Identità Federate. un possibile strumento a supporto della cooperazione applicativa inter-aziendale

Transcript

1 Identità Federate un possibile strumento a supporto della cooperazione applicativa inter-aziendale Andrea Carmignani Senior IT Infrastructure Architect

2 Agenda Overview dell Identity Federation Esperienze in Italia e all estero Trend di Mercato Conclusioni 2

3 Nuovi Driver di Business e Tecnologici richiedono nuove strategie per la gestione e la propagazione dell identità digitali Driver di Business: Outsourcing; Iniziative di business basate su modelli di collaborazione; Fusioni Aziendali; Software as a Service (SaaS); Driver tecnologici: Service Oriented Architecture; Cloud Computing; Virtual Desktop; 3

4 I modelli di gestione delle identità digitali si stanno evolvendo verso una centralità dell utente User User Centered Identità Identità fornita fornita dall utente dall utente Elevata Elevata interattività interattività Internet, web 2.0 User User Controlled Utilizzo Utilizzo dell identità dell identità sotto sotto Il Il controllo controllo dell utente dell utente Possibili Possibili scenari scenari di di interattività interattività User User Consented Utilizzo Utilizzo dell identità dell identità controllata controllata da da Authorities Authorities alle alle quali quali l utente l utente ha ha fornito fornito delega delega in in virtù virtù di di un un contratto contratto Interattività Interattività non non prevista prevista Corporate, intranet 4

5 Il problema delle Identità Multiple Approccio Tradizionale Un utente ha un numero distinto di identità, una per ogni Organizzazione. Duplicazione delle informazioni personali, di identità, di autenticazione Approccio Federato Un utente ha la possibilità di autenticarsi presso una organizzazione e poi fruire in modo trasparente di servizi esterni Identity 1 Company Company A A Identity Company A Identity Provider Identity 2 Company Company B B Linked Account Company B Identity 3 Company Company C C Linked Account Company C Service Providers Identity 4 Company D Company D Linked Account Company D Frustante per l utente Costoso per le organizzazioni Una migliore User Experience Abilitante per economie di scala 5

6 Il Significato della Federazione Dal punto di vista formale, con il termine Federazione si intende a) La capacità di un organizzazione di riconoscere ed autorizzare identità esterne al proprio perimetro organizzativo b) La relazione esistente fra due entità c) Un associazione comprendente un qualsiasi numero di Service Provider ed Identity Provider La Federazione richiede un infrastruttura di Trust su cui i modelli di Business Federati vengono implementati I modelli di Business devono contemplare: Scenari di cooperazione adottati; Agreement su tipologia formato e sintassi dei dati da trasmettere 6

7 Un esempio di Federazione Il passaporto L identità federata è come il passaporto Ne esiste uno per ogni nazione Ognuno ha un solo passaporto Local Passport Authority Esiste un Trust fra le nazioni Il passaporto è accettato da nazioni straniere Il passaporto verifica la nostra identità all estero Per andare all estero quindi serve un passaporto Ottenuto dalle autorità locali Previa verifica dell identità Immigration 7

8 F-SSO e Cooperazione applicativa come scenari tipici Identity Provider Roaming User 2 Identity Provider è responsabile della gestione delle Identità degli utenti 1.Crea/Gestisce le credenziali 2.Gestisce il ciclo di vita delle utenze 3.Autentica gli utenti 4.E il Garante riguardo l identità degli utenti 2 Employee Server Provider Employee 1 Application A Enterprise A FSSO di un Utente Esterno 3 Application B Enterprise B IBM 2009 Service Provider controlla l accesso ai servizi 1.Ha piena fiducia nelle asserzioni di Identità provenienti dall IdP 2.Fornisce accesso basato sulle asserzioni ricevute 3.Gestisce solo attributi utente locali FSSO di un Utente Interno Cooperazione applicativa 8

9 Agenda Overview dell Identity Federation Esperienze in Italia e all estero Trend di Mercato Conclusioni 9

10 La Federazione nella Pubblica Amministrazione Il Trend Europeo Trattato Lisbona 2007 Conferenza egovernment Europea: Ogni paese dell Unione europea deve garantire interoperabilità con ogni stato membro (cross border interoperability); Ogni paese deve agire per ridurre la burocrazia (reduction of administrative burdens) per il cittadino; quest ultimo deve avere accesso semplificato ai servizi dell amministrazione pubblica; Conseguenze: Ogni paese membro si deve dotare di un framework per interoperabilità che permetta alle sue agenzie, ai suoi cittadini e ad ogni partner di interagire con standard e politiche condivise; Anche il piano industriale per l innovazione E-Gov 2012 richiede esplicite azioni per l evoluzione e l adozione della cooperazione applicativa; 10

11 FGW Global Technology Services Risk Management Services La Federazione nella Pubblica Amministrazione L esperienza Italiana L Italia dal canto suo ha sviluppato il Sistema Pubblico di Connettività (SPC) Uno degli obiettivi dell SPC è proprio quello di garantire la federazione delle infrastrutture IT della Pubblica Amministrazione SAML SP DGW DGW DGW 11

12 La Federazione nella Pubblica Amministrazione Use Case CNIPA Utilizzo Applicazione Federata in modalità Nomade Utilizzo Applicazione Federata tramite Cooperazione Applicativa Attribute Auth Registry Service Authority Registry Service Attribute Auth Registry Service 2 Recupero lista IdP/PA Federate Verifica Identità 4 6 User 5 Associazione Profilo Recupero URI A.A. 7 Verifica Attributi 1 8 Richiesta Accesso Al Servizio Accesso Al Servizio GW Amministrazione B Service Provider User 1 Richiesta Servizio All interno della propria Amministrazione Verifica Identità Amministrazione A Associazione Profilo Recupero URI A.A. 5 PDD Verifica Attributi 6 Cooperazione Applicativa PDD Amministrazione B Erogatore Identity Provider Profile Authority Attribute Authority 3 Ridirezione dell utente verso l IdP di appartentenza Identity Provider Profile Authority Attribute Authority 12

13 Agenda Overview dell Identity Federation Esperienze in Italia e all estero Best Practice & Trend di Mercato Conclusioni 13

14 L utilizzo di un nuovo paradigma per la gestione delle identità causa cambiamenti in vari ambiti Privacy Audit Mind-set, Necessità di di nuovi skill skille tecnologie 14

15 Federazione e Privacy, alcune possibile best practice 1. User Centered, l IDP dovrebbe ricevere conferma dall end user prima di qualsiasi invio di informazioni verso un SP. L End User dovrebbe poter scegliere quali attributi fornire; 2. Minimalism, l IDP dovrebbe trasmettere solo le informazioni strettamente necessarie all SP per erogare il servizio; 3. Activity Tracking, le informazioni inerenti l utilizzo dei servizi non dovrebbero essere utilizzate per scopi diversi da quello di audit 4. Notice, l Identity Provider dovrebbero fornire agli end user informazioni riguardo le loro autenticazioni 5. Termination, in caso un IDP cessi di fornire il servizio dovrà continuare a proteggere i dati inerenti PII o distruggerli 15

16 Come fare Audit in un mondo federato? Chi è responsabile in caso di frode? L IDP autentica l utente ma non ha visione della azioni intraprese sull SP Deve garantire che il processo di identificazione ed autenticazione sia robusto e conforme agli accordi sanciti (es: metodo di autenticazione) L SP non necessariamente conosce i dettagli riguardo l identità dell utente a cui sta erogando il servizio (es: Matricola, Codice Fiscale, Stringa Alfanumerica complessa a piacere) Deve garantire che il profilo autorizzativo sia corretto rispetto agli accordi di business sanciti con i partner Il classico log di autenticazione ed accesso al servizio è diviso fra IdP e SP L approccio classico confinato all interno di una sola azienda deve evolversi anch esso verso un approccio federato. All interno degli agreement con i partner ci dovrebbero essere almeno: le casi e le modalità con cui accedere alle informazioni inerenti i log altrui; le responsabilità di ognuno dei partner per quanto concerne la sicurezza e la privacy dei dati; Le informazioni di Audit ora divengono anche uno strumento di charging! 16

17 Possibili fattori inibitori verso una veloce adozione della federazione Ad oggi le difficoltà più diffuse nell adozione delle identità federate si possono riassumere in: Difficoltà nel definire effettivi scenari di utilizzo, molte volte il mindset dei clienti è radicato in una gestione centralizzata delle utenze e dei servizi Scarsi skill riguardo gli standard alla base della federazione: SAML, Liberty Alliance, Shibboleth; Ws-Security, WS-policy, Ws-Security Policy, WS-Federation; Sbagliato utilizzo degli standard, il connubio dei punti precedenti tende a far utilizzare gli standard per scopi non propriamente idonei; Prodotti non sempre maturi per supportare le visione di business del cliente; Soluzione Education 17

18 Quanto la federazione è un effettivo beneficio? Nonostante gli impatti, che naturalmente l adozione di una nuovo paradigma introduce, la gestione federata delle identità digitali è un fattore abilitante in termini di: Riduzione dei costi: minori costi di gestione dell Identity Management tramite F-SSO e WS; riduzione della complessità associata allo sviluppo delle applicazioni; riuso dei servizi IT esistenti; possibilità di outsourcing; Aumento dell efficienza: efficienza: integrazione dei processi di business; sicurezza End-to-End nei processi di Cooperazione; time to market; quality of service (user experience); 18

19 Enterprise 2.0, propagare l identità diviene una esigenza di business Business Process-as-a-Service Sempre più società offrono i propri prodotti CRM e ERP come servizi remotizzati Application/Software-as-a-Service Crescono nuove offerte di prodotti di - virtual desktop, - remote communication & collaboration E-Government Service A livello internazionale le amministrazioni stanno promuovendo inziative di E-Government Federato Infrastructure as Service I grandi player tecnologici cominciano ad offrire servizi virtualizzati di Storage e Computing 19

20 Agenda Overview dell Identity Federation Esperienze in Italia e all estero Best Practice & Trend di Mercato Conclusioni 20

21 Conclusioni Cosa ricordare Gestione Federata delle identità significa condividere informazioni certificate inerenti l identità di un utente fra varie entità all interno di un dominio di trust; Standard e prodotti permettono di trasferire identità ed informazioni correlate da una Trusted Autententication Entity (IDP) verso una Authorization Entity (SP) per l autorizzazione e l accesso al servizio; Interesse crescente per i protocolli alla supporto della federazione come Security Assertion MarkupLanguage (SAML) e Active Directory Federation Services (ADFS); Interesse crescente in molte aziende nel ricoprire il ruolo di IDP nei confronti di business partner o application service providers (ASP); ASP e Software-as-a-Service (SaaS) provider cominciano a fornire supporto per la federazione così da offrire il single sign-on ai i propri clienti; L adozione di questo nuovo paradigma è risultato più lento rispetto a quanto atteso inizialmente, soprattutto a causa della mancanza di partner pronti tecnologicamente e alla mancanza di business case. Recentemente si sta riscontrando una accelerazione; 21

22 Conclusioni - Quando usarla L utilizzo di un approccio federato risulta utile e risolutivo per una azienda quando: gestisce l accesso ai suoi sistemi per un grande numero di utenti esterni gestiti/appartenenti ad altre organizzazioni i suoi utenti sono regolarmente autenticati da terze parti (se ad esempio l azienda ha dei servizi in outsourcing) Oppure L azienda è composta da unità multiple ognuna con il suo sistema di identity e access management in cui non si è potuto uniformare l infrastruttura; Il ROI più alto si ha quando si implementa una federazione bidirezionale in cui ogni partner ricopre sia il ruolo di IDP che di SP 22

23 Conclusioni Il futuro L utilizzo delle federazione ha trovato una forte applicazione inizialmente nel mondo accademico per poi cominciare a fare i primi passi nel mondo Public ora che gli standard sono maturi; Cominciano a delinearsi scenari di business abilitanti; Le previsioni sono incoraggianti, Software as a Service, Cloud Computing e E-Government Transformation possono fornire il volano per un adozione estesa del paradigma federato; Il futuro della federazione dipenderà in gran parte da: il successo delle previsioni riguardo la penetrazione nell IT di questi nuovo modelli di cooperazione l aumento degli scenari di business basati sul riuso di asset di terze parti così come dell outsourcing (cloud e non), non solo nel mondo Public ma anche in altre industry come Telco, Travel & Trasportation, Utilities; La capacità degli standard di continuare ad evolversi per fornire strumenti al passo con le esigenze di business 23

24 THANK YOU Andrea Carmignani