO

UTENTEIdentity Provider Service Provider


Normalmente l'Ente che fornisce il servizio si occupa della creazione/ gestione della base dati

Tanti servizi quante basi dati

Altrettanti credenziali di accesso!!!

Inutile spreco di risorse e...di memoria

Architetture di accesso ai servizi 2/2


Una sola base dati creata presso la sede dell'Ente cui l'utente appartiene che funge da Identity Provider

Sottoscrizione di un accordo tra Enti (RELAZIONE FIDUCIARIA) così che ciascuno sia garante nei confronti di ogni altro per il

compito gli compete

Ottimizzazione nell'uso delle risorse ed uso di uniche credenziali per l'utente

Architetture FEDERATE di accesso ai servizi


Shibboleth...un esempio di AAI FEDERATA

Blocchi funzionali:– IdP (Identity Provider) si interfaccia con il backend di autenticazione

– SP (Service Provider) fornisce servizi (‘protegge’ servizi)

– WAYF/DS (Where Are You From/Discovery Service) guida l'utente nell'individuazione del proprio IdP


Shibboleth: come funziona..in breve

L’utente si connette alla risorsae viene rediretto alla pagina delServizio WAYF

L’utente seleziona il proprioIdP

L’utente inserisce le propriecredenziali presso la propriaHome Organization

Superata la fase di autenticazioneOttiene accesso alla risorsa richiesta

1 2

3 4


Shibboleth: chi lo adotta

Vari Enti educativo/formativi stanno adottando la piattaforma Shibboleth

non ultimo il GARR che ha promosso IDEM

la prima federazione Shibboleth in Italia

che coinvolge centri di ricerca e Enti accademici

UniTo ha aderito attivamente ad IDEM diventandoa sua volta portavoce e propotrice dell'architettura

Shibboleth


• Scelta di UniTo di migrazione all’architettura di autenticazione Shibboleth rinnovo del proprio LDAP in quest'ottica

• Maggiori competenze tecniche in ambito Shibboleth di CSP

• Idea di coinvolgere in una federazione gli Istituti Superiori per avvicinare gli studenti degli ultimi anni all'Università

UniTO, in una prima fase ha dato disponibilità ad ospitare presso un proprio IdP i dati di alcuni utenti degli Istituti, coinvolgibili nella

sperimentazione

Per garanzie di privacy ogni Istituto ha scelto di volersi dotare di un proprio IdP/LDAP

Antefatti al progetto sperimentale... 1/2

ma


Problematiche/criticità evidenziate:

- Installazione/configurazione del box presso gli Istituti

- Prototipazione del box

- Gestione/aggiornamento box

- Strutturazione di opportune linee guida che aiutino alla messa in ‘produzione’ del servizio

Antefatti al progetto sperimentale...2/2


• Titolo: Architettura Shibboleth per l’accesso unificato a servizi web based

• Sovvenzione della RegPie alle attività di CSP ed indirettamente anche alle Scuole e all’Università

– censimento esteso alle scuole appartenenti al progetto Dschola

– prototipazione del box IdP/LDAP– configurazione/integrazione nella rete dell'Istituto– formazione del personale per l'uso del box– Risoluzione/supporto problematiche fino a chiusura d'anno

(oltre a supporto telefonico in base a necessità)– Raccolta esigenze/vincoli/criticità evidenziate durante la

fase di sperimentazione– Estrapolazione di linee guida utili al consolidamento del

servizio sperimentale e all’estensione dello stesso ad un sempre crescente numero di Istituti

Il progetto sostenuto dalla Regione Piemonte


Enti coinvolti nel progetto e rispettivi ruoli

IstitutoMajorana

IstitutoMaxwell

IstitutoAvogadro

CSP

beneficiari dell’iniziativa

supporto tecnico

fornitoredi servizi

UniTo


Schema architetturale

IdP

LDAP

MaxwellIdP

LDAP

Avogadro

IdP

LDAP

Majorana

SP

SD/WAYF

UniTo

1

2

3

Apertura porte firewall:443, 22

idp.itismajo.it

idp.itisavogadro.it

itismaxwell.csp.it

LDAP

CSP

idp-csp.csp.it

http://fire.rettorato.unito.it/blog20/

UniTo

Dschola

Dschola


Come sono stati coinvolti gli Istituti

• Fornitura del PC/server su cui installare il box IdP/LDAP • Disponibilità di un IP pubblico con cui garantire la raggiungibilità

dell’IdP ad opera dell’SP di UniTo

• Assegnazione di un nome macchina sul dominio dell’Istituto (possibilmente)

• Firma di una dichiarazione per il rilascio, ad opera di CSP, di un certificato a chiave pubblica

• Inserimento dei principali dati dell’utenza che parteciperà alla sperimentazione

• Comunicazione di eventuali anomalie nel funzionamento a CSP

• Raccolta di feedback presso gli utenti direttamente coinvolti nell’iniziativa


IdP + LDAP + PHP LDAP Admin

IdP

LDAP

BASE DATIUFFICIALE

SERVIZIO INPRODUZIONE

REPLICA PARZIALEBASE DATI

SERVIZIOSPERIMENTALE

Con esito positivo della fase sperimentale inizierà la fase di consolidamento del servizio e saranno implementate soluzioni che

consentano un allineamento tra le basi dati

Accesso consentito al SOLO amministratore


Cosa è stato fatto…

• Installazione/configurazione dei 3 box IdP/LDAP

• Validazione dei box degli Istituti Maxwell e Majorana (grazie al valido supporto di UniTo)

• Caricamento dei dati sulla base dati:

1590 utenze per l'Istituto Avogadro

400 utenze per l'Istituto Majorana


… I servizi offerti da CSP alle scuole

• La consulenza tecnica nel dettagliare il funzionamento dell'architettura Shibboleth

• Interfaccia tra Istituti e UniTo

• Installazione/configurazione/validazione dei box– Registrazione dei nomi a dominio– Fornitura dei certificati a chiavi pubbliche– Interfaccia user-friendly per inserimento manuale dei dati nell'LDAP– Caricamento della base dati– Fornitura di script per il caricamento automatico dei dati– Gestione del box durante l'intera fase sperimentale– Formazione per la gestione del box

Linee guida

• Come avviare il “circolo virtuoso”– individuare l'SP-killer application– attivare le scuole affinché creino un proprio SP – definire la struttura della federazione estesa cui potranno

partecipare in modo opportuno: PA, università del territorio regionale, Istituti Superiori piemontesi

• Primi scenari di federazione coinvolgente gli Istituti Scolastici e l'impegno di UniTo:

– blog– servizio e-learning – servizio wifi

• Come aderire alla federazione– Procedure e documentazione per sottoscrivere la federazione



Contatti

Stefania SellaArea Infrastrutture & TecnologieDirezione Progettazione

mail: [email protected] cell: +39 348 6424348tel. +39 011 4815110

CSP innovazione nelle ICT

Sede via Livorno 60 - 10144 TorinoEdificio Laboratori A1Tel +39 011 4815111Fax +39 011 4815001E-mail: [email protected]

Seconda sede operativaVilla Gualino - Viale Settimio Severo 6310133 Torino

www.csp.it


Elenco attributi ‘obbligatori’

• Cognome• Nome• Ruolo dell’utente (studente, docente, …)• Username dell’utente• Password dell’utente• Indirizzo email

Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della...

Documents

Transcript of Progetto Shibboleth-UniTo-Scuole Servizio di autenticazione federata Descrizione della...