200 likes | 403 Views
Autenticazione federata: Shibboleth. Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina. Seminario. Pescara, Sala convegni CARIPE, 22 – 23 magio 2007. Parleremo di:. AAI Federazioni Cos’è Shibboleth Architettura di Shibboleth Stato dell’arte Conclusioni.
E N D
Autenticazione federata: Shibboleth Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007
Parleremo di: • AAI • Federazioni • Cos’è Shibboleth • Architettura di Shibboleth • Stato dell’arte • Conclusioni Seminario residenziale C.I.B.E.R.
alcuni concetti …. • autenticazione: il processo tramite il quale si è riconosciuti come facente parte di un dominio • autorizzazione: una volta riconosciuto, quali sono le credenziali e cioè cosa si è autorizzati a (quali servizi posso utilizzare) • risorsa web: è il servizio o l’applicazione cui si vuole accedere Seminario residenziale C.I.B.E.R.
Contesto • gli scenari più comuni di autenticazione: • per IP: accesso anonimo, su larga scala • no accesso remoto, manutenzione complicata • Es: editori commerciali • utente e password: accesso personalizzato, remoto • amministrazione complessa per AR, differenti accounts per diversi servizi • Es: web mail, Emeroteca Virtuale Seminario residenziale C.I.B.E.R.
A.A.I. Authentication and Authorization Infrastructure • la realizzazione di una architettura (infrastruttura) per semplificare l’accesso alle diverse risorse web, anche tra diverse organizzazioni (università, enti, etc.): • In una ambiente senza AAI un utente per poter accedere ad una risorsa deve di volta in volta loggarsi con accounts spesso diversi • In una AAI ogni risorsa è accessibile tramite un solo login: la procedura è gestita (di norma) presso il dominio di appartenenza dell’utente • SSO (Single Sign On) • no ridondanza dei dati utente • l’accesso alle risorse è basato sulle credenziali/attributi dell’utente • concetto di gestione dell’ identità federata Seminario residenziale C.I.B.E.R.
A.A.I. © SWITCH Seminario residenziale C.I.B.E.R.
Federazione • è un insieme di organizzazioni (università, enti) che decidono di scambiarsi informazioni (condivisione di risorse e/o servizi, applicazioni) secondo regole e attraverso una infrastruttura (AAI) che è certificata e sicura • richiede l’attuazione di politiche comuni es.: i membri concordano l’aspetto legale, le “policies” e la tecnologia da adottare • esistono già delle federazioni: si parla infatti di cofedarazioni: • Shibboleth: U.K., Finlandia, Svizzera • Papi: Spagna • A-Select: Olanda • Liberty Alliance: Norvegia Seminario residenziale C.I.B.E.R.
…sulla storia di Shibboleth* Sacra Bibbia. Libro dei Giudici, cap 12, 4-6 [4] Iefte, radunati tutti gli uomini di Gàlaad, diede battaglia ad Efraim; gli uomini di Gàlaad sconfissero gli Efraimiti, perché questi dicevano: "Voi siete fuggiaschi di Efraim; Gàlaad sta in mezzo a Efraim e in mezzo a Manàsse". [5] I Galaaditi intercettarono agli Efraimiti i guadi del Giordano; quando uno dei fuggiaschi di Efraim diceva: "Lasciatemi passare", gli uomini di Gàlaad gli chiedevano: "Sei un Efraimita?". Se quegli rispondeva: "No", [6] i Galaaditi gli dicevano: "Ebbene, dì Scibbolet", e quegli diceva Sibbolet, non sapendo pronunciare bene. Allora lo afferravano e lo uccidevano presso i guadi del Giordano. In quella occasione perirono quarantaduemila uomini di Efraim. [* letteralmente, torrente] Seminario residenziale C.I.B.E.R.
Cos’è Shibboleth • è un progetto del gruppo MACE/Internet 2 che si prefigge di sviluppare una soluzione open source per l’accesso a risorse/servizi web condivisi tramite credenziali di autorizzazione: • implementa SSO (accesso federato) e di conseguenza la sicurezza e la pricacy • permette lo scambio di attributi utente per consentire l’accesso alle risorse e/o servizi • Uso SAML (Security Assertion Markup Language), framework basato su XML per lo scambio di informazioni (“assertions”) per l’autenticazione e autorizzazione • usa PKI come standard per la certificazione delle entità coinvolte • gestione del rilascio e dell’accettazione degli attributi • definisce un set di attributi ampliabile: quello standard è lo schema eduPerson Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth • tre sono i principali componenti nell’architettura di Shibboleth • Service provider (SP) • Identity provider (IdP) • WAYF (Where Are You From) service Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: SP • SP è chi fornisce la risorsa o il servizio da proteggere: un sito, una applicazione. • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: IdP • IdP ha il compito di autenticare l’utente e di fornire gli attributi richiesti (dal SP) • di norma è implementato nella propria “Home Istitution” • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • Java +Tomcat • OpenLdap (schemi inetOrgPerson, SCHAC) • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: WAYF • WAYF (Where Are You From?) è il servizio che permette all’utente di scegliere/scoprire l’IdP di appartenenza dove autenticarsi • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • PHP • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.
Esempio: federazione © SWITCH Seminario residenziale C.I.B.E.R.
Flow chart di Shibboleth © SWITCH Seminario residenziale C.I.B.E.R.
Chi lo sta usando (come test) Seminario residenziale C.I.B.E.R.
E noi?? • Stiamo iniziando adesso…. • Si sono creati i gruppi di lavoro sotto egida GARR • politico (definizione) • tecnico (definizione dei documenti) • Attributi e Privacy • Software Seminario residenziale C.I.B.E.R.
Conclusioni • Una autenticazione a livello di persona e non più a livello di macchina (indirizzo IP) • Un sistema per “raggruppare” le credenziali d’accesso ai diversi servizi • L’affermazione del progetto passa attraverso la costituzione dei SP Seminario residenziale C.I.B.E.R.
Grazie per l’attenzione Seminario residenziale C.I.B.E.R.