Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth

Dimensione: px
Iniziare la visualizzazioe della pagina:

Download "Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth"

Transcript

1 Facoltà di Scienze Matematiche Fisiche e Naturali Corso di Laurea in Informatica Tesi di Laurea in Reti di Calcolatori Integrazione di CampusNet nell infrastruttura di autenticazione ed autorizzazione della rete GARR (IDEM) basata su Shibboleth Candidato: Spartaco Namia Relatore: Chiar.mo Prof. Roberto Alfieri Correlatori: Prof. Claudio Rivetti Anno Accademico 2008/2009

2

3 Indice OBIETTIVO DELLA TESI...6 TECNOLOGIA ADOTTATA...7 ASPETTI SVILUPPATI...8 Gestione federata delle identita' e degli accessi IL PROBLEMA DEGLI ACCESSI ALLE RISORSE SISTEMA FEDERATO DEGLI ACCESSI AAI IDENTITY MANAGEMENT IDEM isolato IDEM federato IDEM cooperativo IDEM centralizzato FEDERAZIONE SINGLE SIGN ON Il Web-SSO...26 Shibboleth UNO SGUARDO GENERALE AL SOFTWARE SHIBBOLETH ALCUNE CARATTERISTICHE IL PROTOCOLLO SAML Caratteristiche Metadati STRUTTURA DI SHIBBOLETH Shibboleth Identity Provider Autenticazione e Sessioni Shibboleth Service Provider ESEMPIO DI FUNZIONAMENTO DI SHIBBOLETH CONFRONTO TRA SHIBBOLETH 1.3 E Cambiamenti in Shibboleth IdP Cambiamenti in Shibboleth SP...38 La federazione IDEM del GARR LA FEDERAZIONE IDEM Obiettivi Servizi e contenuti accessibili PARTECIPAZIONE ALLA FEDERAZIONE Partecipanti Requisiti di adesione Impegni dei Partecipanti...44

4 3.3 SERVIZI DELLA FEDERAZIONE I metadati della Federazione Discovery Service L UNIVERSITÀ DI PARMA È CON L IDEM Situazione di partenza Shibboleth è all opera CampusNet CARATTERISTICHE TECNOLOGIA Istanziare un corso AUTENTICAZIONE Login studenti Login docenti I MODULI DI CAMPUSNET...57 Progetto realizzato OBIETTIVI PREPOSTI PROGRESSI CONSEGUITI LE SCELTE EFFETTUATE a modifica a testcnet: dominio di autenticazione unico a modifica a testcnet: campo userid nel database docenti Cifratura di signin CONFIGURAZIONE DI SHIBBOLETH SP E IDP Lo Shibboleth Service Provider del servizio CampusNet Comunicazione con l IdP Attributi richiesti all IdP Protezione della sessione federata Lo Shibboleth Identity Provider dell Ateneo...73 Configurazione di Shibboleth IL FILE SHIBBOLETH2.XML Struttura Configurazione Punto 1: l attributo entityid Punto 2: l attributo homeurl Punto 3: il MetadataProvider Punto 4: SessionInitiator Punto 5: ApplicationOverride PRINCIPALI FILE DI CONFIGURAZIONE DI SHIBBOLETH IDP PRINCIPALI FILE DI CONFIGURAZIONE DI SHIBBOLETH SP...84 Le fasi di realizzazione del progetto PREPARAZIONE DELL AMBIENTE LINUX INSTALLAZIONE DI SHIBBOLETH SP INSTALLAZIONE DI TESTCNET CONFIGURAZIONE DI TESTCNET Protezione mediante Shibboleth SP...92

5 7.4.2 Configurazione di Apache...94 Conclusioni...96 SCENARI FUTURI...97 Bibliografia...98

6 Introduzione Obiettivo della tesi Questa tesi analizza gli aspetti affrontati per la progettazione di un sistema che consenta di integrare il servizio CampusNet presente in Ateneo, all interno della federazione IDEM del GARR. La Federazione IDEM nasce all'interno della comunità GARR a seguito del Progetto pilota IDEM per la dimostrazione della fattibilità e della funzionalità di una Federazione Italiana delle Infrastrutture di Autenticazione e Autorizzazione (AAI); GARR ha il ruolo di coordinatore, fornisce l infrastruttura centrale e i servizi e sottoscrive i Contratti d Adesione. Una AAI è un architettura che serve a semplificare i processi di gestione e di accesso alle risorse che i diversi partecipanti vogliono condividere fra loro, anche se questi fanno parte di organizzazioni diverse. IDEM è una AAI federata, poiché costituisce una federazione, ovvero un insieme di Organizzazioni che adottano accordi e politiche comuni per stabilire fra loro relazioni di fiducia; I membri della federazione decidono di mettere a disposizione di tutta la comunità le loro risorse di rete, allo scopo di condividerle con tutti i partecipanti.

7 Introduzione 7 L Università di Parma è un membro della federazione IDEM, e come tale, può decidere di condividere i suoi servizi con gli altri membri della federazione. In particolare, il sistema che è stato realizzato è predisposto per consentire la condivisione di CampusNet all interno di tutta la rete IDEM. Tecnologia adottata IDEM ha accettato determinati standard all interno della Federazione, per garantire lo scambio sicuro d informazioni, la protezione dei servizi stessi e l instaurazione di rapporti di fiducia (circle of trust) all'interno della comunità dei partecipanti. Shibboleth è lo standard tecnologico adottato da IDEM per la realizzazione del sistema federato, e perciò costituisce uno degli strumenti fondamentali impiegati nel lavoro di tesi. Questo software implementa implicitamente il Single Sign On (SSO), un sistema di autenticazione e condivisione di risorse tra una o più organizzazioni, che permette agli utenti di accedere alle molteplici risorse condivise dalle organizzazioni, eseguendo un unica fase di login, che avviene sull Organizzazione di Appartenenza dell utente. Shibboleth è costituito da due parti principali: il Service Provider (SP) e l Identity Provider (IdP). Il SP serve a condividere e proteggere un particolare servizio che si vuole mettere in comune, l IdP gestisce le informazioni riguardanti gli utenti che vogliono accedere a questi servizi, rilasciandole ai SP che ne fanno richiesta. Questo modo di operare è tipico in un infrastruttura che implementa il Single Sign On: l amministrazione degli utenti è concentrata tutta in un unico punto, l IdP, e i SP non devono far altro che richiedere all IdP le informazioni sugli utenti, in base alle quali il SP deciderà se autorizzare o meno l utente ad utilizzare il servizio.

8 Introduzione 8 Aspetti sviluppati Campusnet è un servizio informatico attivo in Ateneo per la gestione sul web dei Corsi di Laurea, che fino a questo momento, non offriva all utente la possibilità di interagire con altri servizi mediante la politica dell accesso unico. Dopo aver valutato i vantaggi conseguibili dal SSO, e poiché Shibboleth costituiva uno strumento già adottato nell Università, con il quale è possibile implementare tale scelta, si è deciso di integrare CampusNet in un architettura di SSO tra i vari servizi dell Università, utilizzando appunto il software Shibboleth. Nell Ateneo è già attivo un servizio di Shibboleth IdP, che si appoggia sul CAS dell Università per autenticare via web gli utenti dei servizi universitari protetti con Shibboleth. In questo progetto si è voluto proteggere il servizio Campusnet utilizzando Shibboleth SP, consentendo all IdP presente in Ateneo di identificare gli utenti del servizio, per conseguire un accesso all area protetta di CampusNet e agli altri servizi dell Ateneo Shibbolettizzati, realizzando, di fatto, il SSO. Si sono così ottenuti i vantaggi dell accesso unico a molteplici risorse, sfruttando una tecnologia adoperata da IDEM per la condivisione dei servizi all interno della Federazione. Il sistema inoltre può essere evoluto, rendendolo accessibile non solo agli utenti dell Università, ma anche a quelli della Federazione, grazie a trasformazioni mirate da applicare sul sistema iniziale. Infatti, quando si avrà l'intenzione di rendere CampusNet accessibile da tutta la Federazione, si dovranno in primo luogo stabilire degli accordi con gli IdP registrati a IDEM, e in secondo luogo, compiere adeguate modifiche per ingrandire il sistema, affinché CampusNet sia in grado di comunicare non più con i soli utenti registrati nell IdP dell Ateneo, ma anche con quelli degli altri IdP con cui si sono stabiliti degli accordi.

9 Introduzione 9 Questa tesi si concentra sugli aspetti teorici e pratici affrontati durante la realizzazione del sistema, valutando i vantaggi e le scelte compiute nel progetto. Si è data importanza alla configurazione del componente Shibboleth SP per la protezione del servizio Campusnet, alla sua comunicazione con il servizio di IdP già attivo nella rete universitaria e allo scambio di informazioni tra i due servizi, per l autorizzazione ed il riconoscimento dell utente. La prima parte della tesi introduce i concetti teorici basilari cui si è fatto riferimento, e servono per la comprensione del lavoro svolto, descritto nei capitoli finali. Nel primo capitolo sono esposti i concetti di AAI, di Gestione delle identità, di Federazione e di Single Sign On, tutti fra loro strettamente correlati, ei vantaggi che scaturiscono dalla loro assunzione. Il secondo capitolo illustra il software Shibboleth. Il terzo capitolo illustra la federazione IDEM e i rapporti intrapresi con l Università di Parma. Il quarto capitolo descrive il servizio CampusNet dell Ateneo. Il quinto capitolo illustra gli obiettivi del progetto e le scelte attuate, descrivendo i problemi che si sono riscontrati nella realizzazione del sistema e le metodologie adottate per la loro soluzione. Gli ultimi due capitoli (6 e 7) descrivono tecnicamente la configurazione del componente Shibboleth e le singole fasi di realizzazione del progetto.

10 Capitolo 1 Gestione federata delle identita' e degli accessi 1.1 Il problema degli accessi alle risorse Nella realizzazione di sistemi informativi distribuiti sicuri sorge spesso l esigenza di verificare che il proprio interlocutore sia effettivamente chi dichiara di essere. Questo tipicamente avviene perché dall'autenticazione discende, qualche volta implicitamente, l'autorizzazione a utilizzare un servizio richiesto o a svolgere una determinata azione. Per proteggere una risorsa si deve passare attraverso due fasi: Autenticazione: è il processo che verifica l identità, ovvero risponde alla l utente è chi dice di essere? domanda:

11 Gestione federata delle identita' e degli accessi 11 Autorizzazione: è il processo che consente l'accesso alle risorse solamente a coloro che hanno i diritti di usarle. I metodi tramite i quali si può autenticare una persona, sono divisi in tre classi, in base a ciò che: è: per esempio impronte digitali, impronta vocale, calligrafia o altri identificatori biometrici; ha: tesserino identificativo, certificato; conosce: password, parola chiave o numero d identificazione personale (PIN). Per l'autenticazione in rete è normalmente usata la terza classe, che non richiede né l'utilizzo di hardware speciali né la presenza dell'utente. Per ragioni di sicurezza, la password scelta dall'utente, o a lui assegnata, deve soddisfare certi requisiti ed essere: non ovvia e di lunghezza minima data; non comunicata in chiaro; cambiata con una certa frequenza. L autenticazione tramite password è oggi il sistema più utilizzato per l accesso ai vari servizi della rete. Questo modo di procedere causa però alcuni disagi, sia agli utenti che usufruiscono del servizio stesso e sia a chi li fornisce. Infatti, gli utenti si trovano spesso a dover gestire molti codici di accesso; Ad esempio uno per accedere alle riviste elettroniche di un certo editore, un altro per accedere alla posta elettronica, e un altro ancora per accedere ai corsi online.

12 Gestione federata delle identita' e degli accessi 12 Considerando che la password deve essere cambiata spesso, ne discende che per l'utente può diventare gravoso ricordare una coppia username/password. Ancora di più se poi deve ricordare i loro cambiamenti nel tempo per ciascun servizio che usa. Anche i sistemi che forniscono un'identità singola per accedere alle risorse locali, richiedono comunque un login distinto nel caso che si voglia accedere a risorse remote. Perciò, recentemente si tende a sviluppare dei sistemi di autenticazione che possano essere riutilizzabili per varie funzioni, o servizi. In alcuni casi, tali sistemi si occupano di gestire un'unica coppia username/password associata a un utente, che deve comunque fornirla per ciascun servizio che intende utilizzare. In altri casi, almeno per quanto riguarda servizi diversi accessibili all'interno di un'unica università/azienda, esistono dei veri e propri sistemi di Single Sign On, in cui un utente si autentica una volta soltanto e accede poi liberamente a tutti i servizi per cui possiede l'autorizzazione. Di tali sistemi ne esistono ormai vari e la scelta non è sempre facile e spesso dipende da molte variabili. 1.2 Sistema federato degli accessi Il sistema federato di controllo degli accessi alle risorse consiste nel fatto che gli utenti necessitano delle sole credenziali istituzionali per l'accesso a tutte le risorse disponibili, sia interne che esterne. L'insicurezza causata dall elevato numero di credenziali viene così ridotta o eliminata.

13 Gestione federata delle identita' e degli accessi 13 La comodità dell'autenticazione con identità unica (SSO) è apprezzata, e diventa preziosa per l'utente, che è portato a conservarla con cura poiché è la chiave di accesso alle proprie risorse personali come la posta elettronica. Il carico di lavoro per il personale addetto all'emissione e alla gestione di codici di accesso si riduce, insieme al numero di utenti frustrati che rinunciano ad accedere alle risorse. Il codice di accesso è gestito dall'istituzione di appartenenza dell'utente o Identity Provider (IdP), anziché da una terza parte sconosciuta, e può essere protetto in modo opportuno e rimosso quando l'utente non ha più diritto di accesso alle risorse. Aumenta quindi la fiducia che i dati personali siano al sicuro, e non vengano utilizzati abusivamente AAI Definiamo adesso il concetto di AAI, che cerca di risolvere i problemi appena descritti. Una AAI (Infrastruttura di Autenticazione e Autorizzazione) è un architettura creata con lo scopo di semplificare l accesso ai vari servizi dislocati tra organizzazioni diverse. Le entità coinvolte condividono le stesse politiche per lo scambio di informazioni sugli utenti e le risorse disponibili, formando una federazione. Una AAI gestisce i processi di autenticazione e autorizzazione tra un utente, l'organizzazione a cui appartiene e la risorsa a cui vuole accedere. Senza una AAI, gli utenti devono fornire una coppia username/password, le cosiddette credenziali, per ciascuna risorsa.

14 Gestione federata delle identita' e degli accessi 14 (Situazione senza una AAI) Gli svantaggi più comuni derivanti da una situazione di questo tipo sono i seguenti: L utente ha molte credenziali per accedere a diversi servizi; I fornitori di servizi devono mantenere informazioni circa gli utenti che accedono al servizio, sia interni sia esterni all organizzazione stessa. La gestione di tali informazioni richiede un lavoro oneroso, poiché i dati stessi possono risultare incoerenti e dunque devono essere costantemente aggiornati (ad es. cancellando quelli degli utenti inattivi); L identità e i dati personali degli utenti sono noti al di fuori della propria organizzazione, influendo sulla privacy degli utenti stessi e aumentando il rischio potenziale di furto e scambio non autorizzato d'identità; Viene sprecato tempo nella gestione degli account anziché nella gestione delle risorse; L aggiunta di nuove risorse o nuovi utenti può richiedere un ulteriore lavoro significativo; Non c è collaborazione perché la condivisione risulta difficile o insicura;

15 Gestione federata delle identita' e degli accessi 15 Il risultato è una gestione complessa ed insicura del sistema, poiché si ha una limitata possibilità di comunicazione tra le varie organizzazioni e di condivisione dei servizi interni che essi offrono. Una AAI semplifica il processo introducendo il concetto di gestione federata dell identità, permettendo all utente di utilizzare un unico set di credenziali, tipicamente fornite dal proprio ente, per l accesso a varie risorse disponibili su diverse istituzioni (vedi figura AAI 2). (Situazione con una AAI) Una AAI offre dunque un modo particolare di gestire le autorizzazioni degli utenti per l accesso a risorse e servizi condivisi dai vari fornitori.

16 Gestione federata delle identita' e degli accessi 16 Alla base di questo procedimento ci sono accordi e politiche instaurate tra i vari partecipanti che decidono di mettere in comune i loro servizi per estenderli ad altri utenti esterni. I Vantaggi per l Utente: Un solo login dà accesso a molte risorse; Credenziali uniche dell utente, poiché si abbandona la necessità di memorizzare password diverse per ciascun servizio; Nessuna differenza di accesso dal luogo istituzionale o da una qualsiasi altra postazione; Eliminazione delle incoerenze relative ai dati dell utente, poiché l identità e i dati personali dell utente sono conservati solo dalla propria Organizzazione di Appartenenza; Maggiore privacy: dati personali rilasciati solo se necessario. Vantaggi per l Organizzazione di Appartenenza dell'utente: Maggiore flessibilità nel controllo degli accessi, con la possibilità di creare categorie distinte di utenti a livelli differenziati a seconda della tipologia di servizi; Policy e procedure si applicano e si modificano in un solo punto; Maggiore aderenza ai requisiti di legge sulla gestione, conservazione e protezione dei dati personali.

17 Gestione federata delle identita' e degli accessi 17 Vantaggi per i Fornitori di Servizi: Evitano di mantenere informazioni riguardo alle identità degli utenti che richiedono il servizio, riducendo il carico amministrativo per la gestione di identità e credenziali; Maggiore flessibilità di autorizzazione, basata su attributi/ruoli; Vantaggi per tutti: Informazioni aggiornate ed affidabili; Miglioramento della sicurezza dei dati e dei sistemi. 1.3 Identity Management L approccio alla gestione delle identità appena descritto è solo uno fra i tanti modi possibili di gestire le autorizzazioni e l identità di un utente, e tale approccio è conosciuto anche con il nome di Identity Management federato. In generale, con il termine IDEM (IDEntity Management), s intende un sistema che consente la gestione delle identità digitali di una persona fisica, dal processo di creazione e organizzazione, fino all'eliminazione della stessa. Bisogna fare attenzione a non confondere il processo di gestione delle identità IDEM (IDEntity Management), con la federazione IDEM del GARR, il cui acronimo è lo stesso.

18 Gestione federata delle identita' e degli accessi 18 Nel corso degli anni si sono affermati vari tipi di approcci al concetto di Identity Management. Tuttavia, alcuni si sono diffusi maggiormente rispetto ad altri, e oggi sono adottati come modelli base per gestire l identità digitale di una persona. Tra quelli principali abbiamo l IDEM isolato, l IDEM centralizzato, l IDEM cooperativo e l IDEM federato. Ognuno possiede delle peculiarità diverse e può essere utile in particolari situazioni IDEM isolato Corrisponde al modello di IDEM attualmente più diffuso. Esso prevede che ogni utente, per usufruire dei servizi offerti, debba possedere una chiave di accesso, cioè le credenziali, con le quali viene autenticato e autorizzato. I fornitori di questi servizi, detti anche Service Providers (SP), mantengono un database degli utenti registrati e autorizzano l accesso alle loro risorse solo agli utenti che possiedono un account per quel servizio. In caso contrario, l utente non è autorizzato e può soltanto richiedere un account, mediante una fase di registrazione, nella quale egli rilascia alcuni dati personali, e alla fine di questa, otterrà il nuovo account. Con tale approccio ogni utente ha tante credenziali per ogni servizio cui è registrato. Non c è garanzia sulla riservatezza e sicurezza dei dati personali, poiché questi possono essere utilizzati abusivamente. Inoltre, anche chi gestisce questi dati, si trova in difficoltà, perché deve mantenerli costantemente aggiornati. Riemergono quindi tutti i problemi descritti nei paragrafi precedenti.

19 Gestione federata delle identita' e degli accessi IDEM federato Si può definire come l'insieme di tecnologie, standard ed accordi che permettono a un insieme di Service Providers (SP) di accettare come validi gli identificatori utente gestiti da un'altro insieme di providers, detti Identity Provider (IdP). Tale comunità di providers (SP e IdP) viene tipicamente denominata federazione. Il ruolo principale della federazione è quello di gestire le relazioni tra gli Identity Provider e i Service Provider, i quali risultano "federati" tra loro. Un tale approccio implementa implicitamente il Single Sign On (SSO), ovvero la possibilità per un utente di autenticarsi presso uno qualsiasi dei providers della federazione e, successivamente, di accedere ai servizi di tutti gli altri. Questo approccio alla gestione delle identità è stato sviluppato per rispondere ad un bisogno di gestione decentralizzata degli utenti: ogni gestore federato mantiene il controllo della propria politica di sicurezza.

20 Gestione federata delle identita' e degli accessi 20 I vantaggi sono evidenti: Gli utenti si registrano in un unico punto (l IdP) e accedono facilmente a molte risorse che la federazione mette loro a disposizione; C è un controllo fine riguardo al rilascio di informazioni che riguardano l utente; L accesso è basato su standard e prodotti open source; Nuove risorse e nuovi utenti possono essere aggiunti velocemente; Il diritto di accesso è regolato dagli attributi e non dalle credenziali o dall IP; Efficienza e qualità: federare migliora la gestione degli utenti ed attenua ridondanza di credenziali IDEM cooperativo L'approccio cooperativo parte dal principio che ciascun utente dipenda, per ciascun servizio, da uno solo dei gestori cooperanti. In questo modo se si cerca, ad esempio, di accedere alla rete locale, l'autenticazione viene effettuata dal gestore che ha in carico l'utente per l'accesso alla rete. Come per l'approccio federativo, in questa maniera ciascun gestore gestisce in modo indipendente la propria politica di sicurezza. L'approccio cooperativo risponde ai bisogni di strutture istituzionali nelle quali gli utenti sono dipendenti da un entità, come ad esempio in università, laboratori di ricerca, amministrazioni, etc.

21 Gestione federata delle identita' e degli accessi IDEM centralizzato Il principio è di disporre di un database globale e centralizzato di tutti gli utenti, e di centralizzare allo stesso modo la politica della sicurezza. Questo modello di IDEM è costituito essenzialmente da un unico IdP che si occupa di identificare gli utenti per conto di una molteplicità di SP. Le informazioni costituenti l'identità digitale di un utente possono anche in questo caso essere distribuite tra i providers, ma l'identificatore ad essa associato è unico e gestito dall'idp. Come il precedente, anche questo modello permette il SSO. Questo approccio è destinato principalmente ai servizi dipendenti tutti dalla stessa entità, per esempio all'interno di una azienda. 1.4 Federazione Una Federazione è un accordo tra organizzazioni, che decidono di fidarsi reciprocamente delle informazioni che si scambiano (condividendo risorse, servizi o applicazioni), sulla base di regole e attraverso una infrastruttura (AAI) che è certificata e sicura. Richiede l attuazione di politiche comuni e linee di condotta, al fine di gestire le relazioni di fiducia tra i vari partecipanti. Un membro di una federazione rappresenta una qualsiasi organizzazione, (università, ente di ricerca, etc.) che ha sottoscritto il contratto con la Federazione. I membri concordano l aspetto legale, le policies e la tecnologia da adottare. Ogni federazione mette a disposizione un particolare tipo di servizio oltre a quelli di IdP e SP, ed è il servizio WAYF, che consente agli utenti di scegliere la propria Organizzazione di Appartenenza. Esiste un solo WAYF (Where Are You From) per tutta la federazione.

22 Gestione federata delle identita' e degli accessi 22 Esso è un servizio centrale, che, interpellato dai Service Provider della federazione, ha il compito di ridirigere l utente sull IdP di appartenenza (Home Organization) che contiene l identità digitale dell utente, in modo che questo si possa autenticare correttamente e usufruire poi del servizio scelto. E detto anche Discovery Service (DS). La stessa federazione svolge inoltre i seguenti compiti: - valida i nuovi enti che intendono aderire; - gestisce la lista di tutti i partecipanti; - aderisce agli standard tecnici tradizionali; - assicura una politica di controllo; - fornisce supporto e consigli.

23 Gestione federata delle identita' e degli accessi 23 Sono nate federazioni su base nazionale in oltre quindici paesi europei, tra cui Gran Bretagna, Spagna e Svizzera, oltre che negli Stati Uniti, in Canada, in Nuova Zelanda e in Australia. In Italia GARR promuove il progetto IDEM, per la realizzazione di un Infrastruttura di Autenticazione e Autorizzazione federata per l accesso ai servizi, al quale partecipano Università e Centri di Ricerca, che dà la possibilità a ricercatori, docenti e studenti di utilizzare lo stesso sistema standard di gestione degli accessi. All interno di una federazione diventa possibile la gestione federata dell'accesso alle risorse (IDEM federato), che riduce il carico di lavoro per gestire le credenziali, e facilita il controllo stesso degli accessi alle risorse. Esistono varie soluzioni tecnologiche per realizzare la gestione federata degli accessi. Esse definiscono un insieme di protocolli per lo scambio sicuro delle informazioni riguardanti le identità tra istituzioni e fornitori di servizi, e adottano un approccio conforme allo standard SAML. Shibboleth è un esempio di questa tecnologia, adottata dalla Federazione IDEM del GARR. All'interno della federazione, l'informazione su ciascun utente è detenuta soltanto dall organizzazione alla quale l utente stesso è affiliato, detta Home Organization, o organizzazione d appartenenza (IdP), che fornisce l identità digitale dell utente. Ciò significa che per ogni istituzione (es. università, biblioteche, ospedali...) esiste un singolo punto centrale di gestione delle identità. I fornitori di risorse devono fidarsi della dichiarazione dell organizzazione di appartenenza sull identità dell utente, e quest ultime devono accordarsi sulla rappresentazione di queste identità, attraverso uno schema degli attributi. Per garantire la privacy dell utente, le informazioni scambiate tra fornitore d identità e fornitore di risorsa non riguardano informazioni personali sull utente (ad es. dati d autenticazione) ma solo gli attributi, per i quali c è stato già un accordo, che servono ad assegnare il diritto o meno di accesso alla risorsa.

24 Gestione federata delle identita' e degli accessi 24 Queste informazioni dette attributi possono semplicemente consistere nella dichiarazione che un utente è un insegnante o uno studente di una particolare università o scuola. Le varie istituzioni, come scuole, università, centri di ricerca, strutture del settore pubblico e partner commerciali, possono tutte trarre vantaggio dall'approccio federato per l'accesso alle risorse. Il sistema, infatti, permette agli utenti di autenticarsi presso la propria istituzione e ciò offre opportunità di collaborazione e di gestione degli accessi. Per poter adottare il sistema federato di accesso, le istituzioni dovranno intraprendere varie attività, tra le quali: 1) Definire quali necessità si vogliono soddisfare tramite la gestione degli accessi e valutare la propria capacità di gestione delle identità attraverso una verifica istituzionale; 2) Sviluppare dei sistemi di directory (LDAP) per effettuare la gestione delle identità all'interno della istituzione; 3) Scegliere un adeguato sistema di autenticazione; 4) Implementare il sistema di gestione delle identità, l'identity Provider (IdP); 5) Aderire ad una federazione (es. federazione IDEM del GARR); 6) Predisporre corsi di formazione per il personale, manuale per gli utenti e relativo supporto.

25 Gestione federata delle identita' e degli accessi Single Sign On Nell approccio tradizionale alla gestione delle identità (l IDEM isolato), i sistemi distribuiti sono costituiti da più componenti, ciascuno con un proprio dominio di sicurezza, da cui la necessità per l utente di autenticarsi presso ogni componente con cui deve interagire. Considerazioni legate all usabilità e alla sicurezza suggeriscono di coordinare e integrare i servizi di autenticazione e la gestione degli account degli utenti attraverso un sistema di Single Sign On. Il Single Sign On (SSO, traducibile come autenticazione unica o identificazione unica) è un particolare sistema di autenticazione centralizzata, che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a tutte le risorse informatiche o applicazioni alle quali è abilitato, all interno di una rete locale (LAN) o della rete Internet. Gli obiettivi sono multipli: semplificare la gestione delle password: maggiore è il numero delle password da gestire, maggiore è la possibilità che saranno utilizzate password simili le une alle altre e facili da memorizzare, abbassando così il livello di sicurezza; semplificare la gestione degli accessi ai vari servizi; semplificare la definizione e la gestione delle politiche di sicurezza. Un sistema di SSO apporta benefici sia lato client sia server: lato client, aumenta l usabilità delle applicazioni dal punto di vista utente, il quale impiega meno tempo nelle operazioni di login e non è costretto a ricordare numerose credenziali per accedere a sistemi diversi; lato server, gli amministratori possono gestire gli account utente e i diritti di accesso (autorizzazioni) in modo centralizzato; tutto ciò consente una gestione semplificata degli account e rafforza la sicurezza del sistema.

26 Gestione federata delle identita' e degli accessi Il Web-SSO Esistono tante varianti di SSO, ognuna destinata a risolvere determinati problemi di autenticazione e autorizzazione, che derivano dalla situazione particolare e dall ambiente applicativo cui si fa riferimento (Ad esempio controllo di accesso a risorse (file, stampanti, etc.) di una intranet, o la fruizione di servizi disponibili sul web). Il Web single sign on (Web SSO) è un servizio di SSO destinato esclusivamente al controllo dell accesso alle risorse Web (raggiungibili tipicamente mediante web browser). L accesso a tali risorse avviene soltanto dopo la corretta autenticazione dell utente, il quale ha determinate possibilità di agire sulla risorsa in base alle autorizzazioni definite per quell utente.

27 Capitolo 2 Shibboleth 2.1 Uno sguardo generale al software Shibboleth Shibboleth è un progetto del gruppo Internet2, e rappresenta una soluzione open source per l accesso a risorse e servizi web, condivisi tramite credenziali di autorizzazione. Shibboleth consente ai suoi utenti di poter inviare in sicurezza informazioni fidate riguardanti la loro identità a risorse remote. Queste informazioni possono essere poi utilizzate per l autenticazione, l autorizzazione e la personalizzazione di contenuti, e per l abilitazione del Sign on su tutta un ampia sfera di servizi provenienti da differenti Providers.

28 Shibboleth 28 E un sistema federato, poiché supporta accesso sicuro a risorse distribuite tra diversi domini di sicurezza. Le informazioni sugli utenti sono inviate da un Identity Provider ad un Service Provider che prepara le informazioni per la protezione di dati sensibili e che sono utilizzate dalle applicazioni. Le cosidette federazioni, che non sono soltanto delle strutture puramente tecniche, possono spesso essere utilizzate per aiutare i providers a fidarsi reciprocamente. Implementa il Web SSO all interno di una organizzazione o tra organizzazioni diverse, e di conseguenza garantisce sicurezza e privacy. Usa SAML (Security Assertion Markup Language), un protocollo basato su XML per lo scambio d informazioni di autenticazione e d autorizzazione, codificate da Shibboleth in attributi ed esportati sottoforma di asserzioni SAML. 2.2 Alcune caratteristiche Shibboleth offre: - Autenticazione su un backend da fornire; - Reperimento e rilascio di attributi utenti da uno o più backend; - Single Sign On (SSO); - Federabilità; Shibboleth non è: Un sistema di Identity Management; Significa che il processo di accreditamento/gestione degli utenti deve essere già gestito (ad es. mediante LDAP + procedure di popolamento/modifica/cancellazione).

29 Shibboleth 29 Perchè Shibboleth: Open Source; Rodato; Sicuro. 2.3 Il protocollo SAML Negli ultimi anni il mondo degli ambienti federati sta ingrandendosi sempre più. Di pari passo, sono nati diversi software che offrono un supporto alla gestione di sistemi federati. In questi ambienti, dove i governi e le istituzioni potrebbero utilizzare differenti software federati ma è necessario lavorare insieme l interoperabilità diventa estremamente importante. Shibboleth offre questo supporto grazie all adozione di alcuni protocolli, che assicurano l interoperabilità con le altre implementazioni commerciali. Tra questi c e il protocollo SAML, che è diventato ormai uno standard nei sistemi Web SSO, per lo scambio dei dati di autenticazione/autorizzazione; tale protocollo definisce anche il formato dei metadati, utilizzati ampiamente da Shibboleth per rappresentare informazioni di vario tipo, come ad esempio ruoli o certificati, che sono legati ai membri di una federazione Caratteristiche Molte soluzioni per la gestione d identità federate (es. Shibboleth) si fondano sul Security Assertion Markup Language (SAML), un framework basato su XML per comunicare, tra un autorità e terze parti fidate, l'avvenuta autenticazione dell'utente, il suo aver diritto ad usufruire di una risorsa/servizio e i suoi attributi.

30 Shibboleth 30 Shibboleth supporta diversi formati, protocolli e versioni di SAML, con lo scopo di combinare unitamente sicurezza e informazioni personali, per scambiarle tra diversi domini. La funzione essenziale di SAML è fornire un sistema standard per passare le informazioni di sign on e di autorizzazione tra due domini federati, attraverso messaggi che prendono il nome di asserzioni. SAML abilita lo scambio d informazioni di autenticazione e autorizzazione su utenti, dispositivi o qualsiasi entità identificabile (chiamata in gergo subject). Nel caso di una AAI, un SP è in grado di contattare un IdP per autenticare gli utenti che stanno cercando di accedere a contenuti protetti. SAML definisce tre tipi di asserzioni: Authentication (Autenticazione), indica che un soggetto è stato autenticato precedentemente attraverso qualche mezzo (es. password o chiave pubblica X.509). Authorization (Autorizzazione), indica che a un soggetto dovrebbe essere concesso o negato l accesso alle risorse. Attribution (Assegnazione), indica che il soggetto è associato con attributi. Utilizzando un sottoinsieme di istruzioni XML, SAML definisce il protocollo di richiestarisposta attraverso i quali i sistemi accettano o rifiutano le asserzioni del subject. SAML non specifica il grado di fiducia che dovrebbe essere inserito all interno di un asserzione. Sono i sistemi locali a decidere se i livelli o le politiche di sicurezza di una determinata applicazione siano sufficienti a proteggere un azienda in caso occorrano problemi per una decisione di autorizzazione basata su un asserzione inaccurata e mal formulata.

31 Shibboleth 31 Questa caratteristica di SAML è probabile che faccia da sprone a relazioni e accordi fiduciari tra attività basate su Web, nelle quali ciascuno accetta di aderire a un livello base di verifica, prima di accettare una asserzione Metadati I metadati possono essere visti come le Carte d Identità (in formato XML) dei partecipanti fidati, cioè appartenenti alla federazione, e sono utilizzati come strumento con cui si costruiscono le relazioni di fiducia fra i membri. Shibboleth utilizza i metadati per comunicare informazioni agli IdP fidati, ai Service Provider, e per distribuire informazioni relative alle CA (autorità di certificazione). Sono raccolti in un file basato su standard SAML 2.0, e contengono: 1. Certificati; 2. Scope degli IdP (es. shibidp2.unipr.it); 3. Descrizione testuale dei partecipanti; 4. Altro; È consentito l utilizzo di certificati self signed per la comunicazione SP IdP (backchannel). Ogni partecipante, per verificare l identità della controparte e comunicare, utilizza il relativo certificato contenuto nei metadati. Il SP parla solo con un IdP noto (i cui dati siano nel file dei MD).

32 Shibboleth Struttura di Shibboleth Il sistema Shibboleth è fatto di due componenti, che disaccoppiano la gestione delle identità degli utenti dalla gestione delle risorse. Queste sono: Shibboleth IdP (Identity Provider); Shibboleth SP (Service Provider); L Identity Provider amministra le informazioni degli utenti che ha in carico e può essere utilizzato per: 1) registrare gli Utenti e mantenerne le informazioni; 2) gestire le sessioni di autenticazione: dev essere in grado di autenticare i propri utenti, ad esempio richiedendo le credenziali, oppure deve verificare che l'utente ha già una sessione valida (di Single Sign On); 3) rilasciare attributi degli utenti autenticati: è responsabile degli attributi dei suoi utenti, e del loro rilascio a chi ne fa richiesta, proteggendo i dati personali, che non dovrebbero mai essere forniti. Tali informazioni sono richieste dai Service Provider per autorizzare l utente che vuole usare il servizio; Non tutti i dati sono inviati al SP, ma solo quelli ritenuti necessari. Ogni risorsa il cui accesso deve essere protetto richiede un Service Provider (SP), che si occupa di indirizzare l'utente nella sua Organizzazione d Appartenenza (o Identity Provider) per il suo riconoscimento ed il rilascio di attributi. Il SP raccoglie le informazioni sull utente inviategli dall IdP, e le usa per proteggere il servizio e concedere l autorizzazione all utente che ne ha fatto richiesta.

33 Shibboleth Shibboleth Identity Provider L IdP shibboleth è un applicazione web java, composta da una serie di parti legate fra loro, tra cui: Handler Manager: questo servizio gestisce i vari endpoint dai quali l IdP può ricevere messaggi; Attribute Resolver: E responsabile del recupero di attributi da un database e della loro combinazione e trasformazione in un insieme di dati relativi a uno stesso utente; lo scopo usuale è quello di rimandarli indietro tutti o in parte al client dell IdP. Attribute Filter: serve a creare una collezione filtrata di attributi, sulla base di un insieme di regole. Queste regole riflettono quali attributi e valori un client può ricevere. Attribute Authority (AA): questo servizio, che dipende dall Attribute Resolver, prende un insieme di attributi e li codifica in un asserzione di attributi SAML. Inoltre, se i metadati SAML del richiedente contengono informazioni sul tipo di attributi che egli richiede, il servizio effettuerà una operazione di filtraggio rilasciando solo quegli attributi richiesti Autenticazione e Sessioni L IdP usa degli oggetti chiamati LoginHandlers per autenticare un utente. I LoginHandlers sono usati dall IdP per realizzare uno o più metodi d autenticazione. Ad esempio, un IdP può avere due LoginHandler configurati: uno è associato al metodo d autenticazione basato su username/password su un directory LDAP, mentre l altro realizza un autenticazione basata sulla validazione dei certificati X.509. Ad ogni LoginHandler è associato un timeout, che rappresenta la validità temporale dello specifico metodo d autenticazione, ossia l intervallo di tempo, dopo l autenticazione iniziale, oltre il quale una sessione autenticata presso un Identity Provider decade. (Shibboleth 2 fissa di default questo intervallo a 30 minuti.

34 Shibboleth 34 Eventuali modifiche a questo valore possono essere apportate solo dopo un'attenta valutazione dell'impatto sulla sicurezza all'interno delle singole organizzazioni). La sessione utente serve a tenere traccia di alcune informazioni legate all utente, quali ad esempio i metodi d autenticazione correntemente attivi, i servizi ai quali l utente si è autenticato e altro ancora. Queste informazioni sono usate dall IdP per determinare principalmente se un utente risulta già autenticato e possono essere usate anche dai processi di Attribute Resolver/Attribute Filter dell IdP. Ogni Service Provider decide il metodo d autenticazione che gli pare più opportuno tra quelli proposti dal suo IdP. Quando l utente prova ad accedere a un area protetta della risorsa, il SP lo ridirige sull IdP di appartenenza, il quale, valutate le esigenze della controparte, presenta all utente una form di Login che lo invita a validarsi, oppure ritrasmette al SP le informazioni di avvenuta autenticazione, se è presente una sessione valida Shibboleth Service Provider Il SP Shibboleth è un démone scritto in C++ (chiamato shibd) con cui il server web dialoga. Shibboleth SP intercetta le richieste a risorse protette e ridirige l utente al WAYF o all IdP; Ricevute le informazioni di autenticazione, apre una comunicazione verso lo Attribute Authority dell IdP per reperire gli attributi. Il componente Shibboleth SP è costituito da tre parti principali, che sono: resource manager (RM): gestisce le richieste di accesso alle risorse protette del servizio, eseguite dall utente attraverso un browser. Assertion Consumer Service (ACS): Comunica con l handler dell IdP, elabora asserzioni SAML ed estrae da esse i contenuti. Attribute Requester (AR): ottiene attributi addizionali sull utente autenticato e definisce politiche di accettazione degli attributi (Attribute Acceptance Policy o AAP).

35 Shibboleth 35 Dal punto di vista di un Service Provider, l utente, attraverso un browser, formulerà al RM una richiesta di accesso a una specifica risorsa. Il RM coinvolgerà l ACS che attraverso il servizio WAYF acquisirà l identità di un handle service (HS) da contattare per tutte le successive richieste relative all utente. L HS potrà quindi rispondere attraverso una SAML authentication assertion che conterrà un ID unico (handle) che sarà passato dall ACS all AR del Service Provider. L AR utilizzerà tale handle insieme all indirizzo dell Attribute Authority (AA) associato, per richiedere tutti gli attributi che gli è concesso conoscere. L AR analizzerà e validerà i dati ottenuti, secondo opportune policy di ammissibilità degli attributi (AAP). Infine i risultanti valori degli attributi saranno forniti al RM, che è responsabile del loro utilizzo al fine di garantire l accesso alla risorsa controllata. 2.5 Esempio di funzionamento di Shibboleth La figura seguente mostra un esempio di funzionamento di Shibboleth, in cui l utente cerca di accedere ad un servizio a cui crede di avere i diritti di accesso. Supponiamo che cerchi di accedere (1) alle riviste pubblicate da ACS Publications. Il server ACS, che nel nostro caso costituisce il Service Provider (SP), non accetta la richiesta e la inoltra (2) al Where Are You From (WAYF), che ha il compito di decifrare chi è l utente in questione. A questo punto, dietro richiesta da parte del WAYF (3), l utente fornisce allo stesso WAYF (4) le informazioni che lo identificano e questo ultimo chiede (5) all Handle Service dell Identity Provider (IdP), ossia l organizzazione a cui l utente ha dichiarato di appartenere, una conferma. L Handle Service è uno dei componenti dell Identity Provider, che rappresenta appunto l istituzione. Questo stesso richiede (6) all utente di non accedere direttamente sul sito remoto dell editore ACS, ma di utilizzare il Web Login, ossia di accedere tramite Shibboleth, al fine di essere riconosciuto e conseguentemente di

36 Shibboleth 36 accedere in maniera automatica a qualsiasi risorsa cui ha diritto. L utente viene riconosciuto (fase 7) grazie al confronto dei dati personali contenuti nel database degli utenti (User DB). L Handle generato dall IdP è passato all ACS del Service Provider, (fase 8), che valida l utente e l asserzione. Al Service Provider mancano ancora gli attributi dell utente, ossia essi non sono stati ancora registrati nell Attribute Requester (AR). Quindi si rende necessaria una nuova richiesta verso l IdP (fase 9), al fine di recuperare i dati relativi agli attributi dell utente attingendo all Attribute Authority (AA). (Esempio di funzionamento di Shibboleth)

37 Shibboleth 37 L IdP riconosce il Service Provider che ha sottoposto la richiesta, lo valida e stabilisce quali attributi sia necessario trasmettergli. Questi sono inviati (fase 10) al fine di ultimare la fase di autorizzazione e permettere così all utente di accedere alla risorsa da lui richiesta. Inoltre, in questo modo l utente ora è stato riconosciuto, i suoi dati memorizzati e, quindi, può accedere a qualsiasi altra risorsa o servizio di cui possiede i diritti di accesso. Il fatto innovativo è che non ci sono nuovi username o password da ricordare o distribuire con il timore di perderli. Per accedere a ciò cui si ha diritto, è sufficiente autenticarsi tramite il Web Login, che permette all utente di essere riconosciuto da qualsiasi posto cerchi di connettersi. 2.6 Confronto tra Shibboleth 1.3 e 2.0 La nuova versione si Shibboleth offre numerosi vantaggi, poiché è più semplice da installare e da configurare, mantiene file di log più dettagliati, gestisce in modo migliore i metadati e utilizza un IdP Tomcat only. Shibboleth 1.3 è ormai deprecato, considerate le maggiori difficoltà di configurazione, la peggiore formattazione e le minori informazioni fornite dai log. Inoltre già da ora Internet2 non aggiungerà più nessuna funzionalità a tale versione, il cui supporto cesserà il 30 Giugno Shibboleth 2.x è pienamente compatibile con la versione precedente, ed è indicato (e supportato) per tutte le nuove installazioni. E fondato principalmente su SAML 2.0, e include un gran numero di miglioramenti nelle funzionalità, guadagnate dalla solida esperienza della comunità che ha utilizzato Shibboleth 1.3.

38 Shibboleth Cambiamenti in Shibboleth IdP Shibboleth IdP è stato completamente riprogrammato nella versione 2.0. E stato migliorato il supporto ai metodi d autenticazione multipla, sono stati migliorati i tools per la creazione e il controllo di rilascio attributi ed è stata semplificata la configurazione delle opzioni interne Cambiamenti in Shibboleth SP La nuova versione di Shibboleth SP incorpora alcuni cambiamenti interni che riducono conflitti software, migliorano la portabilità e la maneggevolezza, e forniscono molte opzioni per l integrazione con le applicazioni. La maggior parte dei file di configurazione del software sono stati riprogettati, senza però alterare il modello di sviluppo globale. Uno di questi è shibboleth2.xml, il file di configurazione principale di Shibboleth SP, che è analizzato dettagliatamente nel penultimo capitolo. Benché sia strutturalmente simile a shibboleth.xml (che fa parte della release 1.3), la nuova versione è stata rinominata, per far capire che lo schema è cambiato in diversi punti e ha perso la compatibilità con il vecchio. Questo assicura anche che aggiornando l installazione dalla 1.3 alla 2.x non verrà intaccato il vecchio file originale, dando la possibilità di poter trasferire le vecchie impostazioni anche in un secondo momento.

39 Capitolo 3 La federazione IDEM del GARR In questo capitolo si vuole dare uno sguardo agli aspetti più rilevanti della federazione IDEM del GARR, come gli obiettivi, i requisiti di adesione e i servizi offerti, e conoscere i rapporti che sono stati intrapresi con l Università si Parma.

40 La federazione IDEM del GARR La federazione IDEM IDEM (IDEntity Management per l accesso federato) è la prima Federazione italiana di Infrastrutture di Autenticazione e Autorizzazione (AAI), che coinvolge gli enti della comunità scientifica ed accademica e i fornitori di servizi e contenuti in rete. La Federazione è costituita da organizzazioni, gestori di servizi di identità e fornitori di risorse che, mantenendo un'infrastruttura di autenticazione e autorizzazione (AAI), aderiscono a regole e linee di condotta comuni per la gestione di relazioni di fiducia, al fine di facilitare le operazioni di autenticazione e di autorizzazione tra di esse. I partecipanti alla Federazione concordano su una serie di regole finalizzate allo scambio di informazioni sugli utenti finali e sulle risorse, per consentire l accesso e l utilizzo delle risorse e dei servizi condivisi in modo sicuro e nel rispetto della privacy dell'utente finale. Il Consortium GARR ha il ruolo di agente centrale al quale ogni partecipante richiede l'adesione alla Federazione. GARR mette a disposizione un servizio tecnicoamministrativo di supporto denominato Servizio IDEM GARR AAI. I partecipanti, richiedendo l'adesione alla Federazione, accettano Regolamento e Norme di Partecipazione della stessa. L'appartenenza alla Federazione non esclude la possibilità di ulteriori accordi bilaterali tra partecipanti per specifiche necessità. Grazie all approccio federato, sviluppato con successo nel progetto IDEM, e al servizio IDEM GARR AAI, curato da GARR, gli utenti possono accedere più facilmente alle risorse in rete messe a disposizione da organizzazioni diverse. Le risorse condivise da queste organizzazioni possono essere di vario tipo; Ad esempio, un ente di ricerca potrebbe condividere la banca dati in cui sono registrati i risultati delle ricerche, mentre un università il suo sistema bibliotecario, insieme ai corsi di formazione online. IDEM si propone di realizzare una AAI che faciliti e promuova la condivisione dei servizi di rete appartenenti alle diverse organizzazioni aderenti al progetto, offrendo un sistema di condivisione di risorse sicuro, facilmente implementabile e che apporti

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it Lab 8 Visti i problemi con la macchina virtuale e la rete, l assignment è sospeso 1 Autenticazione

Dettagli

Manuale di Integrazione IdM-RAS

Manuale di Integrazione IdM-RAS IdM-RAS Data: 30/11/09 File: Manuale di integrazione IdM-RAS.doc Versione: Redazione: Sardegna IT IdM-RAS Sommario 1 Introduzione... 3 2 Architettura del sistema... 4 2.1 Service Provider... 4 2.2 Local

Dettagli

Single Sign On sul web

Single Sign On sul web Single Sign On sul web Abstract Un Sigle Sign On (SSO) è un sistema di autenticazione centralizzata che consente a un utente di fornire le proprie credenziali una sola volta e di accedere a molteplici

Dettagli

Shibboleth enabling a web service: Nilde s case study

Shibboleth enabling a web service: Nilde s case study II giornata su Authentication & Authorization Infrastructure (AAI): Autenticazione federata e biblioteche digitali. Roma, 6 Marzo 2007 Shibboleth enabling a web service: Nilde s case study Silvana Mangiaracina

Dettagli

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA

Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Messa in esercizio, assistenza e aggiornamento di una Piattaform Open Source Liferay plug-in per ARPA Pag. 1 di 16 Redatto da F. Fornasari, C. Simonelli, E. Croci (TAI) Rivisto da E.Mattei (TAI) Approvato

Dettagli

LA TEMATICA. Questa situazione si traduce facilmente:

LA TEMATICA. Questa situazione si traduce facilmente: IDENTITY AND ACCESS MANAGEMENT: LA DEFINIZIONE DI UN MODELLO PROCEDURALE ED ORGANIZZATIVO CHE, SUPPORTATO DALLE INFRASTRUTTURE, SIA IN GRADO DI CREARE, GESTIRE ED UTILIZZARE LE IDENTITÀ DIGITALI SECONDO

Dettagli

Intarsio IAM Identity & Access Management

Intarsio IAM Identity & Access Management Intarsio IAM Identity & Access Management 2/35 Intarsio Interoperabilità Applicazioni Reti Servizi Infrastrutture Organizzazione 3/35 Una linea per molti servizi Una definizione: Intarsio è la nuova linea

Dettagli

IDEM eduroam. Infrastrutture di Autenticazione e Autorizzazione (Franco Tinarelli Coffee talk IRA 13 aprile 2012)

IDEM eduroam. Infrastrutture di Autenticazione e Autorizzazione (Franco Tinarelli Coffee talk IRA 13 aprile 2012) IDEM eduroam Infrastrutture di Autenticazione e Autorizzazione (Franco Tinarelli Coffee talk IRA 13 aprile 2012) IDEM (IDEntity Management) IDEM (Identity Management per l'accesso federato) è il nome della

Dettagli

Il progetto IDEM. Roberto Cecchini. Workshop GARR 08 Milano, 3 Aprile 2008

Il progetto IDEM. Roberto Cecchini. Workshop GARR 08 Milano, 3 Aprile 2008 Il progetto IDEM Roberto Cecchini Workshop GARR 08 Milano, 3 Aprile 2008 AA? Autenticazione l utente è veramente chi dice di essere? identità Autorizzazione a cosa può accedere l utente? diritti 2 AA tradizionale

Dettagli

Il modello ICAR per la gestione dell Identit

Il modello ICAR per la gestione dell Identit Il modello ICAR per la gestione dell Identit Identità Digitale Federata Architettura, opportunità e prospettive di convergenza Forum PA 2008, Roma 15 maggio 2008 Massimiliano Pianciamore massimiliano.pianciamore@cefriel.it

Dettagli

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo

L autenticazione in rete e accesso ai servizi digitali. roberto palumbo L autenticazione in rete e accesso ai servizi digitali roberto palumbo Identità virtuali per servizi reali L apparato normativo e la concreta implementazione delle nuove tecnologie rendono sempre più reale

Dettagli

@CCEDO: Accessibilità, Sicurezza, Architettura

@CCEDO: Accessibilità, Sicurezza, Architettura Rev. 8, agg. Settembre 2014 @CCEDO: Accessibilità, Sicurezza, Architettura 1.1 Il Sistema di Gestione della Sicurezza Per quanto riguarda la gestione della Sicurezza, @ccedo è dotato di un sistema di autenticazione

Dettagli

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine

Università degli Studi di Udine. Modalità e limiti di utilizzo della rete telematica dell Università di Udine Università degli Studi di Udine Modalità e limiti di utilizzo della rete telematica dell Università di Udine Gruppo di lavoro istituito il 16 aprile 2004 con decreto rettorale n. 281 Pier Luca Montessoro,

Dettagli

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del Manuale utente presente nell ambiente del Servizio Telematico Doganale.

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del Manuale utente presente nell ambiente del Servizio Telematico Doganale. GUIDA RAPIDA versione 25 febbraio 2010 SERVIIZIIO TELEMATIICO DOGANALE Avvertenze: Questa guida vuole costituire un piccolo aiuto per gli operatori che hanno già presentato richiesta di adesione al servizio

Dettagli

Integrazione di Service Provider e Identity Provider SiRAC e INF3

Integrazione di Service Provider e Identity Provider SiRAC e INF3 Integrazione di Service Provider e Identity Provider SiRAC e INF3 SOMMARIO 1. Introduzione... 4 1.1. Contenuti del Documento... 4 1.2. Distribuzione... 5 1.3. Acronimi... 5 2. Integrazione di Service Provider...

Dettagli

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del manuale utente presente nell ambiente del Servizio Telematico Doganale.

Si precisa in ogni caso che questa guida rapida non esime dalla lettura del manuale utente presente nell ambiente del Servizio Telematico Doganale. GUIDA RAPIDA versione 11 marzo 2008 SEERVIIZZIIO TTEELLEEMATTIICO M DOGANALLEE G Avvertenze: Questa guida vuole costituire un piccolo aiuto per gli operatori che hanno già presentato richiesta di adesione

Dettagli

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML

Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security con token SAML Master Universitario di II livello in Interoperabilità Per la Pubblica Amministrazione e Le Imprese Sicurezza nei Web Services: Migrazione dell autenticazone di Web Services da ticket di sessione a WS-Security

Dettagli

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori

Appl. di emissione PKCS#11. API (Metacomandi) Resource Manager Windows. Drivers PC/SC dei lettori Roma, 30 gennaio 2003 La realtà della carta di identità elettronica (nel seguito CIE) e della carta nazionale dei servizi (nel seguito CNS) rende ineluttabile l individuazione di servizi da erogare in

Dettagli

FedERa Federazione degli Enti dell Emilia-Romagna per l autenticazione

FedERa Federazione degli Enti dell Emilia-Romagna per l autenticazione FedERa Federazione degli Enti dell Emilia-Romagna per l autenticazione Convegno Idem Roma, 31 Marzo 2009 Il Piano Telematico dell Emilia-Romagna (PiTER) Il Piano Telematico Regionale (PiTER) costituisce

Dettagli

Shibboleth e Google Apps

Shibboleth e Google Apps Università di Modena e Reggio nell Emilia 17 giugno 2009 Panoramica funzionamento di default di Shibboleth; autenticazione SAML con Google Apps; indicazioni su come integrare Google Apps con Shibboleth

Dettagli

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi.

AREA SERVIZI ICT. Servizi di hosting offerti dall'area Servizi ICT. Integrazione con l'anagrafica Unica di Ateneo. hosting.polimi. AREA SERVIZI ICT Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo hosting.polimi.it Indice 1. Anagrafica unica di Ateneo... 4 1.1. Introduzione all anagrafica

Dettagli

Dimitris Gritzalis (a), Costas Lambrinoudakis (b)

Dimitris Gritzalis (a), Costas Lambrinoudakis (b) Dimitris Gritzalis (a), Costas Lambrinoudakis (b) a Department of Informatics, Athens University of Economics and Business, 76 Patission Street, Athens GR 10434, Greece b Department of Information and

Dettagli

Il Sito utilizza cookies tecnici e non di profilazione

Il Sito utilizza cookies tecnici e non di profilazione PRIVACY POLICY Informativa Privacy 1. INTRODUZIONE La presente Privacy Policy è relativa al sito www.aslnapoli2-formazione.eu. Le informazioni che l utente deciderà di condividere attraverso il Sito saranno

Dettagli

Sistemi avanzati di gestione dei Sistemi Informativi

Sistemi avanzati di gestione dei Sistemi Informativi Esperti nella gestione dei sistemi informativi e tecnologie informatiche Sistemi avanzati di gestione dei Sistemi Informativi Docente: Email: Sito: Eduard Roccatello eduard@roccatello.it http://www.roccatello.it/teaching/gsi/

Dettagli

Strumenti di identificazione in rete

Strumenti di identificazione in rete Pordenone, 14 novembre 2014 Strumenti di identificazione in rete SABRINA CHIBBARO sabrina@chibbaro.net PII - "Personally Identifiable Information" Nel mondo digitale, l identità è un informazione univoca

Dettagli

UNIVERSITÀ DEGLI STUDI DI PADOVA

UNIVERSITÀ DEGLI STUDI DI PADOVA UNIVERSITÀ DEGLI STUDI DI PADOVA DIREZIONE AMMINISTRATIVA Servizio programmazione e sviluppo progetti SCHEDA PROGETTI INNOVATIVI 1. Titolo del progetto Autenticazione e Single Sign On 2. Breve descrizione

Dettagli

Servizio. Governance e linee guida tecnicoorganizzative

Servizio. Governance e linee guida tecnicoorganizzative Servizio Governance e linee guida tecnicoorganizzative della Federazione INDICE 1. Introduzione 3 1.1 Definizione e Acronimi 3 1.2 Scopo del documento 4 1.3 Destinatari 4 2. Il Sistema FedERa 5 3. Il governo

Dettagli

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1

GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 GESTIONE DELLA POSTA ELETTRONICA CERTIFICATA - PEC GEPROT v 3.1 ESPLETAMENTO DI ATTIVITÀ PER L IMPLEMENTAZIONE DELLE COMPONENTI PREVISTE NELLA FASE 3 DEL PROGETTO DI E-GOVERNMENT INTEROPERABILITÀ DEI SISTEMI

Dettagli

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT

Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica Unica di Ateneo. Area Servizi ICT Area Servizi ICT Servizi hosting di Ateneo - Integrazione con l'anagrafica Unica di Ateneo Versione 1.1 http://hosting.polimi.it Servizi di hosting offerti dall'area Servizi ICT Integrazione con l'anagrafica

Dettagli

Framework di sicurezza della piattaforma OCP (Identity & Access Management)

Framework di sicurezza della piattaforma OCP (Identity & Access Management) Smart Cities and Communities and Social Innovation Bando MIUR D.D. 91/Ric. del 5 luglio 2012 Framework di sicurezza della piattaforma OCP (Identity & Access Management) AAI: Il problema che OCP ha affrontato

Dettagli

Politica sulla privacy

Politica sulla privacy Politica sulla privacy Kohler ha creato questa informativa sulla privacy con lo scopo di dimostrare il suo grande impegno nei confronti della privacy. Il documento seguente illustra le nostre pratiche

Dettagli

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione

Sicurezza nelle Grid. Sommario. Page 1. Il Problema della Sicurezza nelle Grid. Grid Security Infrastructure Autorizzazione Sommario Il Problema della Sicurezza nelle Grid Sicurezza nelle Grid Grid Security Infrastructure Autorizzazione 2 Page 1 Il Problema della Sicurezza nelle Grid (1) Le risorse sono presenti domini amministrativi

Dettagli

Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud

Meccanismi di Identity Management per la fruizione di servizi offerti da diversi Service Provider in modalità Single Sign On nel cloud Scuola Politecnica e delle Scienze di Base Corso di Laurea in Ingegneria Informatica Elaborato finale in protocolli per reti mobili Meccanismi di Identity Management per la fruizione di servizi offerti

Dettagli

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL.1. Introduzione Legalmail è il servizio di posta elettronica con valore legale realizzato da InfoCamere. Esso consente al Cliente di disporre di

Dettagli

Guida ai certificati SSL User Guide

Guida ai certificati SSL User Guide Guida ai certificati SSL User Guide PROBLEMATICHE DEL WEB... 2 PRIVACY...3 AUTORIZZAZIONE/AUTENTICAZIONE...4 INTEGRITA DEI DATI...4 NON RIPUDIO...4 QUALI SONO I PRINCIPALI STRUMENTI UTILIZZATI PER GARANTIRE

Dettagli

1. elaborazione di dati per statistiche interne; 2. finalità di direct marketing; 3. attività operative per la gestione interna.

1. elaborazione di dati per statistiche interne; 2. finalità di direct marketing; 3. attività operative per la gestione interna. La salvaguardia della riservatezza dei dati personali per Just Fitness s.r.l. costituisce un impegno primario; per tale ragione le nostre attività Web vengono gestite in accordo con le leggi sulla protezione

Dettagli

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On

Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Elementi di Sicurezza e Privatezza Lezione 18 Autenticazione: Single Sign On Chiara Braghin chiara.braghin@unimi.it! Autenticazione cont d (1) Dalle lezioni precedenti: w L autenticazione è un prerequisito

Dettagli

SIRV-INTEROP Sicurezza basata sui ruoli

SIRV-INTEROP Sicurezza basata sui ruoli SIRV-INTEROP (UML-A8.2-0) 06 ottobre 2004 Approvazioni Il presente documento è stato approvato da: UML-A8.2-0 18/11/05 16.25 2 Storia delle Modifiche Versione Data Descrizione Riferimenti Numero Titolo

Dettagli

NORME ATTUATIVE. del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia

NORME ATTUATIVE. del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia NORME ATTUATIVE del Regolamento di Utilizzo dei Servizi Informatici e di Rete Università degli Studi di Brescia Sommario Art. 1 - Oggetto e ambito di applicazione... 2 Art. 2 - Definizioni... 2 Art. 3

Dettagli

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL

ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL ALLEGATO AL CONTRATTO DI FORNITURA DEL SERVIZIO LEGALMAIL.1. Introduzione Legalmail è un servizio di posta elettronica che garantisce un elevato grado di affidabilità e sicurezza. Esso consente al Cliente

Dettagli

Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB

Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB Brochure prodotto Infrastrutture di ricarica per veicoli elettrici Servizi di connessione ABB Servizi di connessione Prodotti a supporto del business Per sfruttare al meglio una rete di ricarica per veicoli

Dettagli

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com

Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA. http://www.liveboxcloud.com 2015 Manuale LiveBox WEB AMMINISTRATORE DI SISTEMA http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi

Dettagli

Co.El.Da. Software S.r.l. Coelda.Ne Caratteristiche tecniche

Co.El.Da. Software S.r.l.  Coelda.Ne Caratteristiche tecniche Co..El. Da. Software S..r.l.. Coelda.Net Caratteristiche tecniche Co.El.Da. Software S.r.l.. Via Villini Svizzeri, Dir. D Gullì n. 33 89100 Reggio Calabria Tel. 0965/920584 Faxx 0965/920900 sito web: www.coelda.

Dettagli

Privacy Policy. Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13

Privacy Policy. Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13 Privacy Policy Informativa e consenso per l'utilizzo dei dati personali - D.lgs 30.06.2003 N.196, Art. 13 BE WITH US ONLUS, considera di fondamentale importanza la "privacy" dei propri utenti e garantisce

Dettagli

<Portale LAW- Lawful Activities Wind > Pag. 1/33 Manuale Utente ( WEB GUI LAW ) Tipo di distribuzione Golden Copy (Copia n. 1) Copia n. Rev. n. Oggetto della revisione Data Pag. 2/33 SOMMARIO 1. INTRODUZIONE...

Dettagli

Progetto NAC (Network Access Control) MARCO FAGIOLO

Progetto NAC (Network Access Control) MARCO FAGIOLO Progetto NAC (Network Access Control) MARCO FAGIOLO Introduzione Per sicurezza in ambito ICT si intende: Disponibilità dei servizi Prevenire la perdita delle informazioni Evitare il furto delle informazioni

Dettagli

Metodi di verifica degli utenti in ELMS 1.1

Metodi di verifica degli utenti in ELMS 1.1 Metodi di verifica degli utenti in ELMS 1.1 2012-12-21 Kivuto Solutions Inc. [RISERVATO] SOMMARIO PANORAMICA...1 METODI DI VERIFICA...2 Verifica utente integrata (IUV, Integrated User Verification)...2

Dettagli

CdL MAGISTRALE in INFORMATICA

CdL MAGISTRALE in INFORMATICA 05/11/14 CdL MAGISTRALE in INFORMATICA A.A. 2014-2015 corso di SISTEMI DISTRIBUITI 7. I processi : il naming Prof. S.Pizzutilo Il naming dei processi Nome = stringa di bit o di caratteri utilizzata per

Dettagli

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato

SCP: SCHEDULER LAYER. a cura di. Alberto Boccato SCP: SCHEDULER LAYER a cura di Alberto Boccato PREMESSA: Negli ultimi tre anni la nostra scuola ha portato avanti un progetto al quale ho partecipato chiamato SCP (Scuola di Calcolo Parallelo). Di fatto

Dettagli

DD - Design Document

DD - Design Document Politecnico di Milano Progetto di Ingegneria del Software 2 DD - Design Document Autori: Claudia Foglieni Giovanni Matteo Fumarola Massimo Maggi Professori: Elisabetta Di Nitto Raffaela Mirandola 1 gennaio

Dettagli

Introduzione alla famiglia di soluzioni Windows Small Business Server

Introduzione alla famiglia di soluzioni Windows Small Business Server Introduzione alla famiglia di soluzioni Windows Small Business Server La nuova generazione di soluzioni per le piccole imprese Vantaggi per le piccole imprese Progettato per le piccole imprese e commercializzato

Dettagli

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014

Processi di business sovra-regionali relativi ai sistemi regionali di FSE. Versione 1.0 24 Giugno 2014 Processi di business sovra-regionali relativi ai sistemi regionali di FSE Versione 1.0 24 Giugno 2014 1 Indice Indice... 2 Indice delle figure... 3 Indice delle tabelle... 4 Obiettivi del documento...

Dettagli

Accesso Wi-Fi federato dell'area della Ricerca di Pisa

Accesso Wi-Fi federato dell'area della Ricerca di Pisa Accesso Wi-Fi federato dell'area della Ricerca di Pisa Ing. Abraham Gebrehiwot reparto: Rete Telematica del CNR di Pisa Via G. Moruzzi 1 56124, Pisa abraham.gebrehiwot@iit.cnr.it tel: +39-050-3152079 Obiettivo

Dettagli

Scheda Prodotto. LEGALMAIL componenti aggiuntive. Posta Elettronica Certificata

Scheda Prodotto. LEGALMAIL componenti aggiuntive. Posta Elettronica Certificata Scheda Prodotto LEGALMAIL componenti aggiuntive Posta Elettronica Certificata ll cliente che aderisce al Servizio Legalmail ha la possibilità di richiedere l attivazione di una serie di componenti opzionali,

Dettagli

Tracciabilità degli utenti in applicazioni multipiattaforma

Tracciabilità degli utenti in applicazioni multipiattaforma Tracciabilità degli utenti in applicazioni multipiattaforma Case Study assicurativo/bancario Yann Bongiovanni y.bongiovanni@integra-group.it Roma, 4 ottobre 2006 Retroscena Un azienda multinazionale del

Dettagli

Nuvola It Data Space

Nuvola It Data Space MANUALE UTENTE INDICE 1. Descrizione servizio... 3 1.1. Informazioni sul servizio di Telecom Italia... 3 1.2. Ruoli e Autenticazione per il servizio di Telecom Italia... 3 1.3. Strumenti... 5 1.4. Documentazione...

Dettagli

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009

Applicazioni per l autenticazione Sicurezza nelle reti di TLC - Prof. Marco Listanti - A.A. 2008/2009 Applicazioni per l autenticazione Kerberos Kerberos Servizio di autenticazione sviluppato dal MIT Fornisce un server di autenticazione centralizzato Basato su crittografia simmetrica (chiave privata) Permette

Dettagli

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica.

La Sicurezza delle Reti. La Sicurezza delle Reti. Il software delle reti. Sistemi e tecnologie per la multimedialità e telematica. Sistemi e tecnologie per la multimedialità e telematica Fabio Burroni Dipartimento di Ingegneria dell Informazione Università degli Studi di Siena burronif@unisi unisi.itit La Sicurezza delle Reti La presentazione

Dettagli

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000

USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 VERITAS StorageCentral 1 USO OTTIMALE DI ACTIVE DIRECTORY DI WINDOWS 2000 1. Panoramica di StorageCentral...3 2. StorageCentral riduce il costo totale di proprietà per lo storage di Windows...3 3. Panoramica

Dettagli

LBINT. http://www.liveboxcloud.com

LBINT. http://www.liveboxcloud.com 2014 LBINT http://www.liveboxcloud.com LiveBox Srl non rilascia dichiarazioni o garanzie in merito al contenuto o uso di questa documentazione e declina qualsiasi garanzia espressa o implicita di commerciabilità

Dettagli

La ricerca delle informazioni nei siti web di Ateneo con Google Search Appliance Progetto, implementazione e sviluppi

La ricerca delle informazioni nei siti web di Ateneo con Google Search Appliance Progetto, implementazione e sviluppi La ricerca delle informazioni nei siti web di Ateneo con Google Search Appliance Progetto, implementazione e sviluppi Il progetto del sistema di ricerca delle informazioni L'esigenza del sistema di ricerca

Dettagli

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida

Convegno di studio La biometria entra nell e-government. Le attività del CNIPA nel campo della biometria: le Linee guida Convegno di studio La biometria entra nell e-government Le attività del CNIPA nel campo della biometria: le Linee guida Alessandro Alessandroni Cnipa alessandroni@cnipa.it Alessandro Alessandroni è Responsabile

Dettagli

Linee guida per il Comitato Tecnico Operativo 1

Linee guida per il Comitato Tecnico Operativo 1 Linee guida per il Comitato Tecnico Operativo 1 Introduzione Questo documento intende costituire una guida per i membri del Comitato Tecnico Operativo (CTO) del CIBER nello svolgimento delle loro attività.

Dettagli

SIPEM ACCESSO AL SISTEMA ED UTILIZZO DELLA CHIAVETTA DI FIRMA. Rev 1.1. Sistema Informativo Pratiche Edilizie e Monitoraggio municipale

SIPEM ACCESSO AL SISTEMA ED UTILIZZO DELLA CHIAVETTA DI FIRMA. Rev 1.1. Sistema Informativo Pratiche Edilizie e Monitoraggio municipale SIPEM Sistema Informativo Pratiche Edilizie e Monitoraggio municipale ACCESSO AL SISTEMA ED UTILIZZO DELLA CHIAVETTA DI FIRMA Rev 1.1 Il presente documento è attualmente in fase di lavorazione. Ancitel,

Dettagli

CON LA CARTA DEI SERVIZI, I NOSTRI UTENTI SONO SEMPRE AL CENTRO DELLE NOSTRE ATTENZIONI.

CON LA CARTA DEI SERVIZI, I NOSTRI UTENTI SONO SEMPRE AL CENTRO DELLE NOSTRE ATTENZIONI. CARTA DEI SERVIZI La qualità del servizio nei confronti dell Utente e la soddisfazione per l utilizzo delle soluzioni sono obiettivi strategici per Sistemi. Le soluzioni software Sistemi, siano esse installate

Dettagli

Corso di Access. Prerequisiti. Modulo L2A (Access) 1.1 Concetti di base. Utilizzo elementare del computer Concetti fondamentali di basi di dati

Corso di Access. Prerequisiti. Modulo L2A (Access) 1.1 Concetti di base. Utilizzo elementare del computer Concetti fondamentali di basi di dati Corso di Access Modulo L2A (Access) 1.1 Concetti di base 1 Prerequisiti Utilizzo elementare del computer Concetti fondamentali di basi di dati 2 1 Introduzione Un ambiente DBMS è un applicazione che consente

Dettagli

Privacy e Cookie Policy

Privacy e Cookie Policy Privacy e Cookie Policy Questo sito web raccoglie dati dei navigatori e degli utenti interessati ai servizi accessibili tramite il sito. Inoltre può raccogliere alcuni Dati Personali dei soggetti che espressamente

Dettagli

Manuale d uso - Utente

Manuale d uso - Utente Manuale d uso - Utente Progetto federa Commessa Cliente Capo Progetto Redatto da Verificato da Lepida SpA Regione Emilia-Romagna Vania Corelli Grappadelli Fabio Baroncini Approvato da Data redazione 14/09/2012

Dettagli

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server

Corso Specialista Sistemi Ambiente Web. Test finale conoscenze acquisite - 15.12.2003. Windows 2000 Server Windows 2000 Server 1 A cosa serve il task manager? A A monitorare quali utenti stanno utilizzando una applicazione B A restringere l'accesso a task determinati da parte degli utenti C Ad interrompere

Dettagli

Identity Access Management nel web 2.0

Identity Access Management nel web 2.0 Identity Access Management nel web 2.0 Single Sign On in applicazioni eterogenee Carlo Bonamico, NIS s.r.l. carlo.bonamico@nispro.it 1 Sommario Problematiche di autenticazione in infrastrutture IT complesse

Dettagli

Accesso alle applicazioni protetto. Ovunque.

Accesso alle applicazioni protetto. Ovunque. Scheda tecnica Accesso alle applicazioni protetto. Ovunque. Utenti mobili protetti Nelle organizzazioni odierne, ai responsabili IT viene spesso richiesto di fornire a diversi tipi di utente l'accesso

Dettagli

Consiglio dell Ordine Nazionale dei Dottori Agronomi e Dottori Forestali Ministero della Giustizia

Consiglio dell Ordine Nazionale dei Dottori Agronomi e Dottori Forestali Ministero della Giustizia 1. Che cos è? La Posta Elettronica Certificata (PEC) è un sistema di posta elettronica (che utilizza i protocolli standard della posta elettronica tradizionale) mediante il quale al mittente viene fornita,

Dettagli

Questa scelta è stata suggerita dal fatto che la stragrande maggioranza dei navigatori usa effettivamente IE come browser predefinito.

Questa scelta è stata suggerita dal fatto che la stragrande maggioranza dei navigatori usa effettivamente IE come browser predefinito. Pagina 1 di 17 Installazione e configurazione di applicazioni Installare e configurare un browser Come già spiegato nelle precedenti parti introduttive di questo modulo un browser è una applicazione (lato

Dettagli

Parte II: Reti di calcolatori Lezione 9

Parte II: Reti di calcolatori Lezione 9 Università di Roma Tor Vergata Corso di Laurea triennale in Informatica Sistemi operativi e reti A.A. 2013-14 Pietro Frasca Parte II: Reti di calcolatori Lezione 9 Martedì 1-04-2014 1 Applicazioni P2P

Dettagli

Xerox SMart esolutions. White Paper sulla protezione

Xerox SMart esolutions. White Paper sulla protezione Xerox SMart esolutions White Paper sulla protezione White Paper su Xerox SMart esolutions La protezione della rete e dei dati è una delle tante sfide che le aziende devono affrontare ogni giorno. Tenendo

Dettagli

Progetto FED-Umbria. Sistema Federato per la Gestione dell Identità Digitale e dell Autenticazione degli Enti della Regione Umbria

Progetto FED-Umbria. Sistema Federato per la Gestione dell Identità Digitale e dell Autenticazione degli Enti della Regione Umbria Progetto FED-Umbria Sistema Federato per la Gestione dell Identità Digitale e dell Autenticazione degli Enti della Regione Umbria Manuale Utente (per l utente Cittadino ) * [ultimo aggiornamento 31/12/2010]

Dettagli

Servizi Legalmail componenti e funzionalità opzionali

Servizi Legalmail componenti e funzionalità opzionali Servizi Legalmail componenti e funzionalità opzionali ll cliente che aderisce al Servizio Legalmail ha la possibilità di richiedere l attivazione di una serie di componenti opzionali, gratuite e a pagamento,

Dettagli

Manuale gestione Porta di Dominio OpenSPCoop 1.1

Manuale gestione Porta di Dominio OpenSPCoop 1.1 i Manuale gestione Porta di Dominio ii Copyright 2005-2008 Link.it srl Questo documento contiene informazioni di proprietà riservata, protette da copyright. Tutti i diritti sono riservati. Non è permesso

Dettagli

Banca d Italia INFOSTAT-UIF. Istruzioni per l accesso e le autorizzazioni. Versione 1.1. Pag. 1 di 26

Banca d Italia INFOSTAT-UIF. Istruzioni per l accesso e le autorizzazioni. Versione 1.1. Pag. 1 di 26 INFOSTAT-UIF Istruzioni per l accesso e le autorizzazioni Versione 1.1 Pag. 1 di 26 INDICE 1. Istruzioni operative per l'utilizzo dei servizi INFOSTAT-UIF...3 2. Registrazione al portale INFOSTAT-UIF...4

Dettagli

Manuale Gestione di OpenSPCoop 1.4 i. Manuale Gestione di OpenSPCoop 1.4

Manuale Gestione di OpenSPCoop 1.4 i. Manuale Gestione di OpenSPCoop 1.4 i Manuale Gestione di OpenSPCoop 1.4 ii Copyright 2005-2011 Link.it srl iii Indice 1 Introduzione 1 2 Prerequisiti per la Configurazione della Porta di Dominio 1 2.1 Verifica dell applicazione di gestione

Dettagli

Il progetto AIM presso l'ao

Il progetto AIM presso l'ao Il progetto AIM presso l'ao L'azienda in pillole... Il Papa Giovanni XXIII è il più grande tra gli ospedali lombardi, con 320mila mq complessivi, oltre 900 posti letto di cui 108 di terapie intensive e

Dettagli

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie

INFORMATIVA PRIVACY. Politica ed informativa sull'utilizzo cookie INFORMATIVA PRIVACY Politica ed informativa sull'utilizzo cookie Informazioni importanti sul consenso: utilizzando il nostro sito web o la nostra app mobile («Sito»), utilizzando i servizi forniti tramite

Dettagli

Cookie: è scaduto il 2 giugno il termine per mettersi in regola con le prescrizioni del Garante

Cookie: è scaduto il 2 giugno il termine per mettersi in regola con le prescrizioni del Garante 1 di 5 04/06/2015 13:17 Cookie: è scaduto il 2 giugno il termine per mettersi in regola con le prescrizioni del Garante Stampa Invia per mail Condividi Come previsto dal Provvedimento dell'8 maggio 2014,

Dettagli

La Document Orientation. Come implementare un interfaccia

La Document Orientation. Come implementare un interfaccia La Document Orientation Come implementare un interfaccia Per eliminare l implementazione di una interfaccia da parte di una classe o documento, occorre tirarla su di esso tenendo premuto il tasto ctrl.

Dettagli

L amministratore deve infine poter decidere di inibire sulle postazioni utente programmi considerati a rischio o non graditi.

L amministratore deve infine poter decidere di inibire sulle postazioni utente programmi considerati a rischio o non graditi. Progetto Internet 1 - Premessa La predisposizione e la gestione delle postazioni internet per gli utenti è un servizio fondamentale per le biblioteche di pubblica lettura. È necessario elaborare uno strumento

Dettagli

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0

Riepilogo delle modifiche di PA-DSS dalla versione 2.0 alla 3.0 Settore delle carte di pagamento (PCI) Standard di protezione dei dati per le applicazioni di pagamento () Riepilogo delle modifiche di dalla versione 2.0 alla 3.0 Novembre 2013 Introduzione Il presente

Dettagli

Guida ai Servizi Internet per il Referente Aziendale

Guida ai Servizi Internet per il Referente Aziendale Guida ai Servizi Internet per il Referente Aziendale Indice Indice Introduzione...3 Guida al primo accesso...3 Accessi successivi...5 Amministrazione dei servizi avanzati (VAS)...6 Attivazione dei VAS...7

Dettagli

Manuale d uso Utente

Manuale d uso Utente - 1/29 Manuale d uso Utente Progetto Commessa Cliente Capo Progetto Redatto da Verificato da Lepida SpA Regione Emilia-Romagna Vania Corelli Grappadelli Fabio Baroncini Approvato da Data redazione 27/06/2013

Dettagli

Allegato A: Regole tecniche per la gestione dell identità.

Allegato A: Regole tecniche per la gestione dell identità. Allegato A: Regole tecniche per la gestione dell identità. Allegato A: Regole tecniche per la gestione dell identità. Art. 1. Aventi diritto alle Credenziali-People 1. Per l accesso ai Servizi-People sviluppati

Dettagli

L Hotspot che Parla Ai Tuoi Clienti. FacileWifi.it

L Hotspot che Parla Ai Tuoi Clienti. FacileWifi.it L Hotspot che Parla Ai Tuoi Clienti FacileWifi.it IL PRODOTTO Il Facile Wifi è un sistema di autenticazione ad internet per reti wireless (HotSpot) e cablate ideato per unire la massima praticità di utilizzo

Dettagli

Politica sui cookie. Introduzione Informazioni sui cookie

Politica sui cookie. Introduzione Informazioni sui cookie Introduzione Informazioni sui cookie Politica sui cookie La maggior parte dei siti web che visitate utilizza i cookie per migliorare l'esperienza dell'utente, consentendo al sito di 'ricordarsi' di voi,

Dettagli

Evasione. Evasione. Vendite. Magazzini Immagini

Evasione. Evasione. Vendite. Magazzini Immagini Schema di funzionamento del Carico da Ordini Ordine Archivio di Transito Univoco Evasione Codifica Controllo Articoli Generico Evasione Movimenti Documenti Giacenze Testata Scadenze Vendite Dettaglio Ingrosso

Dettagli

Introduzione ad Active Directory. Orazio Battaglia

Introduzione ad Active Directory. Orazio Battaglia Introduzione ad Active Directory Orazio Battaglia Introduzione al DNS Il DNS (Domain Name System) è un sistema utilizzato per la risoluzione dei nomi dei nodi della rete (host) in indirizzi IP e viceversa.

Dettagli

PRIVACY POLICY. Tipi di dati trattati

PRIVACY POLICY. Tipi di dati trattati PRIVACY POLICY In questa pagina si descrivono le modalità di gestione del sito in riferimento al trattamento dei dati personali degli utenti che lo consultano. Si tratta di un informativa che è resa anche

Dettagli

Definizione di normalizzazione

Definizione di normalizzazione Definizione di normalizzazione Il termine normalizzazione indica il processo di organizzazione dei dati in un database. Tale processo comprende la creazione di tabelle e la definizione di relazioni tra

Dettagli

Servizio di Posta elettronica Certificata Estratto Manuale Operativo

Servizio di Posta elettronica Certificata Estratto Manuale Operativo Servizio di Posta elettronica Certificata Estratto Manuale Operativo Modalità di Accesso al Servizio e istruzioni per configurazione client Outlook Express PEC @certemail.it Posta Elettronica Certificata

Dettagli

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it)

Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Centro Infosapienza Ufficio gestione sistemi Settore sistemi centrali e per l office automation Gestione password per le utenze del dominio di autenticazione AMM (amm.dom.uniroma1.it) Sommario 1. Premessa...

Dettagli

PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Come viene associato un insegnate alla scuola? Cos è il Codice scuola?

PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Come viene associato un insegnate alla scuola? Cos è il Codice scuola? PIÙ IN DETTAGLIO Come si crea una scuola virtuale? Quando si compila il modulo di registrazione, selezionare l opzione scuola.una volta effettuata la registrazione, si può accedere a un ambiente molto

Dettagli

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO

QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO QUATTRO BUONE PRATICHE PER L IMPLEMENTAZIONE DI UNA TECNOLOGIA PER LA DIDATTICA DI SUCCESSO Report globale e suggerimenti Gennaio 2013 Autore: Filigree Consulting Promosso da: SMART Technologies Executive

Dettagli

Workgroup. Windows NT dispone di due strutture di rete

Workgroup. Windows NT dispone di due strutture di rete Descrizione generale dell architettura del sistema e dell interazione tra i suoi componenti. Descrizione del sottosistema di sicurezza locale. Descrizione delle tecniche supportate dal sistema per l organizzazione

Dettagli