Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud"

Transcript

1 Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in protocolli per reti mobili Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud Anno Accademico 2013/2014 Candidato: Alessandro Del Prete matr. N46/867

2 Indice Indice... II Introduzione... 3 Capitolo 1: Cloud computing Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS)... 5 Capitolo 2: Identity and access management Autenticazione Single sign on (SSO) Federazione Autorizzazione Gestione dell IAM come SaaS (IDaaS)... 8 Capitolo 3: Tecnologie per l autenticazione federata Security Assertion Markup Language (SAML) SAML assertions SAML protocol SAML binding SAML profile SSO con SAML Shibboleth Identity provider Service provider Where Are You From (WAYF) Funzionamento di Shibboleth Procedura di autenticazione Esempio concreto di utilizzo di Shibboleth Capitolo 4: Autenticazione federata per servizi cloud Un esempio di architettura Struttura dell architettura L architettura DNA nel cloud Uno scenario di autenticazione in una virtual DIME network Autenticazione nella DIME network Autorizzazione nella DIME network Autenticazione tra domini differenti Conclusioni Bibliografia

3 Introduzione Con l aumentare dei servizi fruibili via web si è avuto un notevole incremento del numero di registrazioni da parte di un singolo utente, tutto ciò costringe gli utenti a dover ricordare un considerevole numero di dati per l autenticazione e i service provider a dover memorizzare dati per un numero sempre crescente di account. È in questa situazione che si avverte l esigenza di una autenticazione unica. In questo elaborato, dopo una breve introduzione al cloud computing ed ai principali obiettivi dell Identity and Access Management, ci concentreremo su tecniche e metodologie per garantire la sicurezza in un ambiente cloud, ponendo particolare attenzione all autenticazione. Nello specifico approfondiremo il linguaggio SAML e l Identity Provider Shibboleth al fine di rendere possibile un autenticazione federata attraverso Single Sign On. Per concludere verrà trattato, come esempio di applicazione di quanto detto all interno di uno scenario cloud. 3

4 Capitolo 1: Cloud computing Con il termine cloud o più propriamente cloud computing ci si riferisce all insieme di tecnologie offerte da un provider sotto forma di servizio che permettono all utente di memorizzare o elaborare dati grazie all utilizzo di risorse software o hardware distribuite in rete (tipicamente internet). Un provider di cloud computing offre i seguenti servizi: Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS) 1.1 Infrastracture as a Service (IaaS) L Iaas è la prima forma di cloud computing. Questo servizio offre all utente la possibilità di utilizzare macchine fisiche o, più frequentemente, virtuali attraverso la rete. Le macchine virtuali sono preferite in quanto è possibile adattare le risorse allocate sulla base delle richieste dell utente, in questo modo è possibile avere un numero maggiore di macchine rispetto a quelle fisiche. La gestione del SO e di tutto il software è a carico dell utente, nonché la gestione di una parte dell hardware. Per far uso di questo servizio si deve installare un immagine del SO sulla macchina dell utente e un applicazione software sul cloud. 4

5 1.2 Platform as a Service (PaaS) In questa seconda forma di cloud computing all utente viene offerta una piattaforma (tipicamente comprensiva di SO, ambiente di esecuzione dei linguaggi di programmazione, web server, database) sulla quale si possono sviluppare ed eseguire applicazioni software senza doversi far carico della gestione dei livelli hardware e software sottostanti. Le risorse allocate alla macchina virtuale che ospita la piattaforma sono gestite automaticamente sulla base della richiesta di calcolo dell utente. 1.3 Software as a Service (SaaS) Questo è il sistema di cloud computing più complesso, che prevede la possibilità per l utente di utilizzare software e database presenti sul cloud senza preoccuparsi nemmeno dello sviluppo dell applicazione, in quanto è direttamente il provider a fornirle. Le applicazioni software sono installate direttamente sul cloud e possono essere accedute da vari clients. Non è necessario per l utente gestire né l hardware né la piattaforma su cui eseguono le applicazioni, questo risparmia all utente la necessità di installare software sulla sua macchina client e semplifica la manutenzione dei cloud. 5

6 Capitolo 2: Identity and access management L identità digitale è definita come la rappresentazione di un entità con uno o più attributi (informazioni sull entità) che ne rendono possibile l identificazione in un dato contesto. Con il termine identity and access management (IAM) si identifica l insieme di funzioni, come autenticazione, management, amministrazione, il cui obiettivo è controllare e gestire le informazioni sugli utenti al fine di garantire la sicurezza di un sistema. Queste informazioni solitamente sono: Informazioni che servono ad autenticare l utente Informazioni riguardanti le azioni che l utente è autorizzato a fare Informazioni su chi può accedere e modificare le precedenti L IAM si può ridurre a tre funzioni basilari: Creazione e gestione di identità La gestione degli accessi (autenticazione) La personalizzazione dei servizi sulla base delle autorizzazioni dell utente Nella gestione dell identità sono coinvolti solitamente tre entità: Il client (colui che vuole usufruire di un servizio) Il service provider (colui che offre il servizio) L identity provider (l entità deputata a verificare e gestire l identità 6

7 degli utenti) 2.1 Autenticazione La gestione degli accessi avviene attraverso l autenticazione, che è la verifica che l utente è chi afferma di essere. La forma più semplice di autenticazione è la verifica della conoscenza di username e password, questo meccanismo ha il vantaggio della semplicità sia per l utente che per provider dei servizi che richiedono l autenticazione, invece lo svantaggio è che si basa solamente sulla conoscenza della password. Un meccanismo di autenticazione per essere sicuro dovrebbe verificare i seguenti campi: Qualcosa che l utente conosce (es. password) Qualcosa che l utente ha (es. certificato digitale o token) Qualcosa che l utente è (es. impronte digitali) Tanti più campi verificherà il meccanismo di autenticazione scelto, tanto più sarà sicuro ma tanto più sarà complesso sia da gestire che da utilizzare. Quindi è necessario cercare il giusto compromesso tra sicurezza e facilità di utilizzo tenendo presente le esigenze specifiche del sistema in questione. 2.2 Single Sign On (SSO) Alla base del single sign on (SSO) vi è la possibilità per un utente di accedere a varie applicazioni dello stesso provider mediante un unica autenticazione. Il SSO ha effetti benefici sia sull utente sia sul provider, in quanto l utente deve ricordarsi un numero minore di password e quindi eviterà di scegliere password semplici e facili da indovinare oppure eviterà di scriverle, neutralizzando i due più grandi rischi del sistema username/password. Di conseguenza i provider dovranno memorizzare 7

8 meno dati per ogni utente risparmiando spazio. 2.3 Federazione È anche possibile accedere a applicazioni di provider differenti mediante l autenticazione verso un unico provider, questo meccanismo, che è un estensione del SSO, è chiamato federazione. Per permettere ciò esistono diversi protocolli di comunicazione, come SAML (security Assertion Markup Language), che permettono a organizzazioni diverse, appartenenti alla stessa federazione, di scambiarsi informazioni riguardanti l autenticazione di un utente. Quando un utente si autentica ad un sito o ad un applicazione sfruttando un altra autenticazione già eseguita si dice che esegue un autenticazione federata. 2.4 Autorizzazione Una volta che un utente è stato autenticato bisogna stabilire a quali contenuti può accedere. Questo passaggio è realizzato assegnando un ruolo, da parte degli amministratori del sito, agli utenti o a gruppi di utenti. Le autorizzazioni e quindi i contenuti accessibili possono variare in base a: L identità dell utente (ruolo) La posizione dell utente o il tipo di dispositivo dal quale sta accedendo Altri fattori quali l orario o il giorno Informazioni che provengono da siti esterni 2.5 Gestione dell IAM come SaaS (IDaaS) Un possibile modo per gestire l IAM è dato dall Identity as a service (IDaaS), ossia la gestione dell identità e degli accessi fatta attraverso cloud. Questo tipo di soluzione ha tutti i vantaggi tipici del cloud, ossia permette 8

9 all utente di disinteressarsi della memorizzazione e della gestione dei dati. Nell IDaaS l applicazione che gestisce l IAM e memorizza i dati sugli utenti è posizionata in un cloud e gestita da un IDaaS provider ed i servizi relativi all identità sono offerti come SaaS. Un concetto fondamentale nell IDaaS è che l applicazione che si occupa dell IAM sia multi-tenant, cioè che diversi utenti possano condividere le stesse risorse in modo trasparente. Questo significa che la stessa applicazione memorizza i dati di più clienti ma i clienti non devono poter accedere a dati non di loro proprietà, anzi i clienti non dovrebbero proprio esser al corrente di dati non loro, presenti nell applicazione. La multitenancy è così importante nella gestione dell IAM via cloud perché permette notevoli risparmi in termini sia economici che di tempo per la gestione della piattaforma. L architettura di una piattaforma IDaaS dovrebbe essere basata su un applicazione, che sia cloud-based e multitenant, che offre tutti i servizi necessari all IAM. Nonostante ciò oggi è molto comune trovare soluzioni ibride che non siano completamente cloud-based ma che facciano uso del cloud solo per una parte dei loro compiti. Ciò perché molte organizzazioni non vogliono affidare completamente i loro dati ad un ente esterno (IDaaS provider) per motivi di sicurezza. Per esempio è possibile che un organizzazione memorizzi sul cloud i dati degli impiegati utilizzando pseudonimi al posto dei veri nomi. Solamente all interno dell organizzazione stessa saranno poi memorizzate le associazioni tra pseudonimi e nomi. 9

10 Capitolo 3: Tecnologie per l autenticazione federata Per realizzare un autenticazione federata si adottano differenti tecnologie, quali un Identity Provider, che è l elemento che si occupa di gestire e verificare le identità degli utenti, ed un linguaggio per lo scambio di queste informazioni tra diverse parti. In questo capitolo verranno discussi Shibboleth e SAML. 3.1 Security Assertion Markup Language (SAML) SAML è un formato standard basato su XML per lo scambio di dati riguardanti autenticazione e autorizzazione tra due parti, solitamente tra Identity Provider e Service Provider. Grazie a questo linguaggio è possibile lo scambio di informazioni in maniera sicura al fine di permettere l utilizzo di meccanismi quali SSO tra organizzazioni diverse SAML assertions SAML si basa su delle asserzioni, che sono i messaggi scambiati contenenti informazioni sulla sicurezza. Le asserzioni sono inviate dall identity provider al service provider e contengono degli statement, sulla base dei quali il SP prenderà la decisione se consentire o meno l accesso dell utente ad una data risorsa. Esistono tre tipi di statement: Authentication statements 10

11 Questo statement serve a garantire al SP che l utente si è autenticato con l IdP. Nello statement è incluso l authentication context che contiene informazioni in merito all autenticazione; Attribute statements Questo statement serve a indicare che l utente è associato a certi attributi (sono una coppia nome-valore) e serve per prendere decisioni in merito all accesso ad alcune risorse; Authorization decision statements In questo statement di solito si dice che l utente A è autorizzato a proseguire con l azione B sulla risorsa R. Le possibilità di questo statement sono limitate e pertanto si consiglia di utilizzare XACML (di cui parleremo in seguito) per lo scambio di autorizzazioni; SAML protocol Oltre alle asserzioni è necessario, al fine di comunicare, stabilire la struttura dei messaggi di richiesta e risposta. A questo scopo si utilizza SAML protocol, che serve a identificare quali elementi SAML (incluse le asserzioni) compongono i messaggi scambiati ed in quale ordine. Una richiesta o risposta scambiata mediante SAML protocol prende il nome di query. Esistono tre tipi di query: Authentication query Attribute query Authorization decision query SAML binding Con SAML binding si definisce un mapping tra un messaggio definito nel protocollo SAML e un protocollo di comunicazione che ne permette l invio. Per esempio, nel binding più comune, i messaggi 11

12 SAML sono incapsulati in messaggi SOAP, che a loro volta sono racchiusi in messaggi HTTP SAML profile Un SAML profile stabilisce come utilizzare le asserzioni, i protocolli e i binding finora descritti per portare a termine una data azione. Si può definire un SAML profile come l insieme di specifiche per il corretto utilizzo di SAML in un dato contesto. Il più importante SAML profile è il web-browser SSO SSO con SAML Per descrivere l utilizzo di SAML bisogna introdurre tre ruoli: L utente L identity provider Il service provider Tipicamente l utente richiede un servizio al SP che deve ricevere dall IdP una identity assertion e sulla base di questa asserzione, decidere se consentire o meno l accesso alla risorsa. Prima di inviare l asserzione al SP, l IdP potrebbe richiedere dei dati all utente (username e password) al fine di autenticarlo. Un IdP può inviare asserzioni a diversi SP, così come è possibile che un SP accetti asserzioni da più IdP. Supponiamo che un utente già autenticato dal SP A provi ad accedere al SP B e che i due SP utilizzino lo stesso IdP. In tal caso, quando il SP B richiede all IdP l identity assertion dell utente, riceverà immediatamente una risposta. Non sorge il bisogno per l utente di inserire nuovamente username e password, perché risulta effettivamente già autenticato presso l IdP. Ciò permette all utente di accedere alla risorsa senza doversi 12

13 autenticare nuovamente nel nuovo SP, questo è il funzionamento di un autenticazione federata con SSO. 3.2 Shibboleth Shibboleth è un sistema open-source basato sul linguaggio OASIS SAML che si occupa di gestire autenticazione e autorizzazione di utenti sfruttando il concetto di identità federata e SSO. Il sistema Shibboleth è composto da due elementi: l IdP (Identity Provider) e il SP (Service Provider) Identity provider L IdP è l elemento responsabile dell autenticazione che è formato da quattro componenti: Handle service (HS), che si occupa di autenticare gli utenti attraverso un meccanismo di autenticazione scelto dall organizzazione e di creare un handle token che serve a verificare l identità dell utente una volta autenticato; Attribute authority (AA), che gestisce le richieste di attributi del SP, applicando politiche sulla privacy al momento del rilascio degli attributi; Directory service, che immagazzina gli attributi sugli utenti del sistema ed è esterno a Shibboleth; Authentication mechanism, che si preoccupa di verificare login e password all atto dell autenticazione ed è anch esso esterno a Shibboleth Service provider Il SP è dove sono memorizzate le risorse alle quali gli utenti vogliono accedere. Al SP è demandato il controllo degli accessi sulla base delle informazioni inviate dall IdP. Un SP è spesso composto da tante 13

14 applicazioni ma ciò nonostante è comunque considerato un entità unica. Il SP è così composto: Assertion consumer service (ACS), che è responsabile della ricezione dei messaggi SAML utili ad instaurare un ambiente sicuro; Attribute requester (AR), che riceve gli attributi e li passa al RM; Resource manager (RM), che intercetta le richieste provenienti dagli utenti per delle risorse e prende decisioni sull accesso, sulla base degli attributi dell utente Where Are You From (WAYF) L ultimo componente di Shibboleth è opzionale e si chiama WAYF (where are you from) e serve a collegare un utente con la sua organizzazione. Quando l utente prova ad accedere ad una risorsa verrà reindirizzato ad una pagina, sulla quale potrà scegliere a quale organizzazione appartiene. Nella fase successiva, l utente visualizzerà la pagina della sua organizzazione per l autenticazione. Questo componente è particolarmente utile se lo stesso IdP è utilizzato da più organizzazioni differenti. 3.3 Funzionamento di Shibboleth Shibboleth sposta verso le strutture di appartenenza degli utenti il ruolo di dare garanzie sulla loro identità, a differenza di servizi quali IDaaS che affidano questo compito a strutture terze. Attraverso Shibboleth è possibile, con un unica autenticazione, accedere a diversi servizi anche di diverse organizzazioni, a patto di avere regole condivise per l autenticazione e l autorizzazione degli utenti all interno della federazione Procedura di autenticazione L autenticazione attraverso Shibboleth avviene secondo i seguenti passi, 14

15 (come mostrato anche in figura): 1) L utente prova ad accedere ad una risorsa protetta sul SP; 2) Shibboleth reindirizza l utente al WAYF (se presente) dove può scegliere il suo IdP; 3) L utente visualizza la pagina del suo IdP, in particolare quella del HS, dove inserisce i dati per l autenticazione; 4) L HS autentica l utente e crea un handle (pseudonimo) che lo identifichi, dopo invia l handle all AA ed all ACS; 5) L ACS controlla l handle e lo trasferisce all AR e così facendo instaura una sessione; 6) L AR utilizza l handle che ha ricevuto per richiedere gli attributi dell utente all AA; 7) L IdP dopo aver controllato se può rilasciare gli attributi dell utente li invia all AR; 8) L AR riceve gli attributi e li inivia al RM che quindi carica la risorsa desiderata dall utente. 15

16 3.3.2 Esempio concreto di utilizzo di Shibboleth Supponiamo che un utente voglia autenticarsi per utilizzare un determinato servizio presente su un server A. Il server A, che svolge il ruolo di SP, non accetta la richiesta e la gira al WAYF. L utente comunicherà al WAYF le informazioni che lo identificano, le quali verranno inviate al HS appartenente all IdP. A questo punto l HS richiede all utente di non effettuare direttamente il login sul server A ma di effettuarlo presso di sé, ossia attraverso Shibboleth. Effettuato il login presso l HS, ossia dopo aver confrontato i dati immessi dall utente con quelli contenuti in un DB apposito, l utente viene autenticato. Vi è ora la necessità di passare le informazioni al SP, di questo si occupa Shibboleth, attraverso un asserzione SAML. L utente è quindi autenticato presso il server A, che, tuttavia, non conosce gli attributi dell utente e quindi non sa quali sono le sue autorizzazioni. Al fine di ricevere gli attributi il server A invierà una richiesta all Attribute Authority (AA), che riconosce il SP e invia gli attributi richiesti. A questo punto l utente può accedere ai servizi per i quali è autorizzato sul server A ed inoltre può anche accedere ad un eventuale server B, a patto che questo utilizzi lo stesso IdP. Ciò è possibile perché l IdP, quando il server B richiede l autenticazione dell utente, riceverà subito un asserzione SAML, dal momento che l utente è già stato autenticato in precedenza. 16

17 Capitolo 4: Autenticazione federata per servizi cloud 4.1 Un esempio di architettura Il design di un architettura cloud può essere molto complesso da parte del service provider, per semplificare questo problema si può ricorrere alla progettazione di servizi basati sul cloud Struttura dell architettura L architettura DIME, che sta per Distributed Intelligent Managed Element, si basa su due reti sovrapposte: La signaling network La service network Questo consente ai vari task, che compongono l architettura, di eseguire funzioni di controllo (inizializzazione, monitoraggio, analisi, riconfigurazione dovuta a variazioni di carico di lavoro, ecc ) parallelamente ai servizi offerti dalla macchina. Una DIME network è composta da vari DIME locali, che sono unità di calcolo composte dai task FCAPS, ossia: Fault (F) Configuration (C) Accounting (A) Performance (P) 17

18 Security (S) Ognuno di questi task è collegato al canale di signaling. All intero di ogni DIME locale è presente un coordinatore che serve a gestire i vari task che lo compongono e che prende il nome di MICE (Managed Intelligent Computing Element). L obiettivo del MICE è quello di ricevere le istruzioni tramite il task C (attraverso il canale di signaling), prelevare l input dal canale dei dati e scrivere l output, una volta elaborato, sullo stesso canale. In una DIME network è possibile programmare ogni MICE per svolgere una funzione specifica, poi collegando in cascata vari DIME e organizzandoli secondo un Directed acyclic graph (DAG) (per vedere l ordine in cui vanno eseguiti i MICE), è possibile realizzare servizi più complessi. 18

19 4.1.2 L architettura DNA nel cloud La DIME network architecture si adatta alla perfezione alle esigenze del cloud computing in cui essa è implementata attraverso server virtuali e per questo si chiama virtual DNA. Le difficoltà di progettare un ambiente basato su cloud risiedono nell esigenza di offrire servizi complessi (IaaS, Paas, SaaS) e contemporaneamente monitorare le performance e la sicurezza. Inoltre nelle architetture cloud è presente la necessità di adattare automaticamente le risorse disponibili e riconfigurare le macchine virtuali all occorrenza. Una generica architettura cloud si basa su 3 livelli: Virtual machine monitor (VMM) Virtual infrastructure Manager (VIM) Cloud manager (CM) Il primo livello (VMM) è composto dalle macchine virtuali che offrono i servizi richiesti ai livelli superiori. Il secondo livello (VIM) è composto dal software che si preoccupa di gestire le macchine virtuali presenti sui server. In particolar modo il VIM alloca e dealloca le macchine virtuali, gestisce le immagini dei SO utilizzati e inizializza la rete virtuale per far comunicare le varie macchine tra loro. Questo livello offre il servizio di IaaS, che può mettere a disposizione dell utente sia una singola macchina virtuale, sia un insieme di macchine virtuali interconnesse da una rete privata. L ultimo livello (CM) è il livello di astrazione più elevato. Basandosi sull infrastruttura offerta dal livello precedente, il CM è capace di offrire una piattaforma su cui utilizzare i servizi desiderati. Questo tipo di servizio è classificato come PaaS o SaaS. 19

20 L ultimo livello è il più complicato da progettare in quanto deve essere tollerante ai guasti, deve essere configurabile, deve garantire la sicurezza e le performance. Per gestire queste esigenze, viene in aiuto l architettura DIME vista in precedenza. Ogni virtual machine ospiterà un DIME locale e la DIME network sarà composta da tutte le macchine virtuali offerte dall IaaS. La comunicazione tra i DIME avverrà attraverso una rete virtuale ma sarà del tutto uguale a quella delle normali DIME networks. In esse i comandi verranno passati al task C e l input sarà inviato al MICE che lo elaborerà, dopo l elaborazione il MICE scriverà l output sul data channel. Ogni DIME offrirà un particolare servizio ma sarà possibile collegare più DIME in cascata per offrire servizi più complessi. Con questa struttura è molto semplice per il provider controllare i singoli servizi offerti da ogni DIME oppure l intera infrastruttura, perché basterà 20

21 utilizzare il signaling path ed i relativi task di controllo. 4.2 Uno scenario di autenticazione in una virtual DIME network La sicurezza dei dati custoditi in un cloud è un aspetto di primaria importanza, ciò rende necessarie misure di protezione come autenticazione degli utenti e criptaggio dei dati custoditi sul cloud. I dati necessitano di esser criptati per evitare intercettazioni durante la comunicazione a livello rete. Dal momento che di solito la comunicazione avviene attraverso HTTP, il protocollo maggiormente usato per questa evenienza è SSL/TLS. Comunque è importante tener presente che la sicurezza dei dati e della comunicazione è a carico del service provider qualora si adotti un cloud del tipo SaaS, mentre è totalmente a carico dell utente nel caso di IaaS. Ricordandoci la struttura di una DIME network, formata da vari DIME locali, ognuno dei quali composto da 5 thread (FCAPS), sarà subito ovvio che il thread deputato a svolgere queste funzioni è il thread S (security). Dal momento che la DIME network sarà usata da diversi utenti, ognuno dei quali avrà accesso a diversi servizi è necessaria una procedura di autenticazione per ogni utente. Per garantire ciò sono necessari due diversi controlli: L autenticazione, per controllare l identità dell utente; L autorizzazione, per controllare a quali servizi l utente può accedere. Una prima soluzione prevede di far autenticare l utente su ogni DIME utilizzato nella rete. Questa soluzione seppur corretta teoricamente non è realizzabile dato l alto numero di DIME e di utenti presenti nella rete. 21

22 Per semplificare la procedura di autenticazione è necessario utilizzare il meccanismo, già trattato in precedenza, detto Single Sign On. In questo modo l utente dovrà autenticarsi presso un Identity Provider (IdP) e ogni DIME nella rete si fiderà dell autenticazione avvenuta presso l IdP attraverso un meccanismo di trust. Per quanto riguarda le autorizzazioni, queste saranno contenute nell account dell utente all interno dell IdP. In questo modo l utente eviterà di avere un account su ogni DIME e quindi di doversi autenticare più volte. Un altro vantaggio è dato dalla possibilità di aggiungere DIME alla rete senza che gli utenti debbano registrarsi sul nuovo DIME, avendo così una maggiore flessibilità. Per garantire la sicurezza in una DIME network è necessario aggiungere dei nuovi componenti alla rete: Un Identity provider Un authorization manager Un accounting repository Questi tre componenti saranno presenti su virtual machines indipendenti, 22

23 presenti nella virtual infrastructure e capaci di comunicare con i DIME attraverso il signaling path Autenticazione nella DIME network Quando un utente vuole accedere a dei servizi attraverso la DIME network deve prima di tutto provare la sua identità all IdP, presente nella virtual infrastructure, che ha il compito di verificare le identità degli utenti. Per far ciò l utente contatterà, attraverso la signaling network, il task S del DIME con cui vuole comunicare. Qualora l utente non sia autenticato, il nodo DIME reindirizzerà la richiesta all IdP. Interagendo con l IdP l utente potrà autenticarsi e stabilire quindi un security context. Attraverso questo security context ora l utente potrà accedere al nodo. Se l utente in seguito dovesse aver bisogno di nuovi nodi non ci sarà bisogno di ripetere la procedura ma si potrà tranquillamente usare il security context già esistente Autorizzazione nella DIME network Dopo aver eseguito l autenticazione è necessario stabilire a quali servizi e quindi a quali nodi DIME l utente può accedere. Per questo motivo è necessario l authorization manager. L authorization manager utilizza un particolare linguaggio, detto XACML, che serve a specificare le politiche per il controllo degli accessi utilizzando cinque elementi: Attributi, che sono delle caratteristiche di una risorsa, un azione o un ambiente su cui è fatta la richiesta di accesso, per esempio lo user-name, il nome del file a cui si vuole accedere o l ora dell accesso; Funzioni, che sono le possibili operazioni che l utente può fare sui dati; Regole, che rappresentano dei vincoli che l utente deve rispettare; 23

24 Policy, che sono un insieme di regole; Policy set, che è un insieme di policy. Quando un utente vuole accedere ad un servizio, contatta il nodo che offre quel servizio, a sua volta il nodo invia una richiesta, attraverso la signaling network, all AM. Questa richiesta è intercettata da un modulo interno all AM, chiamato PEP, formattata in XACML e inviata ad un altro modulo detto PDP. Il PDP valuta la richiesta sulla base delle policy salvate nel policy repository ed invia il risultato al PEP. Il PEP valuta la risposta del PDP e prende la decisione finale che verrà inviata al nodo che inizialmente aveva inviato la richiesta attraverso la signaling network. Per concludere, il nodo DIME, sfruttando il thread A, salverà le operazioni effettuate nell accounting repository Autenticazione tra domini differenti Fin ora abbiamo sempre supposto che l IdP e i DIME fossero tutti nello stesso dominio, però le cose continuano a funzionare anche qualora questo non sia vero. Supponiamo di avere più domini e di voler utilizzare un DIME workflow distribuito, ossia il servizio richiesto è fornito da vari DIME non tutti nello stesso dominio. In questo scenario è importante che tutti i DIME indipendentemente dal dominio accettino il trust dell IdP. Se questo è vero, una volta instaurato un security context con l IdP, si potranno utilizzare tutti i DIME, indipendentemente dal loro dominio e dal dominio dell IdP. L unico accorgimento necessario è la configurazione dei DIME, nello specifico dei thread S, non appartenenti al dominio dell IdP, in modo tale che accettino i trust di un IdP di un dominio differente. 24

25 Per esempio supponiamo di avere una DIME network i cui nodi siano ospitati da due cloud differenti e collegati attraverso Internet. Ciò potrebbe avere senso per motivi economici oppure perché ogni cloud ospita servizi legati all area geografica in cui si trova. Il workflow che interessa all utente è composto dai servizi S1 S2 S3 S4, dove i primi 3 sono ospitati dal cloud A, mentre l ultimo è nel cloud B. Quando l utente accede al servizio S1 viene reindirizzato all IdP del dominio A per l autenticazione. Una volta eseguita con successo l autenticazione potrà accedere ai primi 3 servizi del suo workflow come abbiamo già visto in precedenza, mediante l autenticazione unica. In seguito, non appena l utente proverà ad accedere al servizio 4, il DIME che ospita il servizio chiederà all IdP informazioni riguardo il security context dell utente e riceverà, analogamente ai servizi prima di lui, la conferma dell avvenuta autenticazione. Tutto ciò avverrà a patto che la richiesta sia 25

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

SIRV-INTEROP Sicurezza basata sui ruoli

SIRV-INTEROP Sicurezza basata sui ruoli SIRV-INTEROP (UML-A8.2-0) 06 ottobre 2004 Approvazioni Il presente documento è stato approvato da: UML-A8.2-0 18/11/05 16.25 2 Storia delle Modifiche Versione Data Descrizione Riferimenti Numero Titolo

Dettagli

Framework di sicurezza della piattaforma OCP (Identity & Access Management)

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 91/Ric. del 5 luglio 2012 Framework di sicurezza della piattaforma OCP (Identity & Access Management) AAI: Il problema che OCP ha affrontato

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it! Autenticazione cont d (1) Dalle lezioni precedenti: w L autenticazione è un prerequisito

Dettagli

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security

Dettagli

Identity Management in piattaforme di Cloud Computing IaaS

Identity Management in piattaforme di Cloud Computing IaaS Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Reti di Calcolatori Identity Management in piattaforme di Cloud Computing IaaS Anno Accademico 2013/2014

Dettagli

Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth

Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth Facoltà di Scienze Matematiche Fisiche e Naturali Corso di Laurea in Informatica Tesi di Laurea in Reti di Calcolatori Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione

Dettagli

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale 1. Livello infrastrutturale Il Cloud, inteso come un ampio insieme di risorse e servizi fruibili da Internet che possono essere dinamicamente

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

C Cloud computing Cloud storage. Prof. Maurizio Naldi

C Cloud computing Cloud storage. Prof. Maurizio Naldi C Cloud computing Cloud storage Prof. Maurizio Naldi Cos è il Cloud Computing? Con cloud computing si indica un insieme di tecnologie che permettono, tipicamente sotto forma di un servizio, di memorizzare/

Dettagli

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply

Abstract. Reply e il Cloud Computing: la potenza di internet e un modello di costi a consumo. Il Cloud Computing per Reply Abstract Nei nuovi scenari aperti dal Cloud Computing, Reply si pone come provider di servizi e tecnologie, nonché come abilitatore di soluzioni e servizi di integrazione, volti a supportare le aziende

Dettagli

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n.

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi.

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi. AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo hosting.polimi.it Indice 1. Anagrafica unica di Ateneo... 4 1.1. Introduzione all anagrafica

Dettagli

CLOUD COMPUTING. Che cos è il Cloud

CLOUD COMPUTING. Che cos è il Cloud CLOUD COMPUTING Che cos è il Cloud Durante la rivoluzione industriale, le imprese che si affacciavano per la prima volta alla produzione dovevano costruirsi in casa l energia che, generata da grandi macchine

Dettagli

Gartner Group definisce il Cloud

Gartner Group definisce il Cloud Cloud Computing Gartner Group definisce il Cloud o Cloud Computing is a style of computing in which elastic and scalable information technology - enabled capabilities are delivered as a Service. Gartner

Dettagli

Una rassegna dei sistemi operativi per il Cloud Computing

Una rassegna dei sistemi operativi per il Cloud Computing Alma Mater Studiorum Università di Bologna SCUOLA DI SCIENZE Corso di Laurea in Informatica Una rassegna dei sistemi operativi per il Cloud Computing Tesi di Laurea in Reti di Calcolatori Relatore: Chiar.mo

Dettagli

[TS-CNS-INFRA] Gestione del ciclo di vita della Tessera sanitaria e della Carta nazionale dei servizi (TS-CNS)

[TS-CNS-INFRA] Gestione del ciclo di vita della Tessera sanitaria e della Carta nazionale dei servizi (TS-CNS) Progetto cofinanziato dall Unione Europea Fondo Europeo di Sviluppo Regionale POR FESR Sardegna 2007-2013 [TS-CNS-INFRA] Gestione del ciclo di vita della Tessera sanitaria e della Carta nazionale dei servizi

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo - Integrazione con l'anagrafica Unica di Ateneo Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica

Dettagli

Il Cloud Computing: uno strumento per migliorare il business

Il Cloud Computing: uno strumento per migliorare il business Il Cloud Computing: uno strumento per migliorare il business Luca Zanetta Uniontrasporti I venti dell'innovazione - Imprese a banda larga Varese, 9 luglio 2014 1 / 22 Sommario Cos è il cloud computing

Dettagli

Architetture di Cloud Computing

Architetture di Cloud Computing Corso di Laurea Magistrale in Ingegneria Informatica Corso di Ingegneria del A. A. 2013-2014 Architetture di Cloud Computing 1 Cloud computing Sommario Principali requisiti richiesti dal cloud clomputing

Dettagli

Appendice D. D. Web Services

Appendice D. D. Web Services D. D.1 : cosa sono I cosiddetti sono diventati uno degli argomenti più attuali nel panorama dello sviluppo in ambiente Internet. Posti al centro delle più recenti strategie di aziende del calibro di IBM,

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

IDENTITY AS A SERVICE

IDENTITY AS A SERVICE IDENTITY AS A SERVICE Identità digitale e sicurezza nell impresa Riccardo Paterna SUPSI, 18 SETTEMBRE 2013 LA MIA IDENTITA DIGITALE La mia identità: Riccardo Paterna Riccardo Paterna Solution Architect

Dettagli

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione Sommario Il Problema della Sicurezza nelle Grid Sicurezza nelle Grid Grid Security Infrastructure Autorizzazione 2 Page 1 Il Problema della Sicurezza nelle Grid (1) Le risorse sono presenti domini amministrativi

Dettagli

Semplifica la Gestione HR. Una guida per scegliere il giusto Software HR Cloud

Semplifica la Gestione HR. Una guida per scegliere il giusto Software HR Cloud Semplifica la Gestione HR Una guida per scegliere il giusto Software HR Cloud Indice Introduzione 3 Vantaggi per tutti 4 Cosa è il Cloud? 4 Quali sono i benefici? 5 Cibo per le menti 7 Domande indispensabili

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

Shibboleth e Google Apps

Shibboleth e Google Apps Università di Modena e Reggio nell Emilia 17 giugno 2009 Panoramica funzionamento di default di Shibboleth; autenticazione SAML con Google Apps; indicazioni su come integrare Google Apps con Shibboleth

Dettagli

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Pag. 1 di 16 Redatto da F. Fornasari, C. Simonelli, E. Croci (TAI) Rivisto da E.Mattei (TAI) Approvato

Dettagli

Progettazione: Tecnologie e ambienti di sviluppo

Progettazione: Tecnologie e ambienti di sviluppo Contratto per l acquisizione di servizi di Assistenza specialistica per la gestione e l evoluzione del patrimonio software della Regione Basilicata. Repertorio n. 11016 del 25/09/2009 Progettazione: Tecnologie

Dettagli

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO Standard tecnici Gli standard tecnici di riferimento adottati sono conformi alle specifiche e alle raccomandazioni emanate dai principali

Dettagli

IT ARCHITECTURE: COME PREPARARSI AL CLOUD

IT ARCHITECTURE: COME PREPARARSI AL CLOUD IT ARCHITECTURE: COME PREPARARSI AL CLOUD Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n. 1 - ICT Commoditization

Dettagli

Il modello ICAR per la gestione dell Identit

Il modello ICAR per la gestione dell Identit Il modello ICAR per la gestione dell Identit Identità Digitale Federata Architettura, opportunità e prospettive di convergenza Forum PA 2008, Roma 15 maggio 2008 Massimiliano Pianciamore massimiliano.pianciamore@cefriel.it

Dettagli

SPID: Avvio regolamentazione e pilota. 9 Giugno 2014

SPID: Avvio regolamentazione e pilota. 9 Giugno 2014 SPID: Avvio regolamentazione e pilota 9 Giugno 2014 CONTENUTI 1. SPID 2. Obiettivo dell incontro 3. Presentazione team AgID 4. Elementi dello Schema di Decreto e normativa UE (S. Arbia) 5. Architettura

Dettagli

L iniziativa Cloud DT

L iniziativa Cloud DT L iniziativa Cloud DT Francesco Castanò Dipartimento del Tesoro Ufficio per il Coordinamento Informatico Dipartimentale (UCID) Roma, Luglio 2011 Il Cloud Computing Alcune definizioni Il Cloud Computing

Dettagli

Introduzione al Cloud Computing

Introduzione al Cloud Computing Risparmiare ed innovare attraverso le nuove soluzioni ICT e Cloud Introduzione al Cloud Computing Leopoldo Onorato Onorato Informatica Srl Mantova, 15/05/2014 1 Sommario degli argomenti Definizione di

Dettagli

Stefano Mainetti Fondazione Politecnico di Milano

Stefano Mainetti Fondazione Politecnico di Milano Quale Roadmap per il Cloud Computing? Stefano Mainetti Fondazione Politecnico di Milano stefano.mainetti@fondazione.polimi.it La definizione classica del Cloud Computing 4 modelli di deployment Cloud private

Dettagli

Il protocollo FTP (1/3)

Il protocollo FTP (1/3) FTP Server e Client Il protocollo FTP (1/3) Il File Transfer Protocol (FTP) (protocollo di trasferimento file), è un Protocollo per la trasmissione di dati tra host basato su TCP. Un server FTP offre svariate

Dettagli

l identità digitale federata nel progetto ICAR

l identità digitale federata nel progetto ICAR l identità digitale federata nel progetto ICAR Francesco Meschia Roma, 16 febbraio 2006 agenda generalità sul progetto ICAR e sul task INF-3 situazione e problemi dell identità digitale in Italia l approccio

Dettagli

REGIONE BASILICATA DIPARTIMENTO INFRASTRUTTURE, OO.PP. E MOBILITA

REGIONE BASILICATA DIPARTIMENTO INFRASTRUTTURE, OO.PP. E MOBILITA REGIONE BASILICATA DIPARTIMENTO INFRASTRUTTURE, OO.PP. E MOBILITA Ufficio Difesa del Suolo di Potenza SISTEMA FEDERATO DI AUTENTICAZIONE Informatizzazione dell iter procedurale e dei controlli relativi

Dettagli

Identità Federate. un possibile strumento a supporto della cooperazione applicativa inter-aziendale

Identità Federate. un possibile strumento a supporto della cooperazione applicativa inter-aziendale Identità Federate un possibile strumento a supporto della cooperazione applicativa inter-aziendale Andrea Carmignani Senior IT Infrastructure Architect Agenda Overview dell Identity Federation Esperienze

Dettagli

Dimitris Gritzalis (a), Costas Lambrinoudakis (b)

Dimitris Gritzalis (a), Costas Lambrinoudakis (b) Dimitris Gritzalis (a), Costas Lambrinoudakis (b) a Department of Informatics, Athens University of Economics and Business, 76 Patission Street, Athens GR 10434, Greece b Department of Information and

Dettagli

Novell ZENworks Configuration Management in ambiente Microsoft * Windows *

Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Guida GESTIONE SISTEMI www.novell.com Novell ZENworks Configuration Management in ambiente Microsoft * Windows * Novell ZENworks Configuration Management in ambiente Microsoft Windows Indice: 2..... Benvenuti

Dettagli

@CCEDO: Accessibilità, Sicurezza, Architettura

@CCEDO: Accessibilità, Sicurezza, Architettura Rev. 8, agg. Settembre 2014 @CCEDO: Accessibilità, Sicurezza, Architettura 1.1 Il Sistema di Gestione della Sicurezza Per quanto riguarda la gestione della Sicurezza, @ccedo è dotato di un sistema di autenticazione

Dettagli

Elementi di Sicurezza e Privatezza Lezione 19 SAML e sicurezza della posta elettronica

Elementi di Sicurezza e Privatezza Lezione 19 SAML e sicurezza della posta elettronica Elementi di Sicurezza e Privatezza Lezione 19 SAML e sicurezza della posta elettronica Chiara Braghin chiara.braghin@unimi.it SAML Security Assertion Markup Language Dalla lezione precedente (1) Single

Dettagli

Integrazione di Service Provider e Identity Provider SiRAC e INF3

Integrazione di Service Provider e Identity Provider SiRAC e INF3 Integrazione di Service Provider e Identity Provider SiRAC e INF3 SOMMARIO 1. Introduzione... 4 1.1. Contenuti del Documento... 4 1.2. Distribuzione... 5 1.3. Acronimi... 5 2. Integrazione di Service Provider...

Dettagli

Modello dell Infrastruttura per il Fascicolo Sanitario Elettronico (InfFSE) Progetto: Infrastruttura tecnologica del Fascicolo Sanitario Elettronico

Modello dell Infrastruttura per il Fascicolo Sanitario Elettronico (InfFSE) Progetto: Infrastruttura tecnologica del Fascicolo Sanitario Elettronico Dipartimento per la digitalizzazione della PA e l innovazione Consiglio Nazionale delle Ricerche Dipartimento delle Tecnologie dell Informazione e delle Comunicazioni Modello dell Infrastruttura per il

Dettagli

Visione Generale. Versione 1.0 del 25/08/2009

Visione Generale. Versione 1.0 del 25/08/2009 Visione Generale Versione 1.0 del 25/08/2009 Sommario 1 Premessa... 4 2 Le componenti applicative... 6 2.1 Porta di dominio... 7 2.2 Infrastrutture per la cooperazione... 9 2.2.1 Registro degli Accordi

Dettagli

Attori nella Federazione e Profili SAML. Massimiliano Pianciamore massimiliano.pianciamore@cefriel.it

Attori nella Federazione e Profili SAML. Massimiliano Pianciamore massimiliano.pianciamore@cefriel.it Attori nella Federazione e Profili SAML Massimiliano Pianciamore Agenda Ruoli e Attori in una infrastruttura federata Service Provider Identity Provider Attribute Authorities Lo standard SAML 2.0 Asserzioni

Dettagli

Spunti ed Elementi da Intel Cloud Forum

Spunti ed Elementi da Intel Cloud Forum Spunti ed Elementi da Intel Cloud Forum Intel incontra il canale sul tema del Cloud Computing, Milano, 8 Settembre 2011 L Information e Communication Technology per oltre vent anni si è sviluppata attorno

Dettagli

Shibboleth enabling a web service: Nilde s case study

Shibboleth enabling a web service: Nilde s case study II giornata su Authentication & Authorization Infrastructure (AAI): Autenticazione federata e biblioteche digitali. Roma, 6 Marzo 2007 Shibboleth enabling a web service: Nilde s case study Silvana Mangiaracina

Dettagli

IL PRIVATE CLOUD DELLA FRIENDS' POWER

IL PRIVATE CLOUD DELLA FRIENDS' POWER IL PRIVATE CLOUD DELLA FRIENDS' POWER Evoluzione al Cloud Computing Condivisione dei lavori Integrazione con Android & iphone Cos è il Cloud: le forme e i vantaggi Durante la rivoluzione industriale, le

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

Sicurezza delle informazioni

Sicurezza delle informazioni 1 Sicurezza delle informazioni Best practice per l ambiente di lavoro remoto. All epoca del. Ing. Francesca Merighi Ordine degli ingegneri della provincia di Bologna 2 Il (1) Erogazione di risorse informatiche

Dettagli

INNOVATION CASE. Soluzione cloud per gestire e controllare i sistemi di sicurezza

INNOVATION CASE. Soluzione cloud per gestire e controllare i sistemi di sicurezza Soluzione cloud per gestire e controllare i sistemi di sicurezza IHS prevede inoltre che nei prossimi anni l applicazione alla videosorveglianza del cloud privato che si distingue da quello pubblico per

Dettagli

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti Cosa è Tower Sistema di autenticazione per il controllo degli accessi a reti wireless struttura scalabile consente la federazione tra reti di enti/operatori t i differenti permette la nomadicità degli

Dettagli

Il progetto IDEM. Roberto Cecchini. Workshop GARR 08 Milano, 3 Aprile 2008

Il progetto IDEM. Roberto Cecchini. Workshop GARR 08 Milano, 3 Aprile 2008 Il progetto IDEM Roberto Cecchini Workshop GARR 08 Milano, 3 Aprile 2008 AA? Autenticazione l utente è veramente chi dice di essere? identità Autorizzazione a cosa può accedere l utente? diritti 2 AA tradizionale

Dettagli

Informatica Documentale

Informatica Documentale Informatica Documentale Ivan Scagnetto (scagnett@dimi.uniud.it) Stanza 3, Nodo Sud Dipartimento di Matematica e Informatica Via delle Scienze, n. 206 33100 Udine Tel. 0432 558451 Ricevimento: giovedì,

Dettagli

Mobile Security Suite

Mobile Security Suite Mobile Security Suite gennaio 2012 Il presente documento contiene materiale confidenziale di proprietà Zeropiu. Il materiale, le idee, i concetti contenuti in questo documento devono essere utilizzati

Dettagli

IoT Security & Privacy

IoT Security & Privacy IoT Security & Privacy NAMEX Annual Mee8ng 2015 CYBER SECURITY E CYBER PRIVACY, LA SFIDA DELL INTERNET DI OGNI COSA Rocco Mammoliti, Poste Italiane 17 Giugno 2015 Agenda 2 1 Ecosistema di Cyber Security

Dettagli

CloudComputing: scenari di mercato, trend e opportunità

CloudComputing: scenari di mercato, trend e opportunità CloudComputing: scenari di mercato, trend e opportunità Stefano Mainetti stefano.mainetti@polimi.it Milano, 7 Giugno 2012 Cloud Computing: una naturale evoluzione delle ICT Trend n. 1 - ICT Industrialization

Dettagli

...making m-commerce services!

...making m-commerce services! ...making m-commerce services! 1 Il mercato Alta penetrazione dei terminali in Europa (> 80% in Italy) Diffuso utilizzo degli SMS per la messaggistica Gli operatori sono in cerca di applicazioni di m-commerce

Dettagli

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET)

Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Tratte da (18. TECNICHE DI ACCESSO AI DATABASE IN AMBIENTE INTERNET) Ipotesi di partenza: concetti di base del networking Le ipotesi di partenza indispensabili per poter parlare di tecniche di accesso

Dettagli

Reti di Calcolatori GRIGLIE COMPUTAZIONALI

Reti di Calcolatori GRIGLIE COMPUTAZIONALI D. Talia RETI DI CALCOLATORI - UNICAL 10-1 Reti di Calcolatori GRIGLIE COMPUTAZIONALI D. Talia RETI DI CALCOLATORI - UNICAL 10-2 Griglie Computazionali Cosa è il Grid Computing? Architettura Ambienti Globus

Dettagli

GRIGLIE COMPUTAZIONALI

GRIGLIE COMPUTAZIONALI Reti di Calcolatori GRIGLIE COMPUTAZIONALI D. Talia RETI DI CALCOLATORI - UNICAL 10-1 Griglie Computazionali Cosa è il Grid Computing? Architettura Ambienti Globus D. Talia RETI DI CALCOLATORI - UNICAL

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli

Windows Azure. introduzione. 16 Maggio 2013. Gianni Rosa Gallina giannishub@hotmail.com. Fabrizio Accatino fhtino@gmail.com

Windows Azure. introduzione. 16 Maggio 2013. Gianni Rosa Gallina giannishub@hotmail.com. Fabrizio Accatino fhtino@gmail.com 16 Maggio 2013 Windows Azure introduzione Gianni Rosa Gallina giannishub@hotmail.com Twitter: @giannirg Blog: http://giannishub.cloudapp.net/it/ Fabrizio Accatino fhtino@gmail.com Twitter: @fhtino Sito

Dettagli

GoCloud just google consulting

GoCloud just google consulting La visione Cloud di Google: cosa cambia per i profili tecnici? GoCloud just google consulting Workshop sulle competenze ed il lavoro degli IT Systems Architect Vincenzo Gianferrari Pini

Dettagli

Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS)

<Insert Picture Here> Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Il Successo nel Cloud Computing con Oracle Advanced Customer Services (ACS) Sandro Tassoni Oracle Support Director Maggio 2011 Agenda Panoramica Strategia Portafoglio ACS per Cloud

Dettagli

Cloud Survey 2012: lo stato del cloud computing in Italia

Cloud Survey 2012: lo stato del cloud computing in Italia Cloud Survey 2012: lo stato del cloud computing in Italia INTRODUZIONE EXECUTIVE SUMMARY Il cloud computing nelle strategie aziendali Cresce il numero di aziende che scelgono infrastrutture cloud Perché

Dettagli

Accesso Wi-Fi federato dell'area della Ricerca di Pisa

Accesso Wi-Fi federato dell'area della Ricerca di Pisa Accesso Wi-Fi federato dell'area della Ricerca di Pisa Ing. Abraham Gebrehiwot reparto: Rete Telematica del CNR di Pisa Via G. Moruzzi 1 56124, Pisa abraham.gebrehiwot@iit.cnr.it tel: +39-050-3152079 Obiettivo

Dettagli

FIRMA ELETTRONICA AVANZATA SINGLE SIGN ON STRONG AUTHENTICATION

FIRMA ELETTRONICA AVANZATA SINGLE SIGN ON STRONG AUTHENTICATION FIRMA ELETTRONICA AVANZATA SINGLE SIGN ON STRONG AUTHENTICATION CHE COS È Z-SIGN Z-sign è la soluzione ideata e progettata da Zucchetti e Bit4id per gestire a 360 l identità digitale del dipendente nell

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

Sicurezza e virtualizzazione per il cloud

Sicurezza e virtualizzazione per il cloud Sicurezza e virtualizzazione per il cloud Con il cloud gli utenti arrivano ovunque, ma la protezione dei dati no. GARL sviluppa prodotti di sicurezza informatica e servizi di virtualizzazione focalizzati

Dettagli

Intarsio IAM Identity & Access Management

Intarsio IAM Identity & Access Management Intarsio IAM Identity & Access Management 2/35 Intarsio Interoperabilità Applicazioni Reti Servizi Infrastrutture Organizzazione 3/35 Una linea per molti servizi Una definizione: Intarsio è la nuova linea

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

Organizzazioni nel Grid Computing

Organizzazioni nel Grid Computing Il ruolo delle Organizzazioni nel Grid Computing Un primo sguardo a Globus - Parte 5 Organizzazioni di Grid Computing Panoramica sui prodotti software Primo sguardo a Globus Dott. Marcello CASTELLANO La

Dettagli

SDD System design document

SDD System design document UNIVERSITA DEGLI STUDI DI PALERMO FACOLTA DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA INFORMATICA TESINA DI INGEGNERIA DEL SOFTWARE Progetto DocS (Documents Sharing) http://www.magsoft.it/progettodocs

Dettagli

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com

File Sharing & LiveBox WHITE PAPER. http://www.liveboxcloud.com File Sharing & LiveBox WHITE PAPER http://www.liveboxcloud.com 1. File Sharing: Definizione Per File Sync and Share (FSS), s intende un software in grado di archiviare i propri contenuti all interno di

Dettagli

Cloud Service Broker

Cloud Service Broker Cloud Service Broker La nostra missione Easycloud.it è un Cloud Service Broker fondato nel 2012, che ha partnership commerciali con i principali operatori del settore. La nostra missione: aiutare le imprese

Dettagli

Centro Servizi e Sala Controllo

Centro Servizi e Sala Controllo Progetto SNIFF (Sensor Network Infrastructure For Factors) INFRASTRUTTURA DI SENSORI PER IL RILEVAMENTO DI INQUINANTI NELL ARIA PON RC1 [PON01_02422] Settore Ambiente e Sicurezza Comune di Crotone 1 Napoli,

Dettagli

Estratto dell'agenda dell'innovazione e del Trade Bari 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO BOOKINGSHOW

Estratto dell'agenda dell'innovazione e del Trade Bari 2011. Speciale: I casi. Introduzione dell'area tematica IL CASO BOOKINGSHOW Estratto dell'agenda dell'innovazione e del Trade Bari 2011 Speciale: I casi Introduzione dell'area tematica IL CASO BOOKINGSHOW Innovare e competere con le ICT: casi di successo - PARTE II Cap.9 Far evolvere

Dettagli

CATALOGO CORSI DI FORMAZIONE INFORMATICA

CATALOGO CORSI DI FORMAZIONE INFORMATICA CATALOGO CORSI DI FORMAZIONE INFORMATICA La Dialuma propone a catalogo 22 corsi di Informatica che spaziano tra vari argomenti e livelli. TITOLI E ARGOMENTI I001 - Informatica generale Concetti generali

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2015 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

Strumenti di identificazione in rete

Strumenti di identificazione in rete Pordenone, 14 novembre 2014 Strumenti di identificazione in rete SABRINA CHIBBARO sabrina@chibbaro.net PII - "Personally Identifiable Information" Nel mondo digitale, l identità è un informazione univoca

Dettagli

Guida Utente della PddConsole. Guida Utente della PddConsole

Guida Utente della PddConsole. Guida Utente della PddConsole Guida Utente della PddConsole i Guida Utente della PddConsole Guida Utente della PddConsole ii Copyright 2005-2014 Link.it srl Guida Utente della PddConsole iii Indice 1 Introduzione 1 2 I protocolli di

Dettagli

D3.2 Documento illustrante l architettura 3D Cloud per la realizzazione di servizi in modalità SaaS

D3.2 Documento illustrante l architettura 3D Cloud per la realizzazione di servizi in modalità SaaS D3.2 Documento illustrante l architettura 3D Cloud per la realizzazione di servizi in modalità SaaS Il modello SaaS Architettura 3D Cloud Il protocollo DCV Benefici Il portale Web EnginFrame EnginFrame

Dettagli

CLOUD COMPUTING introduzione all'ict as a service. Giuseppe Scalici (AICQ Sicilia - Nucleo Open Source)

CLOUD COMPUTING introduzione all'ict as a service. Giuseppe Scalici (AICQ Sicilia - Nucleo Open Source) CLOUD COMPUTING introduzione all'ict as a service Giuseppe Scalici (AICQ Sicilia - Nucleo Open Source) Elaborazione tradizionale INPUT OUTPUT Per ottenere l'output desiderato è necessario dotarsi di un

Dettagli

Una piattaforma per la negoziazione di servizi business to business attraverso la rete Internet

Una piattaforma per la negoziazione di servizi business to business attraverso la rete Internet Università degli Studi di Napoli Federico II Facoltà di Ingegneria Corso di Laurea in Ingegneria Gestionale della Logistica e della Produzione Una piattaforma per la negoziazione di servizi business to

Dettagli

PROCEDURA APERTA (AI SENSI DEL D.LGS.163/2006 E S.M.I.)

PROCEDURA APERTA (AI SENSI DEL D.LGS.163/2006 E S.M.I.) PROCEDURA APERTA (AI SENSI DEL D.LGS.163/2006 E S.M.I.) PER L'ACQUISIZIONE DEL SERVIZIO EVOLUTIVO E DI ASSISTENZA SPECIALISTICA DEL SISTEMA INFORMATIVO LAVORO BASIL DELLA REGIONE BASILICATA P.O. FSE Basilicata

Dettagli

CeBAS. Centrale Bandi e Avvisi Pubblici Regionali (DGR n. 1556 del 11.09.2009)

CeBAS. Centrale Bandi e Avvisi Pubblici Regionali (DGR n. 1556 del 11.09.2009) CeBAS Centrale Bandi e Avvisi Pubblici Regionali (DGR n. 1556 del 11.09.2009) Introduzione Il progetto CEBAS: la finalità è di migliorare l efficienza operativa interna dell Ente rispondere alle aspettative

Dettagli

I nuovi modelli di delivery dell IT: un quadro di riferimento

I nuovi modelli di delivery dell IT: un quadro di riferimento I nuovi modelli di delivery dell IT: un quadro di riferimento Stefano Mainetti Fondazione Politecnico di Milano stefano.mainetti@polimi.it Milano, 25 Ottobre 2010 Cloud Computing: il punto d arrivo Trend

Dettagli

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato alessandrograziani@iuslaw.

Apps4Law: Riflessioni sul Cloud Computing. Roma 21 marzo 2013 Sala Seminari UNIRIZ. Alessandro Graziani, Avvocato alessandrograziani@iuslaw. Apps4Law: Riflessioni sul Cloud Computing Roma 21 marzo 2013 Sala Seminari UNIRIZ 2 3 Il Cloud Computing si definisce consuetamente secondo due distinte accezioni: 1. un di carattere tecnologico 2. l altra

Dettagli

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi.

Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet Internet è universalmente nota come la Rete delle reti: un insieme smisurato di computer collegati tra loro per scambiarsi dati e servizi. Internet: la rete delle reti Alberto Ferrari Connessioni

Dettagli

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l

IL CLOUD COMPUTING DALLE PMI ALLE ENTERPRISE. Salvatore Giannetto Presidente Salvix S.r.l IL CLOUD COMPUTING Salvatore Giannetto Presidente Salvix S.r.l Agenda. - Introduzione generale : il cloud computing Presentazione e definizione del cloud computing, che cos è il cloud computing, cosa serve

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

Un approccio innovativo per il delivery di servizi in infrastrutture di nomadic computing

Un approccio innovativo per il delivery di servizi in infrastrutture di nomadic computing Un approccio innovativo per il delivery di servizi in infrastrutture di nomadic computing Relatore Prof. Ing. Stefano Russo Correlatore Ing. Domenico Cotroneo Candidato Armando Migliaccio matr. 41/2784

Dettagli