1 / 23

iArxiu: Formació Tècnica

iArxiu: Formació Tècnica. Equip iArxiu. 14 d’agost de 2009. Índex. Introducció Components iArxiu Arquitectura iArxiu Funcions dels components Ingrés Consulta i difusió Administració Preservació Autenticació / Autorització Integració en el portal eaCAT Mecanismes de seguretat

terris
Download Presentation

iArxiu: Formació Tècnica

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. iArxiu: FormacióTècnica Equip iArxiu 14 d’agost de 2009

  2. Índex • Introducció • Components iArxiu • Arquitectura iArxiu • Funcions dels components • Ingrés • Consulta i difusió • Administració • Preservació • Autenticació / Autorització • Integració en el portal eaCAT • Mecanismes de seguretat • Referències

  3. Introducció • Què és iArxiu • iArxiu és una servei de preservació del documents/expedients electrònics a llarg termini, que garanteix la seva integritat, autenticitat i accessibilitat per part d’usuaris autoritzats. • Agents o actors: • Productor: Genera i transfereix els documents a preservarPersona o maquinari que envia a iArxiu els documents a preservar • Consumidor: Consulta o accedeix a la documentació preservadaPersona o maquinari que recupera de la plataforma iArxiu els documents preservats • iArxiu: Plataforma encarregada de preserva els documents a llarg termini 3

  4. Introducció Paquets d’informació de transferència (METS) Paquets d’informació de consulta (METS) Paquets d’informació d’arxiu (METS) Paquets d’informació (METS) amb els documents a preservar iArxiu Consumidor Productor Paquets d’informació (METS) amb els continguts preservats 4

  5. Components iArxiu Web de Referència Client web extern Client web intern (Portal eaCAT) Core Client Webservice • Dos grans components: • Frontal Web (Web de Referència) • Motor d’arxiu (Core) • Les persones interactuen mitjançant navegadors web amb la web de referència • Els sistemes interactuen mitjançant serveis web amb el Core • La web iArxiu és alhora un client de serveis web del Core 5

  6. Arquitectura lògica del Sistema iArxiu • Web Servers Apache • Servlet Core i servlet Web de Referència • Emmagatzemament en File System i Base de Dades • Antivirus • OpenOffice • Interfícies externes (OpenOffice, Antivirus ClamAV, PSIS) 6

  7. Arquitectura del Sistema iArxiu • Balancejador de càrrega • Bateria de servidors Apache • Bateria de servidors JBoss • Base de dades compartida Oracle • Sistema d’arxius GFS • Altres components • OpenOffice • Antivirus ClamAV • Connector a PSIS 7

  8. Funcions dels components • Web de Referència • Ingrés  Amb els continguts enviats pels productors genera paquets d’ingrés i els envia al Core • Consulta  Executa funcions de cerca en el Core • Difusió  Recupera els continguts del Core • Administració  Creació dels ens i fons; gestió dels permisos, grups, usuaris, administració de les polítiques, etc... • Core • Ingrés  Accepta els paquets dels productors per el seu emmagatzematge i preservació • Preservació  Assegura la integritat dels continguts al llarg del temps:Verificació de la integritat, segellat, migració de formats. A més, s’encarrega de gestionar el cicle de vida dels documents • Difusió  Recupera els continguts 8

  9. Ingrés Web de Referència Usuari Documents / Expedients (ZIP) PIT (METS) PIT (METS) Core Client Webservice La Web construeix paquets d’informació de transferència (PIT) Els usuaris envien a la Web documents simples o expedients (ZIP) Els maquinaris generen i envien els paquets d’informació de transferència (PIT) • Validació d’integritat • Validació de metadades • Validació estructural • Validació de signatures (PSIS) • Validació antivirus (ClamAV) 9

  10. Consulta i difusió Web de Referència Usuari Documents PIC (METS) PIC (METS) Core Client Webservice La Web procesa els paquets d’informació de consulta (PIC) Els usuaris reben els documents simples Els maquinaris procesen els paquets d’informació de consulta (PIC)

  11. Administració Web de Referència Core Usuari administrador / arxiver Client Webservice • Els usuaris administradors configuren la Web i el Core: • Web • Ens i Fons • Grups i Permisos • Core • Polítiques • Permisos • Estadístiques • Historial accions • Els maquinaris poden administrar un conjunt reduit de funcionalitats: • Polítiques de preservació • Polítiques de disposició • Polítiques d’accés 11

  12. Preservació Web de Referència Usuari Core Client Webservice • Únic component que intervé: Core • Segellat • Validació integritat • Validació antivirus (ClamAV) • Validació de signatures (PSIS) • Migració de formats (OpenOffice) 12

  13. Autenticació / Autorització • Autenticació • Verificar que l’usuari (persona o màquina) és realment qui diu ser • Basada en certificats digitals X.509 emesos per entitats certificadores de CATCert • Autorització • Concedir o denegar els drets per executar una acció • Els usuaris (persones o màquines) estan registrats juntament amb els permisos en repositoris locals de seguretat  L’autorització és sempre local i no es delega en sistemes externs al sistema 13

  14. Autenticació / Autorització a la Web de Referència Repositori Local De Seguretat Web de Referència Client web extern Certificat X.509 Certificat X.509 Certificat X.509 PSIS Autorització HTTPS Validació de permisos en el repositori local de seguretat Autenticació L’usuari presenta les seves credencials amb un certificat X.509 emés per alguna CA de CATCert Validació del certificat a PSIS 14

  15. Integració amb el portal eaCAT • Autenticació • L’autenticació es gestiona des del portal eaCAT (La web redirigeix l’usuari cap el portal) • Basada en certificats digitals X.509 emesos per entitats certificadores del CATCert • Autorització • Es gestiona internament per la web de la mateixa manera que en el cas anterior 15

  16. Integració amb el portal eaCAT Repositori Local De Seguretat Web de Referència Client web extern Certificat X.509 Certificat X.509 Portal eaCAT PSIS Autorització Autenticació Validació de permisos en el repositori local de seguretat L’usuari és redirigit al portal eaCAT on s’autentica amb un certificat X.509 emés per alguna entitat certificadora de CATCert PSIS no intervé en aquest escenari 16

  17. Autenticació / Autorització al Core Repositori Local De Seguretat Certificat X.509 Certificat X.509 Metadades dels paquets Core PSIS Missatge SOAP (Webservice) Client Webservice (Trusted Application TA) Els permisos de les TA es troben en el repositori local de seguretat mentre que els permisos dels usuaris s’obtenen de les metadades dels paquets Del missatge SOAP s’extreu el certificat i els atributs dels usuaris alegats HTTPS Validació del certificat a PSIS 17

  18. Mecanismes de seguretat en el Core (I) • Missatgeria SOAP sobre canal segur HTTPS • Únicament les aplicacions reconegudes poden sol·licitar serveis al Core (Trusted Applications TA) • Autenticació • Signatura digital del missatge SOAP utilitzant el perfil X.509 Certificate Token Profile • Validació de la signatura digital la qual engloba: • Cos del missatge (Body) • Capçalera d’atribucions SAML • Capçalera de seguretat • Validació del certificat signant a PSIS o en el repositori local de TA 18

  19. Mecanismes de seguretat en el Core (II) • Autorització • La TA actua en nom propi • Es verifiquen els permisos per aquesta TA en el repositori local de seguretat • La TA actua en nom d’altre (al·legació) • Es verifiquen els permisos per aquesta TA en el repositori local de seguretat • S’extreuen els atributs al·legats de la capçalera SAML • Es confien en aquests atributs perquè es confia en la TA • Validació dels permisos contra el repositori local de seguretat • Si l’acció requereix accés a un paquet d’informació es verifiquen els permisos segons la metadada associada al paquet 19

  20. Mecanismes de seguretat en el Core (III) <SOAP-ENV:Envelope…> Perfil X.509 Certificate Token Profile <SOAP-ENV:Header…> <wsse:Security…> <wsse:BinarySecurityToken…> <ish:Context…> <saml2:Assertion…> • La signatura cobreix: • Token de seguretat • Capçalera d’atribucions SAML • Cos de la petició Missatge SOAP (Simplificat) <ds:Signature…> </wsse:Security…> </SOAP-ENV:Header…> <SOAP-ENV:Body…> <SOAP-ENV:Body…> Cos de la Petició webservice </SOAP-ENV:Envelope…> 20

  21. Referències (I) • Guies d’usuari i integració d’aplicacions iArxiu • Clients webservice (WSDL): • https://www.iarxiu.eacat.cat/core/soap • http://www.iarxiu.eacat.cat/core/soap/ingest.wsdl • http://www.iarxiu.eacat.cat/core/soap/dissemination.wsdl • http://www.iarxiu.eacat.cat/core/soap/administration.wsdl • Missatgeria SOAPhttp://www.w3.org/TR/soap12-part0/ 21

  22. Referències (II) Llenguatge d’assercions SAMLhttp://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf Extensions de seguretat en webserviceshttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdfhttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf 22

  23. Equip del servei iArxiu iarxiu@catcert.net Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons. Per veure'n una còpia, visiteuhttp://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.cao envieu una carta a Creative Commons, 171 Second Street, Suite 300, San Francisco, California 94105, USA."

More Related