Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud

Save this PDF as:
 WORD  PNG  TXT  JPG

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud"

Transcript

1 Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in protocolli per reti mobili Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud Anno Accademico 2013/2014 Candidato: Alessandro Del Prete matr. N46/867

2 Indice Indice... II Introduzione... 3 Capitolo 1: Cloud computing Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS)... 5 Capitolo 2: Identity and access management Autenticazione Single sign on (SSO) Federazione Autorizzazione Gestione dell IAM come SaaS (IDaaS)... 8 Capitolo 3: Tecnologie per l autenticazione federata Security Assertion Markup Language (SAML) SAML assertions SAML protocol SAML binding SAML profile SSO con SAML Shibboleth Identity provider Service provider Where Are You From (WAYF) Funzionamento di Shibboleth Procedura di autenticazione Esempio concreto di utilizzo di Shibboleth Capitolo 4: Autenticazione federata per servizi cloud Un esempio di architettura Struttura dell architettura L architettura DNA nel cloud Uno scenario di autenticazione in una virtual DIME network Autenticazione nella DIME network Autorizzazione nella DIME network Autenticazione tra domini differenti Conclusioni Bibliografia

3 Introduzione Con l aumentare dei servizi fruibili via web si è avuto un notevole incremento del numero di registrazioni da parte di un singolo utente, tutto ciò costringe gli utenti a dover ricordare un considerevole numero di dati per l autenticazione e i service provider a dover memorizzare dati per un numero sempre crescente di account. È in questa situazione che si avverte l esigenza di una autenticazione unica. In questo elaborato, dopo una breve introduzione al cloud computing ed ai principali obiettivi dell Identity and Access Management, ci concentreremo su tecniche e metodologie per garantire la sicurezza in un ambiente cloud, ponendo particolare attenzione all autenticazione. Nello specifico approfondiremo il linguaggio SAML e l Identity Provider Shibboleth al fine di rendere possibile un autenticazione federata attraverso Single Sign On. Per concludere verrà trattato, come esempio di applicazione di quanto detto all interno di uno scenario cloud. 3

4 Capitolo 1: Cloud computing Con il termine cloud o più propriamente cloud computing ci si riferisce all insieme di tecnologie offerte da un provider sotto forma di servizio che permettono all utente di memorizzare o elaborare dati grazie all utilizzo di risorse software o hardware distribuite in rete (tipicamente internet). Un provider di cloud computing offre i seguenti servizi: Infrastructure as a service (IaaS) Platform as a service (PaaS) Software as a service (SaaS) 1.1 Infrastracture as a Service (IaaS) L Iaas è la prima forma di cloud computing. Questo servizio offre all utente la possibilità di utilizzare macchine fisiche o, più frequentemente, virtuali attraverso la rete. Le macchine virtuali sono preferite in quanto è possibile adattare le risorse allocate sulla base delle richieste dell utente, in questo modo è possibile avere un numero maggiore di macchine rispetto a quelle fisiche. La gestione del SO e di tutto il software è a carico dell utente, nonché la gestione di una parte dell hardware. Per far uso di questo servizio si deve installare un immagine del SO sulla macchina dell utente e un applicazione software sul cloud. 4

5 1.2 Platform as a Service (PaaS) In questa seconda forma di cloud computing all utente viene offerta una piattaforma (tipicamente comprensiva di SO, ambiente di esecuzione dei linguaggi di programmazione, web server, database) sulla quale si possono sviluppare ed eseguire applicazioni software senza doversi far carico della gestione dei livelli hardware e software sottostanti. Le risorse allocate alla macchina virtuale che ospita la piattaforma sono gestite automaticamente sulla base della richiesta di calcolo dell utente. 1.3 Software as a Service (SaaS) Questo è il sistema di cloud computing più complesso, che prevede la possibilità per l utente di utilizzare software e database presenti sul cloud senza preoccuparsi nemmeno dello sviluppo dell applicazione, in quanto è direttamente il provider a fornirle. Le applicazioni software sono installate direttamente sul cloud e possono essere accedute da vari clients. Non è necessario per l utente gestire né l hardware né la piattaforma su cui eseguono le applicazioni, questo risparmia all utente la necessità di installare software sulla sua macchina client e semplifica la manutenzione dei cloud. 5

6 Capitolo 2: Identity and access management L identità digitale è definita come la rappresentazione di un entità con uno o più attributi (informazioni sull entità) che ne rendono possibile l identificazione in un dato contesto. Con il termine identity and access management (IAM) si identifica l insieme di funzioni, come autenticazione, management, amministrazione, il cui obiettivo è controllare e gestire le informazioni sugli utenti al fine di garantire la sicurezza di un sistema. Queste informazioni solitamente sono: Informazioni che servono ad autenticare l utente Informazioni riguardanti le azioni che l utente è autorizzato a fare Informazioni su chi può accedere e modificare le precedenti L IAM si può ridurre a tre funzioni basilari: Creazione e gestione di identità La gestione degli accessi (autenticazione) La personalizzazione dei servizi sulla base delle autorizzazioni dell utente Nella gestione dell identità sono coinvolti solitamente tre entità: Il client (colui che vuole usufruire di un servizio) Il service provider (colui che offre il servizio) L identity provider (l entità deputata a verificare e gestire l identità 6

7 degli utenti) 2.1 Autenticazione La gestione degli accessi avviene attraverso l autenticazione, che è la verifica che l utente è chi afferma di essere. La forma più semplice di autenticazione è la verifica della conoscenza di username e password, questo meccanismo ha il vantaggio della semplicità sia per l utente che per provider dei servizi che richiedono l autenticazione, invece lo svantaggio è che si basa solamente sulla conoscenza della password. Un meccanismo di autenticazione per essere sicuro dovrebbe verificare i seguenti campi: Qualcosa che l utente conosce (es. password) Qualcosa che l utente ha (es. certificato digitale o token) Qualcosa che l utente è (es. impronte digitali) Tanti più campi verificherà il meccanismo di autenticazione scelto, tanto più sarà sicuro ma tanto più sarà complesso sia da gestire che da utilizzare. Quindi è necessario cercare il giusto compromesso tra sicurezza e facilità di utilizzo tenendo presente le esigenze specifiche del sistema in questione. 2.2 Single Sign On (SSO) Alla base del single sign on (SSO) vi è la possibilità per un utente di accedere a varie applicazioni dello stesso provider mediante un unica autenticazione. Il SSO ha effetti benefici sia sull utente sia sul provider, in quanto l utente deve ricordarsi un numero minore di password e quindi eviterà di scegliere password semplici e facili da indovinare oppure eviterà di scriverle, neutralizzando i due più grandi rischi del sistema username/password. Di conseguenza i provider dovranno memorizzare 7

8 meno dati per ogni utente risparmiando spazio. 2.3 Federazione È anche possibile accedere a applicazioni di provider differenti mediante l autenticazione verso un unico provider, questo meccanismo, che è un estensione del SSO, è chiamato federazione. Per permettere ciò esistono diversi protocolli di comunicazione, come SAML (security Assertion Markup Language), che permettono a organizzazioni diverse, appartenenti alla stessa federazione, di scambiarsi informazioni riguardanti l autenticazione di un utente. Quando un utente si autentica ad un sito o ad un applicazione sfruttando un altra autenticazione già eseguita si dice che esegue un autenticazione federata. 2.4 Autorizzazione Una volta che un utente è stato autenticato bisogna stabilire a quali contenuti può accedere. Questo passaggio è realizzato assegnando un ruolo, da parte degli amministratori del sito, agli utenti o a gruppi di utenti. Le autorizzazioni e quindi i contenuti accessibili possono variare in base a: L identità dell utente (ruolo) La posizione dell utente o il tipo di dispositivo dal quale sta accedendo Altri fattori quali l orario o il giorno Informazioni che provengono da siti esterni 2.5 Gestione dell IAM come SaaS (IDaaS) Un possibile modo per gestire l IAM è dato dall Identity as a service (IDaaS), ossia la gestione dell identità e degli accessi fatta attraverso cloud. Questo tipo di soluzione ha tutti i vantaggi tipici del cloud, ossia permette 8

9 all utente di disinteressarsi della memorizzazione e della gestione dei dati. Nell IDaaS l applicazione che gestisce l IAM e memorizza i dati sugli utenti è posizionata in un cloud e gestita da un IDaaS provider ed i servizi relativi all identità sono offerti come SaaS. Un concetto fondamentale nell IDaaS è che l applicazione che si occupa dell IAM sia multi-tenant, cioè che diversi utenti possano condividere le stesse risorse in modo trasparente. Questo significa che la stessa applicazione memorizza i dati di più clienti ma i clienti non devono poter accedere a dati non di loro proprietà, anzi i clienti non dovrebbero proprio esser al corrente di dati non loro, presenti nell applicazione. La multitenancy è così importante nella gestione dell IAM via cloud perché permette notevoli risparmi in termini sia economici che di tempo per la gestione della piattaforma. L architettura di una piattaforma IDaaS dovrebbe essere basata su un applicazione, che sia cloud-based e multitenant, che offre tutti i servizi necessari all IAM. Nonostante ciò oggi è molto comune trovare soluzioni ibride che non siano completamente cloud-based ma che facciano uso del cloud solo per una parte dei loro compiti. Ciò perché molte organizzazioni non vogliono affidare completamente i loro dati ad un ente esterno (IDaaS provider) per motivi di sicurezza. Per esempio è possibile che un organizzazione memorizzi sul cloud i dati degli impiegati utilizzando pseudonimi al posto dei veri nomi. Solamente all interno dell organizzazione stessa saranno poi memorizzate le associazioni tra pseudonimi e nomi. 9

10 Capitolo 3: Tecnologie per l autenticazione federata Per realizzare un autenticazione federata si adottano differenti tecnologie, quali un Identity Provider, che è l elemento che si occupa di gestire e verificare le identità degli utenti, ed un linguaggio per lo scambio di queste informazioni tra diverse parti. In questo capitolo verranno discussi Shibboleth e SAML. 3.1 Security Assertion Markup Language (SAML) SAML è un formato standard basato su XML per lo scambio di dati riguardanti autenticazione e autorizzazione tra due parti, solitamente tra Identity Provider e Service Provider. Grazie a questo linguaggio è possibile lo scambio di informazioni in maniera sicura al fine di permettere l utilizzo di meccanismi quali SSO tra organizzazioni diverse SAML assertions SAML si basa su delle asserzioni, che sono i messaggi scambiati contenenti informazioni sulla sicurezza. Le asserzioni sono inviate dall identity provider al service provider e contengono degli statement, sulla base dei quali il SP prenderà la decisione se consentire o meno l accesso dell utente ad una data risorsa. Esistono tre tipi di statement: Authentication statements 10

11 Questo statement serve a garantire al SP che l utente si è autenticato con l IdP. Nello statement è incluso l authentication context che contiene informazioni in merito all autenticazione; Attribute statements Questo statement serve a indicare che l utente è associato a certi attributi (sono una coppia nome-valore) e serve per prendere decisioni in merito all accesso ad alcune risorse; Authorization decision statements In questo statement di solito si dice che l utente A è autorizzato a proseguire con l azione B sulla risorsa R. Le possibilità di questo statement sono limitate e pertanto si consiglia di utilizzare XACML (di cui parleremo in seguito) per lo scambio di autorizzazioni; SAML protocol Oltre alle asserzioni è necessario, al fine di comunicare, stabilire la struttura dei messaggi di richiesta e risposta. A questo scopo si utilizza SAML protocol, che serve a identificare quali elementi SAML (incluse le asserzioni) compongono i messaggi scambiati ed in quale ordine. Una richiesta o risposta scambiata mediante SAML protocol prende il nome di query. Esistono tre tipi di query: Authentication query Attribute query Authorization decision query SAML binding Con SAML binding si definisce un mapping tra un messaggio definito nel protocollo SAML e un protocollo di comunicazione che ne permette l invio. Per esempio, nel binding più comune, i messaggi 11

12 SAML sono incapsulati in messaggi SOAP, che a loro volta sono racchiusi in messaggi HTTP SAML profile Un SAML profile stabilisce come utilizzare le asserzioni, i protocolli e i binding finora descritti per portare a termine una data azione. Si può definire un SAML profile come l insieme di specifiche per il corretto utilizzo di SAML in un dato contesto. Il più importante SAML profile è il web-browser SSO SSO con SAML Per descrivere l utilizzo di SAML bisogna introdurre tre ruoli: L utente L identity provider Il service provider Tipicamente l utente richiede un servizio al SP che deve ricevere dall IdP una identity assertion e sulla base di questa asserzione, decidere se consentire o meno l accesso alla risorsa. Prima di inviare l asserzione al SP, l IdP potrebbe richiedere dei dati all utente (username e password) al fine di autenticarlo. Un IdP può inviare asserzioni a diversi SP, così come è possibile che un SP accetti asserzioni da più IdP. Supponiamo che un utente già autenticato dal SP A provi ad accedere al SP B e che i due SP utilizzino lo stesso IdP. In tal caso, quando il SP B richiede all IdP l identity assertion dell utente, riceverà immediatamente una risposta. Non sorge il bisogno per l utente di inserire nuovamente username e password, perché risulta effettivamente già autenticato presso l IdP. Ciò permette all utente di accedere alla risorsa senza doversi 12

13 autenticare nuovamente nel nuovo SP, questo è il funzionamento di un autenticazione federata con SSO. 3.2 Shibboleth Shibboleth è un sistema open-source basato sul linguaggio OASIS SAML che si occupa di gestire autenticazione e autorizzazione di utenti sfruttando il concetto di identità federata e SSO. Il sistema Shibboleth è composto da due elementi: l IdP (Identity Provider) e il SP (Service Provider) Identity provider L IdP è l elemento responsabile dell autenticazione che è formato da quattro componenti: Handle service (HS), che si occupa di autenticare gli utenti attraverso un meccanismo di autenticazione scelto dall organizzazione e di creare un handle token che serve a verificare l identità dell utente una volta autenticato; Attribute authority (AA), che gestisce le richieste di attributi del SP, applicando politiche sulla privacy al momento del rilascio degli attributi; Directory service, che immagazzina gli attributi sugli utenti del sistema ed è esterno a Shibboleth; Authentication mechanism, che si preoccupa di verificare login e password all atto dell autenticazione ed è anch esso esterno a Shibboleth Service provider Il SP è dove sono memorizzate le risorse alle quali gli utenti vogliono accedere. Al SP è demandato il controllo degli accessi sulla base delle informazioni inviate dall IdP. Un SP è spesso composto da tante 13

14 applicazioni ma ciò nonostante è comunque considerato un entità unica. Il SP è così composto: Assertion consumer service (ACS), che è responsabile della ricezione dei messaggi SAML utili ad instaurare un ambiente sicuro; Attribute requester (AR), che riceve gli attributi e li passa al RM; Resource manager (RM), che intercetta le richieste provenienti dagli utenti per delle risorse e prende decisioni sull accesso, sulla base degli attributi dell utente Where Are You From (WAYF) L ultimo componente di Shibboleth è opzionale e si chiama WAYF (where are you from) e serve a collegare un utente con la sua organizzazione. Quando l utente prova ad accedere ad una risorsa verrà reindirizzato ad una pagina, sulla quale potrà scegliere a quale organizzazione appartiene. Nella fase successiva, l utente visualizzerà la pagina della sua organizzazione per l autenticazione. Questo componente è particolarmente utile se lo stesso IdP è utilizzato da più organizzazioni differenti. 3.3 Funzionamento di Shibboleth Shibboleth sposta verso le strutture di appartenenza degli utenti il ruolo di dare garanzie sulla loro identità, a differenza di servizi quali IDaaS che affidano questo compito a strutture terze. Attraverso Shibboleth è possibile, con un unica autenticazione, accedere a diversi servizi anche di diverse organizzazioni, a patto di avere regole condivise per l autenticazione e l autorizzazione degli utenti all interno della federazione Procedura di autenticazione L autenticazione attraverso Shibboleth avviene secondo i seguenti passi, 14

15 (come mostrato anche in figura): 1) L utente prova ad accedere ad una risorsa protetta sul SP; 2) Shibboleth reindirizza l utente al WAYF (se presente) dove può scegliere il suo IdP; 3) L utente visualizza la pagina del suo IdP, in particolare quella del HS, dove inserisce i dati per l autenticazione; 4) L HS autentica l utente e crea un handle (pseudonimo) che lo identifichi, dopo invia l handle all AA ed all ACS; 5) L ACS controlla l handle e lo trasferisce all AR e così facendo instaura una sessione; 6) L AR utilizza l handle che ha ricevuto per richiedere gli attributi dell utente all AA; 7) L IdP dopo aver controllato se può rilasciare gli attributi dell utente li invia all AR; 8) L AR riceve gli attributi e li inivia al RM che quindi carica la risorsa desiderata dall utente. 15

16 3.3.2 Esempio concreto di utilizzo di Shibboleth Supponiamo che un utente voglia autenticarsi per utilizzare un determinato servizio presente su un server A. Il server A, che svolge il ruolo di SP, non accetta la richiesta e la gira al WAYF. L utente comunicherà al WAYF le informazioni che lo identificano, le quali verranno inviate al HS appartenente all IdP. A questo punto l HS richiede all utente di non effettuare direttamente il login sul server A ma di effettuarlo presso di sé, ossia attraverso Shibboleth. Effettuato il login presso l HS, ossia dopo aver confrontato i dati immessi dall utente con quelli contenuti in un DB apposito, l utente viene autenticato. Vi è ora la necessità di passare le informazioni al SP, di questo si occupa Shibboleth, attraverso un asserzione SAML. L utente è quindi autenticato presso il server A, che, tuttavia, non conosce gli attributi dell utente e quindi non sa quali sono le sue autorizzazioni. Al fine di ricevere gli attributi il server A invierà una richiesta all Attribute Authority (AA), che riconosce il SP e invia gli attributi richiesti. A questo punto l utente può accedere ai servizi per i quali è autorizzato sul server A ed inoltre può anche accedere ad un eventuale server B, a patto che questo utilizzi lo stesso IdP. Ciò è possibile perché l IdP, quando il server B richiede l autenticazione dell utente, riceverà subito un asserzione SAML, dal momento che l utente è già stato autenticato in precedenza. 16

17 Capitolo 4: Autenticazione federata per servizi cloud 4.1 Un esempio di architettura Il design di un architettura cloud può essere molto complesso da parte del service provider, per semplificare questo problema si può ricorrere alla progettazione di servizi basati sul cloud Struttura dell architettura L architettura DIME, che sta per Distributed Intelligent Managed Element, si basa su due reti sovrapposte: La signaling network La service network Questo consente ai vari task, che compongono l architettura, di eseguire funzioni di controllo (inizializzazione, monitoraggio, analisi, riconfigurazione dovuta a variazioni di carico di lavoro, ecc ) parallelamente ai servizi offerti dalla macchina. Una DIME network è composta da vari DIME locali, che sono unità di calcolo composte dai task FCAPS, ossia: Fault (F) Configuration (C) Accounting (A) Performance (P) 17

18 Security (S) Ognuno di questi task è collegato al canale di signaling. All intero di ogni DIME locale è presente un coordinatore che serve a gestire i vari task che lo compongono e che prende il nome di MICE (Managed Intelligent Computing Element). L obiettivo del MICE è quello di ricevere le istruzioni tramite il task C (attraverso il canale di signaling), prelevare l input dal canale dei dati e scrivere l output, una volta elaborato, sullo stesso canale. In una DIME network è possibile programmare ogni MICE per svolgere una funzione specifica, poi collegando in cascata vari DIME e organizzandoli secondo un Directed acyclic graph (DAG) (per vedere l ordine in cui vanno eseguiti i MICE), è possibile realizzare servizi più complessi. 18

19 4.1.2 L architettura DNA nel cloud La DIME network architecture si adatta alla perfezione alle esigenze del cloud computing in cui essa è implementata attraverso server virtuali e per questo si chiama virtual DNA. Le difficoltà di progettare un ambiente basato su cloud risiedono nell esigenza di offrire servizi complessi (IaaS, Paas, SaaS) e contemporaneamente monitorare le performance e la sicurezza. Inoltre nelle architetture cloud è presente la necessità di adattare automaticamente le risorse disponibili e riconfigurare le macchine virtuali all occorrenza. Una generica architettura cloud si basa su 3 livelli: Virtual machine monitor (VMM) Virtual infrastructure Manager (VIM) Cloud manager (CM) Il primo livello (VMM) è composto dalle macchine virtuali che offrono i servizi richiesti ai livelli superiori. Il secondo livello (VIM) è composto dal software che si preoccupa di gestire le macchine virtuali presenti sui server. In particolar modo il VIM alloca e dealloca le macchine virtuali, gestisce le immagini dei SO utilizzati e inizializza la rete virtuale per far comunicare le varie macchine tra loro. Questo livello offre il servizio di IaaS, che può mettere a disposizione dell utente sia una singola macchina virtuale, sia un insieme di macchine virtuali interconnesse da una rete privata. L ultimo livello (CM) è il livello di astrazione più elevato. Basandosi sull infrastruttura offerta dal livello precedente, il CM è capace di offrire una piattaforma su cui utilizzare i servizi desiderati. Questo tipo di servizio è classificato come PaaS o SaaS. 19

20 L ultimo livello è il più complicato da progettare in quanto deve essere tollerante ai guasti, deve essere configurabile, deve garantire la sicurezza e le performance. Per gestire queste esigenze, viene in aiuto l architettura DIME vista in precedenza. Ogni virtual machine ospiterà un DIME locale e la DIME network sarà composta da tutte le macchine virtuali offerte dall IaaS. La comunicazione tra i DIME avverrà attraverso una rete virtuale ma sarà del tutto uguale a quella delle normali DIME networks. In esse i comandi verranno passati al task C e l input sarà inviato al MICE che lo elaborerà, dopo l elaborazione il MICE scriverà l output sul data channel. Ogni DIME offrirà un particolare servizio ma sarà possibile collegare più DIME in cascata per offrire servizi più complessi. Con questa struttura è molto semplice per il provider controllare i singoli servizi offerti da ogni DIME oppure l intera infrastruttura, perché basterà 20

21 utilizzare il signaling path ed i relativi task di controllo. 4.2 Uno scenario di autenticazione in una virtual DIME network La sicurezza dei dati custoditi in un cloud è un aspetto di primaria importanza, ciò rende necessarie misure di protezione come autenticazione degli utenti e criptaggio dei dati custoditi sul cloud. I dati necessitano di esser criptati per evitare intercettazioni durante la comunicazione a livello rete. Dal momento che di solito la comunicazione avviene attraverso HTTP, il protocollo maggiormente usato per questa evenienza è SSL/TLS. Comunque è importante tener presente che la sicurezza dei dati e della comunicazione è a carico del service provider qualora si adotti un cloud del tipo SaaS, mentre è totalmente a carico dell utente nel caso di IaaS. Ricordandoci la struttura di una DIME network, formata da vari DIME locali, ognuno dei quali composto da 5 thread (FCAPS), sarà subito ovvio che il thread deputato a svolgere queste funzioni è il thread S (security). Dal momento che la DIME network sarà usata da diversi utenti, ognuno dei quali avrà accesso a diversi servizi è necessaria una procedura di autenticazione per ogni utente. Per garantire ciò sono necessari due diversi controlli: L autenticazione, per controllare l identità dell utente; L autorizzazione, per controllare a quali servizi l utente può accedere. Una prima soluzione prevede di far autenticare l utente su ogni DIME utilizzato nella rete. Questa soluzione seppur corretta teoricamente non è realizzabile dato l alto numero di DIME e di utenti presenti nella rete. 21

22 Per semplificare la procedura di autenticazione è necessario utilizzare il meccanismo, già trattato in precedenza, detto Single Sign On. In questo modo l utente dovrà autenticarsi presso un Identity Provider (IdP) e ogni DIME nella rete si fiderà dell autenticazione avvenuta presso l IdP attraverso un meccanismo di trust. Per quanto riguarda le autorizzazioni, queste saranno contenute nell account dell utente all interno dell IdP. In questo modo l utente eviterà di avere un account su ogni DIME e quindi di doversi autenticare più volte. Un altro vantaggio è dato dalla possibilità di aggiungere DIME alla rete senza che gli utenti debbano registrarsi sul nuovo DIME, avendo così una maggiore flessibilità. Per garantire la sicurezza in una DIME network è necessario aggiungere dei nuovi componenti alla rete: Un Identity provider Un authorization manager Un accounting repository Questi tre componenti saranno presenti su virtual machines indipendenti, 22

23 presenti nella virtual infrastructure e capaci di comunicare con i DIME attraverso il signaling path Autenticazione nella DIME network Quando un utente vuole accedere a dei servizi attraverso la DIME network deve prima di tutto provare la sua identità all IdP, presente nella virtual infrastructure, che ha il compito di verificare le identità degli utenti. Per far ciò l utente contatterà, attraverso la signaling network, il task S del DIME con cui vuole comunicare. Qualora l utente non sia autenticato, il nodo DIME reindirizzerà la richiesta all IdP. Interagendo con l IdP l utente potrà autenticarsi e stabilire quindi un security context. Attraverso questo security context ora l utente potrà accedere al nodo. Se l utente in seguito dovesse aver bisogno di nuovi nodi non ci sarà bisogno di ripetere la procedura ma si potrà tranquillamente usare il security context già esistente Autorizzazione nella DIME network Dopo aver eseguito l autenticazione è necessario stabilire a quali servizi e quindi a quali nodi DIME l utente può accedere. Per questo motivo è necessario l authorization manager. L authorization manager utilizza un particolare linguaggio, detto XACML, che serve a specificare le politiche per il controllo degli accessi utilizzando cinque elementi: Attributi, che sono delle caratteristiche di una risorsa, un azione o un ambiente su cui è fatta la richiesta di accesso, per esempio lo user-name, il nome del file a cui si vuole accedere o l ora dell accesso; Funzioni, che sono le possibili operazioni che l utente può fare sui dati; Regole, che rappresentano dei vincoli che l utente deve rispettare; 23

24 Policy, che sono un insieme di regole; Policy set, che è un insieme di policy. Quando un utente vuole accedere ad un servizio, contatta il nodo che offre quel servizio, a sua volta il nodo invia una richiesta, attraverso la signaling network, all AM. Questa richiesta è intercettata da un modulo interno all AM, chiamato PEP, formattata in XACML e inviata ad un altro modulo detto PDP. Il PDP valuta la richiesta sulla base delle policy salvate nel policy repository ed invia il risultato al PEP. Il PEP valuta la risposta del PDP e prende la decisione finale che verrà inviata al nodo che inizialmente aveva inviato la richiesta attraverso la signaling network. Per concludere, il nodo DIME, sfruttando il thread A, salverà le operazioni effettuate nell accounting repository Autenticazione tra domini differenti Fin ora abbiamo sempre supposto che l IdP e i DIME fossero tutti nello stesso dominio, però le cose continuano a funzionare anche qualora questo non sia vero. Supponiamo di avere più domini e di voler utilizzare un DIME workflow distribuito, ossia il servizio richiesto è fornito da vari DIME non tutti nello stesso dominio. In questo scenario è importante che tutti i DIME indipendentemente dal dominio accettino il trust dell IdP. Se questo è vero, una volta instaurato un security context con l IdP, si potranno utilizzare tutti i DIME, indipendentemente dal loro dominio e dal dominio dell IdP. L unico accorgimento necessario è la configurazione dei DIME, nello specifico dei thread S, non appartenenti al dominio dell IdP, in modo tale che accettino i trust di un IdP di un dominio differente. 24

25 Per esempio supponiamo di avere una DIME network i cui nodi siano ospitati da due cloud differenti e collegati attraverso Internet. Ciò potrebbe avere senso per motivi economici oppure perché ogni cloud ospita servizi legati all area geografica in cui si trova. Il workflow che interessa all utente è composto dai servizi S1 S2 S3 S4, dove i primi 3 sono ospitati dal cloud A, mentre l ultimo è nel cloud B. Quando l utente accede al servizio S1 viene reindirizzato all IdP del dominio A per l autenticazione. Una volta eseguita con successo l autenticazione potrà accedere ai primi 3 servizi del suo workflow come abbiamo già visto in precedenza, mediante l autenticazione unica. In seguito, non appena l utente proverà ad accedere al servizio 4, il DIME che ospita il servizio chiederà all IdP informazioni riguardo il security context dell utente e riceverà, analogamente ai servizi prima di lui, la conferma dell avvenuta autenticazione. Tutto ciò avverrà a patto che la richiesta sia 25

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Framework di sicurezza della piattaforma OCP (Identity & Access Management)

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 91/Ric. del 5 luglio 2012 Framework di sicurezza della piattaforma OCP (Identity & Access Management) AAI: Il problema che OCP ha affrontato

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

Gartner Group definisce il Cloud

Gartner Group definisce il Cloud Cloud Computing Gartner Group definisce il Cloud o Cloud Computing is a style of computing in which elastic and scalable information technology - enabled capabilities are delivered as a Service. Gartner

Dettagli

SDD System design document

SDD System design document UNIVERSITA DEGLI STUDI DI PALERMO FACOLTA DI INGEGNERIA CORSO DI LAUREA IN INGEGNERIA INFORMATICA TESINA DI INGEGNERIA DEL SOFTWARE Progetto DocS (Documents Sharing) http://www.magsoft.it/progettodocs

Dettagli

SIRV-INTEROP Sicurezza basata sui ruoli

SIRV-INTEROP Sicurezza basata sui ruoli SIRV-INTEROP (UML-A8.2-0) 06 ottobre 2004 Approvazioni Il presente documento è stato approvato da: UML-A8.2-0 18/11/05 16.25 2 Storia delle Modifiche Versione Data Descrizione Riferimenti Numero Titolo

Dettagli

Dimitris Gritzalis (a), Costas Lambrinoudakis (b)

Dimitris Gritzalis (a), Costas Lambrinoudakis (b) Dimitris Gritzalis (a), Costas Lambrinoudakis (b) a Department of Informatics, Athens University of Economics and Business, 76 Patission Street, Athens GR 10434, Greece b Department of Information and

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

w w w. n e w s o f t s r l. i t Soluzione Proposta

w w w. n e w s o f t s r l. i t Soluzione Proposta w w w. n e w s o f t s r l. i t Soluzione Proposta Sommario 1. PREMESSA...3 2. NSPAY...4 2.1 FUNZIONI NSPAY... 5 2.1.1 Gestione degli addebiti... 5 2.1.2 Inibizione di un uso fraudolento... 5 2.1.3 Gestione

Dettagli

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Pag. 1 di 16 Redatto da F. Fornasari, C. Simonelli, E. Croci (TAI) Rivisto da E.Mattei (TAI) Approvato

Dettagli

LEZIONE 3. Il pannello di amministrazione di Drupal, configurazione del sito

LEZIONE 3. Il pannello di amministrazione di Drupal, configurazione del sito LEZIONE 3 Il pannello di amministrazione di Drupal, configurazione del sito Figura 12 pannello di controllo di Drupal il back-end Come già descritto nella lezione precedente il pannello di amministrazione

Dettagli

SISTEMI OPERATIVI DISTRIBUITI

SISTEMI OPERATIVI DISTRIBUITI SISTEMI OPERATIVI DISTRIBUITI E FILE SYSTEM DISTRIBUITI 12.1 Sistemi Distribuiti Sistemi operativi di rete Sistemi operativi distribuiti Robustezza File system distribuiti Naming e Trasparenza Caching

Dettagli

Analisi dei Requisiti

Analisi dei Requisiti Analisi dei Requisiti Pagina 1 di 16 Analisi dei Requisiti Indice 1 - INTRODUZIONE... 4 1.1 - OBIETTIVO DEL DOCUMENTO...4 1.2 - STRUTTURA DEL DOCUMENTO...4 1.3 - RIFERIMENTI...4 1.4 - STORIA DEL DOCUMENTO...4

Dettagli

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori

CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY. Prima parte: Panoramica sugli attori ANALISI 11 marzo 2012 CLOUD COMPUTING REFERENCE ARCHITECTURE: LE INDICAZIONI DEL NATIONAL INSTITUTE OF STANDARDS AND TECHNOLOGY Nella newsletter N 4 abbiamo già parlato di Cloud Computing, introducendone

Dettagli

Database e reti. Piero Gallo Pasquale Sirsi

Database e reti. Piero Gallo Pasquale Sirsi Database e reti Piero Gallo Pasquale Sirsi Approcci per l interfacciamento Il nostro obiettivo è, ora, quello di individuare i possibili approcci per integrare una base di dati gestita da un in un ambiente

Dettagli

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale

MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale MCloud.Gov l infrastruttura SaaS per la Pubblica Amministrazione locale 1. Livello infrastrutturale Il Cloud, inteso come un ampio insieme di risorse e servizi fruibili da Internet che possono essere dinamicamente

Dettagli

C Cloud computing Cloud storage. Prof. Maurizio Naldi

C Cloud computing Cloud storage. Prof. Maurizio Naldi C Cloud computing Cloud storage Prof. Maurizio Naldi Cos è il Cloud Computing? Con cloud computing si indica un insieme di tecnologie che permettono, tipicamente sotto forma di un servizio, di memorizzare/

Dettagli

Identity Access Management: la soluzione loginfvg

Identity Access Management: la soluzione loginfvg Identity Access Management: la soluzione loginfvg Identity Provider Per essere sicuri che una persona o un sistema in rete siano chi dicono di essere, abbiamo bisogno di sistemi che ne autentichino l'identità

Dettagli

Piattaforma ilearn di Hiteco. Presentazione Piattaforma ilearn

Piattaforma ilearn di Hiteco. Presentazione Piattaforma ilearn Presentazione Piattaforma ilearn 1 Sommario 1. Introduzione alla Piattaforma Hiteco ilearn...3 1.1. Che cos è...3 1.2. A chi è rivolta...4 1.3. Vantaggi nell utilizzo...4 2. Caratteristiche della Piattaforma

Dettagli

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15

Scritto da Administrator Martedì 02 Settembre 2008 06:30 - Ultimo aggiornamento Martedì 10 Maggio 2011 17:15 Entrare in un pc è una espressione un po generica...può infatti significare più cose: - Disporre di risorse, quali files o stampanti, condivise, rese fruibili liberamente o tramite password con i ripettivi

Dettagli

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte.

OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. 1 Guida Utente 1.1 Panoramica di OASIS OASIS è una fabbrica per il bene comune dei dati attraverso l uso delle applicazioni proposte. Grazie a OASIS, sarai in grado di acquistare o selezionare, dallo store,

Dettagli

Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth

Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth Facoltà di Scienze Matematiche Fisiche e Naturali Corso di Laurea in Informatica Tesi di Laurea in Reti di Calcolatori Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione

Dettagli

Integrazione di Service Provider e Identity Provider SiRAC e INF3

Integrazione di Service Provider e Identity Provider SiRAC e INF3 Integrazione di Service Provider e Identity Provider SiRAC e INF3 SOMMARIO 1. Introduzione... 4 1.1. Contenuti del Documento... 4 1.2. Distribuzione... 5 1.3. Acronimi... 5 2. Integrazione di Service Provider...

Dettagli

Internet Architettura del www

Internet Architettura del www Internet Architettura del www Internet è una rete di computer. Il World Wide Web è l insieme di servizi che si basa sull architettura di internet. In una rete, ogni nodo (detto host) è connesso a tutti

Dettagli

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO

ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO ALLEGATO C STANDARD TECNICI DELLA BORSA CONTINUA NAZIONALE DEL LAVORO Standard tecnici Gli standard tecnici di riferimento adottati sono conformi alle specifiche e alle raccomandazioni emanate dai principali

Dettagli

Configuration of a distributed system as emerging behavior of autonomous agents

Configuration of a distributed system as emerging behavior of autonomous agents Configuration of a distributed system as emerging behavior of autonomous agents Configuration of a distributed system as emerging behavior of autonomous agents : Questo documento illustra la strategia

Dettagli

Corso di Laurea in Informatica Reti e Sicurezza Informatica

Corso di Laurea in Informatica Reti e Sicurezza Informatica Corso di Laurea in Informatica Reti e Sicurezza Informatica Esercitazione 6 Autenticazione in Tomcat per lo sviluppo di Web Service. In questo documento si presentano i meccanismi fondamentali che consentono

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli

LE RETI: STRUMENTO AZIENDALE

LE RETI: STRUMENTO AZIENDALE LE RETI: STRUMENTO AZIENDALE INDICE -Introduzione -La rete e i principali tipi di rete -La rete delle reti: Internet -Evoluzione tecnologica di internet: cloud computing -Vantaggi della cloud all interno

Dettagli

EXPLOit Content Management Data Base per documenti SGML/XML

EXPLOit Content Management Data Base per documenti SGML/XML EXPLOit Content Management Data Base per documenti SGML/XML Introduzione L applicazione EXPLOit gestisce i contenuti dei documenti strutturati in SGML o XML, utilizzando il prodotto Adobe FrameMaker per

Dettagli

L Hotspot che Parla Ai Tuoi Clienti. FacileWifi.it

L Hotspot che Parla Ai Tuoi Clienti. FacileWifi.it L Hotspot che Parla Ai Tuoi Clienti FacileWifi.it IL PRODOTTO Il Facile Wifi è un sistema di autenticazione ad internet per reti wireless (HotSpot) e cablate ideato per unire la massima praticità di utilizzo

Dettagli

OGGETTO DELLA FORNITURA...4

OGGETTO DELLA FORNITURA...4 Gara d appalto per la fornitura di licenze software e servizi per la realizzazione del progetto di Identity and Access Management in Cassa Depositi e Prestiti S.p.A. CAPITOLATO TECNICO Indice 1 GENERALITÀ...3

Dettagli

DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it

DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it DICHIARAZIONE RELATIVA ALLA PROTEZIONE E ALL UTILIZZO DEI DATI PERSONALI SU www.zalando.it anche ai sensi e per gli effetti dell art. 13, D.Lgs. 30 giugno 2003, n. 196 La protezione dei dati personali

Dettagli

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate

Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Università degli Studi di Salerno Ingegneria del Software: Tecniche Avanzate Mystic Pizza Gestione Pizzeria Scheda di Progetto Version 1.0 Data 19/03/2007 Indice degli argomenti 1. Introduzione 3 a. Scenario

Dettagli

LABORATORIO DI TELEMATICA

LABORATORIO DI TELEMATICA LABORATORIO DI TELEMATICA COGNOME: Ronchi NOME: Valerio NUMERO MATRICOLA: 41210 CORSO DI LAUREA: Ingegneria Informatica TEMA: Analisi del protocollo FTP File Transfer Protocol File Transfer Protocol (FTP)

Dettagli

Ministero del Lavoro e delle Politiche Sociali

Ministero del Lavoro e delle Politiche Sociali Ministero del Lavoro e delle Politiche Sociali Prospetto Informativo on-line Standard tecnici del sistema informativo per l invio telematico del Prospetto Informativo Documento: UNIPI.StandardTecnici Revisione

Dettagli

Web Programming Specifiche dei progetti

Web Programming Specifiche dei progetti Web Programming Specifiche dei progetti Paolo Milazzo Anno Accademico 2010/2011 Argomenti trattati nel corso Nel corso di Web Programming sono state descritti i seguenti linguaggi (e tecnologie): HTML

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it! Autenticazione cont d (1) Dalle lezioni precedenti: w L autenticazione è un prerequisito

Dettagli

Guida all accesso sicuro al sito dberw.univr.it

Guida all accesso sicuro al sito dberw.univr.it UNIVERSITÀ DEGLI STUDI DI VERONA ACCESSO SICURO VIA HTTPS Università degli Studi di Verona Guida all accesso sicuro al sito dberw.univr.it Guida per l utente Versione 1.4 Giovanroberto Torre Roberto Posenato

Dettagli

Sicurezza a livello IP: IPsec e le reti private virtuali

Sicurezza a livello IP: IPsec e le reti private virtuali Sicurezza a livello IP: IPsec e le reti private virtuali Davide Cerri Sommario L esigenza di proteggere l informazione che viene trasmessa in rete porta all utilizzo di diversi protocolli crittografici.

Dettagli

DD - Design Document

DD - Design Document Politecnico di Milano Progetto di Ingegneria del Software 2 DD - Design Document Autori: Claudia Foglieni Giovanni Matteo Fumarola Massimo Maggi Professori: Elisabetta Di Nitto Raffaela Mirandola 1 gennaio

Dettagli

Una rassegna dei sistemi operativi per il Cloud Computing

Una rassegna dei sistemi operativi per il Cloud Computing Alma Mater Studiorum Università di Bologna SCUOLA DI SCIENZE Corso di Laurea in Informatica Una rassegna dei sistemi operativi per il Cloud Computing Tesi di Laurea in Reti di Calcolatori Relatore: Chiar.mo

Dettagli

Cluster per architetture a componenti

Cluster per architetture a componenti Luca Cabibbo Architetture Software Cluster per architetture a componenti Dispensa ASW 442 ottobre 2014 Un buon progetto produce benefici in più aree. Trudy Benjamin 1 -Fonti [IBM] Clustering Solutions

Dettagli

IT Cloud Service. Semplice - accessibile - sicuro - economico

IT Cloud Service. Semplice - accessibile - sicuro - economico IT Cloud Service Semplice - accessibile - sicuro - economico IT Cloud Service - Cos è IT Cloud Service è una soluzione flessibile per la sincronizzazione dei file e la loro condivisione. Sia che si utilizzi

Dettagli

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4)

Architettura del. Sintesi dei livelli di rete. Livelli di trasporto e inferiori (Livelli 1-4) Architettura del WWW World Wide Web Sintesi dei livelli di rete Livelli di trasporto e inferiori (Livelli 1-4) - Connessione fisica - Trasmissione dei pacchetti ( IP ) - Affidabilità della comunicazione

Dettagli

Identity Management in piattaforme di Cloud Computing IaaS

Identity Management in piattaforme di Cloud Computing IaaS Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in Reti di Calcolatori Identity Management in piattaforme di Cloud Computing IaaS Anno Accademico 2013/2014

Dettagli

ACCESSNET -T IP NMS. Network Management System. www.hytera.de

ACCESSNET -T IP NMS. Network Management System. www.hytera.de ACCESSNET -T IP NMS Network System Con il sistema di gestione della rete (NMS) è possibile controllare e gestire l infrastruttura e diversi servizi di una rete ACCESSNET -T IP. NMS è un sistema distribuito

Dettagli

Informatica Documentale

Informatica Documentale Informatica Documentale Ivan Scagnetto (scagnett@dimi.uniud.it) Stanza 3, Nodo Sud Dipartimento di Matematica e Informatica Via delle Scienze, n. 206 33100 Udine Tel. 0432 558451 Ricevimento: giovedì,

Dettagli

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER

DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER DATABASE IN RETE E PROGRAMMAZIONE LATO SERVER L architettura CLIENT SERVER è l architettura standard dei sistemi di rete, dove i computer detti SERVER forniscono servizi, e computer detti CLIENT, richiedono

Dettagli

1. I database. La schermata di avvio di Access

1. I database. La schermata di avvio di Access 7 Microsoft Access 1. I database Con il termine database (o base di dati) si intende una raccolta organizzata di dati, strutturati in maniera tale che, effettuandovi operazioni di vario tipo (inserimento

Dettagli

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP

MIB PER IL CONTROLLO DELLO STATO DI UN SERVER FTP Università degli Studi di Pisa Facoltà di Scienze Matematiche,Fisiche e Naturali Corso di Laurea in Informatica Michela Chiucini MIB PER IL CONTROLLO DELLO STATO DI UN SERVER

Dettagli

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti

Cosa è Tower. Sistema di autenticazione per il controllo degli accessi a reti wireless. struttura scalabile. permette la nomadicità degli utenti Cosa è Tower Sistema di autenticazione per il controllo degli accessi a reti wireless struttura scalabile consente la federazione tra reti di enti/operatori t i differenti permette la nomadicità degli

Dettagli

Parte II: Reti di calcolatori Lezione 9

Parte II: Reti di calcolatori Lezione 9 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 9 Martedì 1-04-2014 1 Applicazioni P2P

Dettagli

PORTALE PER GESTIONE REPERIBILITA Manuale e guida O.M. e ufficio distribuzione

PORTALE PER GESTIONE REPERIBILITA Manuale e guida O.M. e ufficio distribuzione PORTALE PER GESTIONE REPERIBILITA Manuale e guida O.M. e ufficio distribuzione Portale Numero Verde Vivisol pag. 1 di 31 INDICE 1. INTRODUZIONE...3 2. SCHERMATA PRINCIPALE...4 3. REPERIBILITÀ...5 4. RICERCA

Dettagli

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti

Servizi Remoti. Servizi Remoti. TeamPortal Servizi Remoti 20120300 INDICE 1. Introduzione... 3 2. Consultazione... 4 2.1 Consultazione Server Fidati... 4 2.2 Consultazione Servizi Client... 5 2.3 Consultazione Stato richieste... 5 3. Amministrazione... 6 3.1

Dettagli

Protocolli e architetture per WIS

Protocolli e architetture per WIS Protocolli e architetture per WIS Web Information Systems (WIS) Un Web Information System (WIS) usa le tecnologie Web per permettere la fruizione di informazioni e servizi Le architetture moderne dei WIS

Dettagli

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del manuale utente presente nell ambiente del Servizio Telematico Doganale.

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del manuale utente presente nell ambiente del Servizio Telematico Doganale. GUIDA RAPIDA versione 11 marzo 2008 SEERVIIZZIIO TTEELLEEMATTIICO M DOGANALLEE G Avvertenze: Questa guida vuole costituire un piccolo aiuto per gli operatori che hanno già presentato richiesta di adesione

Dettagli

Pagamento Ticket SSN. Resiban spa Strada degli Schiocchi 42 41124 Modena Tel. +39 059 344535 Web: www.resiban.it E-mail: info@resiban.

Pagamento Ticket SSN. Resiban spa Strada degli Schiocchi 42 41124 Modena Tel. +39 059 344535 Web: www.resiban.it E-mail: info@resiban. Il progetto prevede l implementazione completa di un sito Web per consentire a un cliente di una banca, in possesso di un account Home Banking, di poter effettuare il pagamento delle prestazioni SSN direttamente

Dettagli

Manuale gestione Porta di Dominio OpenSPCoop 1.1

Manuale gestione Porta di Dominio OpenSPCoop 1.1 i Manuale gestione Porta di Dominio ii Copyright 2005-2008 Link.it srl Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso

Dettagli

2 Configurazione lato Router

2 Configurazione lato Router (Virtual Private Network), è un collegamento a livello 3 (Network) stabilito ed effettuato tra due o più reti LAN attraverso una rete pubblica che non deve essere necessariamente Internet. La particolarità

Dettagli

Appunti di Sistemi Distribuiti

Appunti di Sistemi Distribuiti Appunti di Sistemi Distribuiti Matteo Gianello 27 settembre 2013 1 Indice 1 Introduzione 3 1.1 Definizione di sistema distribuito........................... 3 1.2 Obiettivi.........................................

Dettagli

Strumenti di identificazione in rete

Strumenti di identificazione in rete Pordenone, 14 novembre 2014 Strumenti di identificazione in rete SABRINA CHIBBARO sabrina@chibbaro.net PII - "Personally Identifiable Information" Nel mondo digitale, l identità è un informazione univoca

Dettagli

13 - Gestione della Memoria nella Programmazione Orientata agli Oggetti

13 - Gestione della Memoria nella Programmazione Orientata agli Oggetti 13 - Gestione della Memoria nella Programmazione Orientata agli Oggetti Programmazione e analisi di dati Modulo A: Programmazione in Java Paolo Milazzo Dipartimento di Informatica, Università di Pisa http://www.di.unipi.it/

Dettagli

19. LA PROGRAMMAZIONE LATO SERVER

19. LA PROGRAMMAZIONE LATO SERVER 19. LA PROGRAMMAZIONE LATO SERVER Introduciamo uno pseudocodice lato server che chiameremo Pserv che utilizzeremo come al solito per introdurre le problematiche da affrontare, indipendentemente dagli specifici

Dettagli

B.P.S. Business Process Server ALLEGATO C10

B.P.S. Business Process Server ALLEGATO C10 B.P.S. Business Process Server ALLEGATO C10 REGIONE BASILICATA DIPARTIMENTO PRESIDENZA DELLA GIUNTA REGIONALE UFFICIO SISTEMA INFORMATIVO REGIONALE E STATISTICA Via V. Verrastro, n. 4 85100 Potenza tel

Dettagli

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL

Sistemi Operativi STRUTTURA DEI SISTEMI OPERATIVI 3.1. Sistemi Operativi. D. Talia - UNICAL STRUTTURA DEI SISTEMI OPERATIVI 3.1 Struttura dei Componenti Servizi di un sistema operativo System Call Programmi di sistema Struttura del sistema operativo Macchine virtuali Progettazione e Realizzazione

Dettagli

Il Sistema Operativo. C. Marrocco. Università degli Studi di Cassino

Il Sistema Operativo. C. Marrocco. Università degli Studi di Cassino Il Sistema Operativo Il Sistema Operativo è uno strato software che: opera direttamente sull hardware; isola dai dettagli dell architettura hardware; fornisce un insieme di funzionalità di alto livello.

Dettagli

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati

Il File System. È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Il File System È la componente del S.O. che si occupa della gestione della memoria di massa e dell organizzazione logica dei dati Le operazioni supportate da un file system sono: eliminazione di dati modifica

Dettagli

Introduzione al Cloud Computing

Introduzione al Cloud Computing Risparmiare ed innovare attraverso le nuove soluzioni ICT e Cloud Introduzione al Cloud Computing Leopoldo Onorato Onorato Informatica Srl Mantova, 15/05/2014 1 Sommario degli argomenti Definizione di

Dettagli

Alessandra Raffaetà. Basi di Dati

Alessandra Raffaetà. Basi di Dati Lezione 2 S.I.T. PER LA VALUTAZIONE E GESTIONE DEL TERRITORIO Corso di Laurea Magistrale in Scienze Ambientali Alessandra Raffaetà Dipartimento di Informatica Università Ca Foscari Venezia Basi di Dati

Dettagli

DEMATERIALIZZAZIONE, UNA FONTE NASCOSTA DI VALORE REGOLE E TECNICHE DI CONSERVAZIONE. Lucia Picardi. Responsabile Marketing Servizi Digitali

DEMATERIALIZZAZIONE, UNA FONTE NASCOSTA DI VALORE REGOLE E TECNICHE DI CONSERVAZIONE. Lucia Picardi. Responsabile Marketing Servizi Digitali DEMATERIALIZZAZIONE, UNA FONTE NASCOSTA DI VALORE REGOLE E TECNICHE DI CONSERVAZIONE Lucia Picardi Responsabile Marketing Servizi Digitali Chi siamo 2 Poste Italiane: da un insieme di asset/infrastrutture

Dettagli

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi

PRIVACY E SICUREZZA http://www.moviwork.com http://www.moviwork.com de.co dsign&communication di Celestina Sgroi PRIVACY E SICUREZZA LA PRIVACY DI QUESTO SITO In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Tale politica

Dettagli

Corso di Informatica

Corso di Informatica Corso di Informatica CL3 - Biotecnologie Orientarsi nel Web Prof. Mauro Giacomini Dott. Josiane Tcheuko Informatica - 2006-2007 1 Obiettivi Internet e WWW Usare ed impostare il browser Navigare in internet

Dettagli

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione Sommario Il Problema della Sicurezza nelle Grid Sicurezza nelle Grid Grid Security Infrastructure Autorizzazione 2 Page 1 Il Problema della Sicurezza nelle Grid (1) Le risorse sono presenti domini amministrativi

Dettagli

Manuale di Desktop Sharing. Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci

Manuale di Desktop Sharing. Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci Brad Hards Traduzione: Luciano Montanaro Traduzione: Daniele Micci 2 Indice 1 Introduzione 5 2 Il protocollo Remote Frame Buffer 6 3 Uso di Desktop Sharing 7 3.1 Gestione degli inviti di Desktop Sharing.........................

Dettagli

L Informatica al Vostro Servizio

L Informatica al Vostro Servizio L Informatica al Vostro Servizio Faticoni S.p.A. è Certificata UNI ENI ISO 9001:2008 N. CERT-02228-97-AQ-MILSINCERT per Progettazione, Realizzazione, Manutenzione di soluzioni Hardware e Software Soluzioni

Dettagli

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole

Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Cloud Computing: alcuni punti fermi per non smarrirsi fra le nuvole Stefano Mainetti stefano.mainetti@polimi.it L ICT come Commodity L emergere del Cloud Computing e i nuovi modelli di delivery Trend n.

Dettagli

2. Strutture dei Sistemi Operativi

2. Strutture dei Sistemi Operativi 1 2. Strutture dei Sistemi Operativi Quali servizi un generico sistema operativo mette a disposizione degli utenti, e dei programmi che gli utenti vogliono eseguire? interfaccia col sistema operativo stesso

Dettagli

Petra VPN 3.1. Guida Utente

Petra VPN 3.1. Guida Utente Petra VPN 3.1 Guida Utente Petra VPN 3.1: Guida Utente Copyright 1996, 2004 Link s.r.l. (http://www.link.it) Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti

Dettagli

Architettura del sistema

Architettura del sistema 18/06/15 I N D I C E 1 INTRODUZIONE... 2 2 DEFINIZIONE DEGLI OBIETTIVI... 2 3 PROGETTO DI MASSIMA... 3 3.1 REQUISITI DELLA SOLUZIONE... 4 4 LA SOLUZIONE... 4 4.1 IL NUCLEO CENTRALE... 5 4.1.1 La gestione

Dettagli

'HILQL]LRQHGLXQ0,%6103SHULOFRQWUROORGLVRIWZDUH DSSOLFDWLYR

'HILQL]LRQHGLXQ0,%6103SHULOFRQWUROORGLVRIWZDUH DSSOLFDWLYR 8QLYHUVLWjGHJOL6WXGLGL3LVD )DFROWjGL6FLHQ]H0DWHPDWLFKH)LVLFKHH1DWXUDOL &RUVRGLODXUHDLQ,QIRUPDWLFD 6LVWHPLGL(ODERUD]LRQHGHOO LQIRUPD]LRQH *HVWLRQHGLUHWL SURI/XFD'HUL 'HILQL]LRQHGLXQ0,%6103SHULOFRQWUROORGLVRIWZDUH

Dettagli

Sistemi centralizzati e distribuiti

Sistemi centralizzati e distribuiti Sistemi centralizzati e distribuiti In relazione al luogo dove è posta fisicamente la base di dati I sistemi informativi, sulla base del luogo dove il DB è realmente dislocato, si possono suddividere in:

Dettagli

Corso di Access. Prerequisiti. Modulo L2A (Access) 1.1 Concetti di base. Utilizzo elementare del computer Concetti fondamentali di basi di dati

Corso di Access. Prerequisiti. Modulo L2A (Access) 1.1 Concetti di base. Utilizzo elementare del computer Concetti fondamentali di basi di dati Corso di Access Modulo L2A (Access) 1.1 Concetti di base 1 Prerequisiti Utilizzo elementare del computer Concetti fondamentali di basi di dati 2 1 Introduzione Un ambiente DBMS è un applicazione che consente

Dettagli

12.5 UDP (User Datagram Protocol)

12.5 UDP (User Datagram Protocol) CAPITOLO 12. SUITE DI PROTOCOLLI TCP/IP 88 12.5 UDP (User Datagram Protocol) L UDP (User Datagram Protocol) é uno dei due protocolli del livello di trasporto. Come l IP, é un protocollo inaffidabile, che

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

Metodi di verifica degli utenti in ELMS 1.1

Metodi di verifica degli utenti in ELMS 1.1 Metodi di verifica degli utenti in ELMS 1.1 2012-12-21 Kivuto Solutions Inc. [RISERVATO] SOMMARIO PANORAMICA...1 METODI DI VERIFICA...2 Verifica utente integrata (IUV, Integrated User Verification)...2

Dettagli

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini

Mausoleo COMUNE DI NUORO PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE. Arch.Marco Cerina Ing.Enrico Dini COMUNE DI NUORO D O C U M E N T O D I S P E C I F I C A P E R I L P R O D O T T O Mausoleo PROGETTO PER LA REALIZZAZIONE DEL CIMITERO MULTIMEDIALE Arch.Marco Cerina Ing.Enrico Dini Descrizione introduttiva

Dettagli

Gestione della memoria centrale

Gestione della memoria centrale Gestione della memoria centrale Un programma per essere eseguito deve risiedere in memoria principale e lo stesso vale per i dati su cui esso opera In un sistema multitasking molti processi vengono eseguiti

Dettagli

Antonio Brunetti, Mathias Galizia, Fabio Campanella

Antonio Brunetti, Mathias Galizia, Fabio Campanella Atti Progetto AQUATER, Bari, 31 ottobre 2007, 9-14 LA BANCA DATI DEI PROGETTI DI RICERCA E L ARCHIVIO DOCUMENTALE DEL CRA Antonio Brunetti, Mathias Galizia, Fabio Campanella Consiglio per la Ricerca e

Dettagli

BcsWeb 3.0. Manuale utente. Rev. 3 (luglio 2012)

BcsWeb 3.0. Manuale utente. Rev. 3 (luglio 2012) BcsWeb 3.0 Manuale utente Rev. 3 (luglio 2012) Alceo Servizi di telematica Santa Croce, 917 30135 Venezia Tel. +39 0415246480 Fax +39 0415246491 www.alceo.com Sommario 1. INTRODUZIONE 3 Convenzioni utilizzate

Dettagli

Introduzione alla Progettazione per Componenti

Introduzione alla Progettazione per Componenti Introduzione alla Progettazione per Componenti Alessandro Martinelli 6 ottobre 2014 Obiettivo del Corso Il Progetto Software Reale Il Componente Software La Programmazione Ad Oggetti Fondamenti di Informatica

Dettagli

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 ESPLETAMENTO DI ATTIVITÀ PER L IMPLEMENTAZIONE DELLE COMPONENTI PREVISTE NELLA FASE 3 DEL PROGETTO DI E-GOVERNMENT INTEROPERABILITÀ DEI SISTEMI

Dettagli

Guida alla Prima Configurazione dei Servizi

Guida alla Prima Configurazione dei Servizi Guida alla Prima Configurazione dei Servizi Indice Indice Guida all attivazione del servizio centralino 3 A. Applicazione Centralino su PC 5 B. Gruppo Operatori 9 Gestione all attivazione dei servizi internet

Dettagli

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione

Comunicazioni sicure su Internet: https e SSL. Fisica dell Informazione Comunicazioni sicure su Internet: https e SSL Fisica dell Informazione Il servizio World Wide Web (WWW) Come funziona nel dettaglio il Web? tre insiemi di regole: Uniform Resource Locator (URL) Hyper Text

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo - Integrazione con l'anagrafica Unica di Ateneo Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica

Dettagli

Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti

<Insert Picture Here> Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Il contributo dei sistemi di Identity nella mitigazione del rischio legato all esternalizzazione di servizi Stefano Vaglietti Agenda Presentazioni Identity & Access Management Il

Dettagli