22/05/2007

Roma

Relatore Luca Nicoletti

Access Management centralizzato per le applicazioni Web

L’esperienza del MEF

2

Agenda

Introduzione

Lo scenario iniziale

Le fasi del progetto

Lo stato dell’arte

Evoluzioni future

Q&A

Introduzione

Lo scenario iniziale

Le fasi del progetto

Lo stato dell’arte

Evoluzioni future

Q&A

3

Consip è una società per azioni creata nel 1997 dal Ministero del Tesoro (oggi Ministero dell’Economia e delle Finanze, MEF), che ne è azionista unico.

• La sua missione è quella di fornire servizi di consulenza e di assistenza progettuale, organizzativa, tecnologica per l’innovazione del MEF e delle altre strutture della Pubblica Amministrazione.

• La vision aziendale, “A fianco della PA che cambia”, racchiude l’essenza del compito svolto dall’Azienda: Consip è un partner al servizio della Pubblica Amministrazione italiana e la accompagna nel suo cammino verso la modernizzazione, contribuendo a migliorare il rapporto tra PA, cittadini e imprese.

Profilo aziendale

4

AttivitàDue sono le aree di attività Consip:

• gestione e sviluppo dei servizi informatici per il MEF (area Economia e Corte dei conti), attraverso un’attività di consulenza tecnica, organizzativa e progettuale, che investe i sistemi informativi del Ministero e le attività in materia finanziaria e contabile (l’ottimizzazione dei processi, l’introduzione di tecnologie più moderne nella gestione, la razionalizzazione e il coordinamento della spesa per l’Information Technology).

• realizzazione del Programma di razionalizzazione della spesa pubblica per beni e servizi, che si basa sull’utilizzo di tecnologie informatiche e di modalità innovative per gli acquisti delle amministrazioni (convenzioni per l’acquisto di beni e servizi, le gare telematiche, il Mercato Elettronico della Pubblica Amministrazione – MEPA - e i progetti speciali e di consulenza specifica alle amministrazioni).

5

Metodo• Consip offre servizi di consulenza e progettazione. L’Azienda si

occupa dell’ideazione strategica dei progetti, avendo maturato competenze di alto livello sull’organizzazione, i processi e i sistemi informativi della PA.

• Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le soluzioni più idonee alle esigenze delle PA. Consip è dunque anche “amministrazione aggiudicatrice” che definisce, realizza e aggiudica gare d’appalto per conto delle amministrazioni.

• Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più della metà sono impegnate nelle attività di supporto all’evoluzione informatica del MEF e un terzo nel Programma di razionalizzazione della spesa per beni e servizi delle PA. L’età media è inferiore ai 40 anni.

• Tutta l’azione di Consip si basa sui valori dell’innovazione, della trasparenza, della competenza e della concorrenza.

6

Scenario iniziale ed esigenze

• Nel 2000 non esistevano repository utente centralizzati;

• Le applicazioni avevano solo utenti interni al MEF;• Poche applicazioni “Web based”;• Ambiente tecnologico estremamente eterogeneo.

Esigenze primarie:– Repository unico;– SSO per applicazioni Web, “Cross

piattaforma”;– Integrazione con ERP (Personale, Contabilità

Economica, Controllo di Gestione).

• Nel 2000 non esistevano repository utente centralizzati;

• Le applicazioni avevano solo utenti interni al MEF;• Poche applicazioni “Web based”;• Ambiente tecnologico estremamente eterogeneo.

Esigenze primarie:– Repository unico;– SSO per applicazioni Web, “Cross

piattaforma”;– Integrazione con ERP (Personale, Contabilità

Economica, Controllo di Gestione).

7

Gli “Input” al progetto

• Diverse applicazioni ERP esistenti;• Prodotto aperto, facilmente sostituibile, no

“lock-in”;• Software selection su prodotti di SSO: Oracle.

Benefici Attesi:– Ottimizzazione di risorse esistenti;– Tempi di implementazione molto veloci;– Prodotto flessibile.

• Diverse applicazioni ERP esistenti;• Prodotto aperto, facilmente sostituibile, no

“lock-in”;• Software selection su prodotti di SSO: Oracle.

Benefici Attesi:– Ottimizzazione di risorse esistenti;– Tempi di implementazione molto veloci;– Prodotto flessibile.

8

Fasi del progetto

Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;

Fase2:Migrazione su repository LDAP;Fase3: Integrazione con autenticazione di dominio

Microsoft (Transparent login);Fase4:Profilazione basata su oggetti ed attributi

dell’LDAP;Fase5:Autenticazione multilivello;Fase6:Nuova Infrastruttura Hardware.

Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;

Fase2:Migrazione su repository LDAP;Fase3: Integrazione con autenticazione di dominio

Microsoft (Transparent login);Fase4:Profilazione basata su oggetti ed attributi

dell’LDAP;Fase5:Autenticazione multilivello;Fase6:Nuova Infrastruttura Hardware.

9

Fase 1 (2001)• Definizione Modello degli accessi basato su paradigma

RBAC (Role Based Access Control);• Introduzione della gestione della profilazione

applicativa basata sui gruppi;• Introduzione meccanismi di accesso per utenti esterni;• Centralizzazione utenti e gruppi di profilazione su

tabelle Oracle.

Risultati e benefici:– Tutte le principali nuove applicazioni Web del MEF in SSO;– Amministrazione/gestione delle utenze centralizzata;– Gestione della sicurezza delegata dalle applicazioni

all’Access Manager, quindi per tutte allineata su standard elevati.

10

Fase 2 (2003)

Introduzione server LDAP per il repository utente;

Risultati e benefici:– Piattaforma aperta, standard di

mercato;– Apertura verso soluzioni basate su

prodotti proprietari.

Introduzione server LDAP per il repository utente;

Risultati e benefici:– Piattaforma aperta, standard di

mercato;– Apertura verso soluzioni basate su

prodotti proprietari.

11

Fase 3 (2004)

Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);

Risultati e benefici:– L’utente che si autentica al dominio MS

tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.

Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);

Risultati e benefici:– L’utente che si autentica al dominio MS

tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.

12

Fase 4 (2005)

Introduzione della profilazione basata su classi di oggetti LDAP;

Sviluppo Applicazione di gestione.

Risultati e benefici:– Superamento dei limiti di profilazione

tramite gruppi;– Maggiore flessibilità;– Possibilità di delegare alcune funzioni di

gestione ai gruppi applicativi.

Introduzione della profilazione basata su classi di oggetti LDAP;

Sviluppo Applicazione di gestione.

Risultati e benefici:– Superamento dei limiti di profilazione

tramite gruppi;– Maggiore flessibilità;– Possibilità di delegare alcune funzioni di

gestione ai gruppi applicativi.

ApplicazioneX_OBJ

Attributo Valore

Profilo: 1Vista dati: 2Vista funzioni: 3Settori abilitati: 12, 24, 36...Attributo N-esimo

13

Fase 5 (2005)

Introduzione meccanismi di autenticazione multilivello

Risultati e benefici:– Possibilità di autenticarsi tramite “smart card”

e certificato digitale;– Possibilità di introdurre nel futuro ed a costi

relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);

– Maggiore flessibilità nel disegno delle applicazioni.

Introduzione meccanismi di autenticazione multilivello

Risultati e benefici:– Possibilità di autenticarsi tramite “smart card”

e certificato digitale;– Possibilità di introdurre nel futuro ed a costi

relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);

– Maggiore flessibilità nel disegno delle applicazioni.

14

Fase 6 (2007)

Nuova Infrastruttura Hardware

Nuova Infrastruttura Hardware

MEFSSOSC.TESORO.ITMEFSSO.TESORO.IT

Web Farm Oracle

ADRIANO CESARE AUGUSTO

SSOAS2SSOAS1

SSOOID1 SSOOID2

SSODB2SSODB1

CLUSTER AS

CLUSTER OID

Infrastruttura InfrastrutturaIntranet

SSOWIN1 SSOWIN2

mefsso.tesoro.it

RAC

15

Qualche numero

• 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.);

• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;

• LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007;

• 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale);

• 18.000 utenti distinti al mese.

• 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.);

• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;

• LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007;

• 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale);

• 18.000 utenti distinti al mese.

16

I passi futuri

Introduzione verifica CRL su OCSP

Risultati e benefici:– Elimina la necessità di scaricare e

analizzare le liste di revoca;– Provvede ad un migliore utilizzo della

banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL;

– La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.

Introduzione verifica CRL su OCSP

Risultati e benefici:– Elimina la necessità di scaricare e

analizzare le liste di revoca;– Provvede ad un migliore utilizzo della

banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL;

– La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.

17

I passi futuri

Identity FederationIdentity Federation

18

I passi futuri

Introduzione Identity management.

Risultati e benefici:– Minori oneri gestionali grazie a

funzionalità di Provisioning;– Sincronizzazione utenze e password

sui vari reporitory (Posta, domini, SSO, etc);

– Meta repository centralizzato.

Introduzione Identity management.

Risultati e benefici:– Minori oneri gestionali grazie a

funzionalità di Provisioning;– Sincronizzazione utenze e password

sui vari reporitory (Posta, domini, SSO, etc);

– Meta repository centralizzato.

19

Q&A