1 / 20

Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina

Autenticazione federata: Shibboleth. Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina. Seminario. Pescara, Sala convegni CARIPE, 22 – 23 magio 2007. Parleremo di:. AAI Federazioni Cos’è Shibboleth Architettura di Shibboleth Stato dell’arte Conclusioni.

spike
Download Presentation

Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Autenticazione federata: Shibboleth Dario Orselli Centro di Ateneo per le Biblioteche Università di Messina Seminario Pescara, Sala convegni CARIPE, 22 – 23 magio 2007

  2. Parleremo di: • AAI • Federazioni • Cos’è Shibboleth • Architettura di Shibboleth • Stato dell’arte • Conclusioni Seminario residenziale C.I.B.E.R.

  3. alcuni concetti …. • autenticazione: il processo tramite il quale si è riconosciuti come facente parte di un dominio • autorizzazione: una volta riconosciuto, quali sono le credenziali e cioè cosa si è autorizzati a (quali servizi posso utilizzare) • risorsa web: è il servizio o l’applicazione cui si vuole accedere Seminario residenziale C.I.B.E.R.

  4. Contesto • gli scenari più comuni di autenticazione: • per IP: accesso anonimo, su larga scala • no accesso remoto, manutenzione complicata • Es: editori commerciali • utente e password: accesso personalizzato, remoto • amministrazione complessa per AR, differenti accounts per diversi servizi • Es: web mail, Emeroteca Virtuale Seminario residenziale C.I.B.E.R.

  5. A.A.I. Authentication and Authorization Infrastructure • la realizzazione di una architettura (infrastruttura) per semplificare l’accesso alle diverse risorse web, anche tra diverse organizzazioni (università, enti, etc.): • In una ambiente senza AAI un utente per poter accedere ad una risorsa deve di volta in volta loggarsi con accounts spesso diversi • In una AAI ogni risorsa è accessibile tramite un solo login: la procedura è gestita (di norma) presso il dominio di appartenenza dell’utente • SSO (Single Sign On) • no ridondanza dei dati utente • l’accesso alle risorse è basato sulle credenziali/attributi dell’utente • concetto di gestione dell’ identità federata Seminario residenziale C.I.B.E.R.

  6. A.A.I. © SWITCH Seminario residenziale C.I.B.E.R.

  7. Federazione • è un insieme di organizzazioni (università, enti) che decidono di scambiarsi informazioni (condivisione di risorse e/o servizi, applicazioni) secondo regole e attraverso una infrastruttura (AAI) che è certificata e sicura • richiede l’attuazione di politiche comuni es.: i membri concordano l’aspetto legale, le “policies” e la tecnologia da adottare • esistono già delle federazioni: si parla infatti di cofedarazioni: • Shibboleth: U.K., Finlandia, Svizzera • Papi: Spagna • A-Select: Olanda • Liberty Alliance: Norvegia Seminario residenziale C.I.B.E.R.

  8. …sulla storia di Shibboleth* Sacra Bibbia. Libro dei Giudici, cap 12, 4-6 [4] Iefte, radunati tutti gli uomini di Gàlaad, diede battaglia ad Efraim; gli uomini di Gàlaad sconfissero gli Efraimiti, perché questi dicevano: "Voi siete fuggiaschi di Efraim; Gàlaad sta in mezzo a Efraim e in mezzo a Manàsse". [5] I Galaaditi intercettarono agli Efraimiti i guadi del Giordano; quando uno dei fuggiaschi di Efraim diceva: "Lasciatemi passare", gli uomini di Gàlaad gli chiedevano: "Sei un Efraimita?". Se quegli rispondeva: "No", [6] i Galaaditi gli dicevano: "Ebbene, dì Scibbolet", e quegli diceva Sibbolet, non sapendo pronunciare bene. Allora lo afferravano e lo uccidevano presso i guadi del Giordano. In quella occasione perirono quarantaduemila uomini di Efraim. [* letteralmente, torrente] Seminario residenziale C.I.B.E.R.

  9. Cos’è Shibboleth • è un progetto del gruppo MACE/Internet 2 che si prefigge di sviluppare una soluzione open source per l’accesso a risorse/servizi web condivisi tramite credenziali di autorizzazione: • implementa SSO (accesso federato) e di conseguenza la sicurezza e la pricacy • permette lo scambio di attributi utente per consentire l’accesso alle risorse e/o servizi • Uso SAML (Security Assertion Markup Language), framework basato su XML per lo scambio di informazioni (“assertions”) per l’autenticazione e autorizzazione • usa PKI come standard per la certificazione delle entità coinvolte • gestione del rilascio e dell’accettazione degli attributi • definisce un set di attributi ampliabile: quello standard è lo schema eduPerson Seminario residenziale C.I.B.E.R.

  10. Architettura di Shibboleth • tre sono i principali componenti nell’architettura di Shibboleth • Service provider (SP) • Identity provider (IdP) • WAYF (Where Are You From) service Seminario residenziale C.I.B.E.R.

  11. Architettura di Shibboleth: SP • SP è chi fornisce la risorsa o il servizio da proteggere: un sito, una applicazione. • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.

  12. Architettura di Shibboleth: IdP • IdP ha il compito di autenticare l’utente e di fornire gli attributi richiesti (dal SP) • di norma è implementato nella propria “Home Istitution” • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • Java +Tomcat • OpenLdap (schemi inetOrgPerson, SCHAC) • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.

  13. Architettura di Shibboleth: WAYF • WAYF (Where Are You From?) è il servizio che permette all’utente di scegliere/scoprire l’IdP di appartenenza dove autenticarsi • requisiti di sistema (architettura) • O.S. Windows, Linux, Solaris, Mac OS X • Apache Web Server • PHP • OpenSSL (per i certificati) • NTP (Network Time Protocol) Seminario residenziale C.I.B.E.R.

  14. Esempio: federazione © SWITCH Seminario residenziale C.I.B.E.R.

  15. Flow chart di Shibboleth © SWITCH Seminario residenziale C.I.B.E.R.

  16. Chi lo sta usando (come test) Seminario residenziale C.I.B.E.R.

  17. Seminario residenziale C.I.B.E.R.

  18. E noi?? • Stiamo iniziando adesso…. • Si sono creati i gruppi di lavoro sotto egida GARR • politico (definizione) • tecnico (definizione dei documenti) • Attributi e Privacy • Software Seminario residenziale C.I.B.E.R.

  19. Conclusioni • Una autenticazione a livello di persona e non più a livello di macchina (indirizzo IP) • Un sistema per “raggruppare” le credenziali d’accesso ai diversi servizi • L’affermazione del progetto passa attraverso la costituzione dei SP Seminario residenziale C.I.B.E.R.

  20. Grazie per l’attenzione Seminario residenziale C.I.B.E.R.

More Related