A.R.P.A. Identificazione ed accesso Giornata di lavoro RTRT 26 Ottobre 2009
A.R.P.A. Autenticazione Ruoli Profili Applicativi
A.R.P.A. Obiettivi Realizzazione di un infrastruttura di autenticazione ed accesso sicuro ai servizi di Regione Toscana e di RTRT autenticare gli utenti in modo sicuro di verificarne il ruolo o qualifica posseduto offrire all'utente un desktop personalizzato
A.R.P.A. @ Internet 2.Riconosce utente e assegna uno o più ruoli 3. Passa credenziali (Ruolo/CF/attribu ti) alla applicazione 1.Autenticazione tramite certificato digitale Federazione di portali di accesso sicuro
A.R.P.A. consente di identificare il soggetto che utilizza strumenti quali certificati digitali su smart card. reperire le credenziali utili a determinarne l abilitazione all accesso e il profilo applicativo attraverso l'interrogazione dei certificatori di ruolo. proteggere i servizi da accessi non consentiti.
A.R.P.A. Componenti
A.R.P.A. Componenti Sistema di access management che consente accesso a servizi distribuiti e quindi non necessariamente esposti mediante lo stesso front-end. Configurabile per le C.A. accettate e diversi formati dei certificati digitali. Estendibile nei meccanismi di autenticazione.
A.R.P.A. Componenti RoleManager : componente in grado di ricercare ed aggregare le info utente disponibili sulla rete. Indipendente dalle rappresentazioni locali dei dati. Può essere utilizzato direttamente dai servizi per applicare regole di autorizzazione.
A.R.P.A. vantaggi per la P.A. Estendere la fruibilità dei servizi ad altre utenze ( cittadini o funzionari provenienti da ambiti territoriali o amministrativi diversi) Condividere l infrastruttura per la verifica dei ruoli o qualifiche dichiarati dall utente Mantenere il controllo sulle politiche di accesso ai propri servizi
A.R.P.A. vantaggi utenti Gli utenti inseriscono un identificativo di accesso unico che gli permette di accedere a tutte le risorse a cui è autorizzato. Gli utenti visualizzano solo le risorse di loro interesse.
A.R.P.A. per RTRT In linea con le specifiche dell'egovernment. Un dominio rende accessibili i propri servizi ad un altro dominio. Il dominio servente si fida del processo di assegnazione dell identità digitale del dominio esterno. Se gli scenari di cooperazione prevedono un accesso ai servizi ristretto a specifiche categorie di utenza, la mutua fiducia è estesa all attribuzione dei ruoli ed alla loro semantica.
A.R.P.A. per RTRT Accordi di business tra Regione Toscana e altre P.A. per stabilire le modalità e le responsabilità sulle erogazioni dei servizi secondo un modello federato, indirizzato a garantire piena autonomia sui propri domini applicativi e di rete. Gestione della fiducia tra le organizzazioni, attraverso strumenti crittografici a chiave pubblica (PKI), per garantire l'autenticità, l'integrità e confidenzialità delle transazioni d'identità. Utilizzo di standard (SAML) per la scambio dell'informazioni relative alle asserzioni di sicurezza tra le organizzazioni/enti.
A.R.P.A - Nodo regionale ARPA RTRT Dominio Extra ARPA Dominio di federazione
Quali vantaggi dall'integrazione in A.R.P.A.?
Integrazione come Service Provider Espongono servizi che saranno utilizzabili da tutti gli utenti che accedono all'infrastruttura.
Vantaggi Service Provider Trovano risolte le problematiche di sicurezza di identificazione e autorizzazione ( più evoluzioni) Evitano di dover censire e abilitare gli utenti Moltiplicano il bacino di utenti Possono utilizzare il meccanismo di delega
Vantaggi Service Provider Mantegono il controllo sugli accessi Accedono in modo trasparente alle informazioni utente indipendemente dalla fonte dati autorevole che le possiede Promuovono il proprio servizio (desktop personalizzato dell'utente)
Vantaggi Service Provider L'integrazione con ARPA permette il mantenimento di altri meccanismi di autenticazione e autorizzazione propri del servizio specifico.
Integrazione come Attribute Provider Valorizzano la loro attività di gestione delle informazioni del proprio dominio, le condividono con la rete e permettono agli utenti di accedere a servizi dedicati per ruolo.
Vantaggi Attribute Provider Espongono le informazioni alla rete attraverso un unico servizio. Espongono le informazione nel proprio dialetto. Vengono interrogate una sola volta per utente nell'intervallo temporale di validità dell'informazione.
Vantaggi Attribute Provider In caso di impossibilità temporanea di erogare il servizio: L'impatto è limitato. (limitato agli utenti che necessitano aggiornamento delle info in quel specifico periodo). Se più Attribute Provider espongono la medesima info possibilità di sussidarietà. Monitoraggio da parte dell'infrastruttura.
Integrazione come Identity Provider Vantaggio: Valorizzano la loro attività di gestione delle utenze del proprio dominio permettendo agli utenti di accedere a servizi terzi.
Integrazione Gli Enti assumono varie connotazioni nell'ambito dello stesso scenario.
I servizi offerti
Auth (ARPA=IdP) Configurazione delle C.A. accettate Flessibilità nella definizione della struttura del certificato Verifica delle policy e liste di revoca Estendere i meccanismi di autenticazione con strumenti diversi da certificati digitali su smartcard
Ruoli (ARPA=AA) Interrogazione dei ruoli definiti a livello regionale secondo meccanismi standard di RTRT (RFC). Logica del ruolo non iscritta nelle fonti dati. In corso di definizione: avvocato, medico di pronto soccorso, amministratori (incarichi politici),operatore PA. Estendere i meccanismi di interrogazione secondo gli standard nazionali (icar-task-inf3)
Fonti dati(arpa=aa) Disponibile RFC per l'implementazione In corso di attivazione: Albo degli avvocati (10 fonti,una per provincia) Imprese» Legale rappresentante» Titolare della ditta individuale» Institore» Procuratore Ottimizzazione delle query e miglioramento delle performance
Come avviene l'integrazione in A.R.P.A.?
ARPA RTRT Dominio Extra ARPA Dominio di federazione
Integrazione come Fonti Dati Non esiste una fonte`globale' fonti o Attribute authorities possono certificare sottoinsiemi in generale distinti di attributi Servizi distinti possono richiedere sottoinsiemi diversi di attributi per consentire l'accesso a risorse protette Esempio: dati personali, qualifiche professionali, etc.. Le singole
Integrazione come Fonti Dati Esporre un servizio che permetta l'interrogazione. Documentazione degli attributi che si mettono a disposizione. In fase di redazione RFC Disponibile una reference implementation.
Integrazione come Fonti Dati La certificazione del ruolo avviene interrogando una o più fonti dati esterne distribuite sul territorio Le Attribute Autority espongono le fonti dati attraverso cui reperire/verificare i ruoli e gli attributi associati Le credenziali utente così realizzate costituiscono di fatto l identità digitale dell utente collegato, autenticato ed autorizzato
ARPA RTRT Dominio Extra ARPA Dominio di federazione
Arpa Common(SP in ARPA) Basso impatto sul codice (si implementa o si sostituisce il solo componente di autenticazione). Trasparenza per l'utente. Semplicità di sviluppo(tutorial, supporto...). Possibile hosting su ambienti tix.
Arpa Common(SP in ARPA) Applicazioni J2EE. Necessita di Policy agent sul frontend. Necessita di certificati digitali sui sistemi. Colloquia con il sistema di access. management.
Arpa Common(SP in ARPA) lato sviluppo Le applicazioni accederanno indirettamente alle informazioni tramite una libreria appositamente sviluppata. Le risorse potranno quindi senza dover tenere conto della rappresentazione e dell accesso alle informazioni relative all utente preoccuparsi delle sole problematiche applicative, delegando totalmente i problemi di autenticazione e autorizzazione all infrastruttura.
Arpa Common(SP in ARPA) lato sviluppo - ArpaSSOProxyFactory: classe astratta che implementa il factory pattern per ottenete un oggetto ArpaSSOProxy; ArpaSSOProxy: interfaccia principale per interrogare l'infrastruttura ARPA fornisce informazioni riguardo l'utente che sta accedendo, i suoi ruoli e gli attributi. In caso l'utente stia lavorando per conto di un altro utente (delega) fornisce anche l'identità del delegante e i ruoli e gli attributi che sono stati delegati
Arpa Common(SP in ARPA) lato sviluppo - ArpaUser: rappresentazione di un utente nell ambiente dell'infrastruttura ARPA, espone i metodi per individuare nome cognome data e luogo di nascita e codice fiscale. ArpaRole: rappresentazione di un ruolo: nell'infrastruttura ARPA i ruoli sono organizzati in modo gerarchico e hanno un comportamento tipico dell'ereditarietà;
Reverse Proxyng rewriter (SP in ARPA) Vantaggi: Qualsiasi tecnologia per lo sviluppo.
Reverse Proxyng rewriter (SP in ARPA) Vincoli: Gestione sicurezza tratta reverse proxy Service provider. Limiti dati dalla riscrittura dei meccanismi di riscrittura (flash, javascritp particolarmente complessi, url assolute e relative).
Reverse Proxyng rewriter (SP in ARPA) Vincoli: Gestione sicurezza tratta reverse proxy Service provider. Limiti dati dalla riscrittura dei meccanismi di riscrittura (flash, javascript particolarmente complessi, url assolute e relative).
Fedlet (SP in ARPA) Vantaggi: Utilizzo di standard aperti: SAML1.1 e 2.0, ID-FF 1.2, WS-Federation 1.1 ID-WSF 1.1, WS-Security (WS-I BSP) Stessi vantaggi ArpaCommon minori vincoli
Fedlet (SP in ARPA) Vantaggi: Semplicità di installazione in quanto sarà distribuito un pacchetto standard da configurare.
ARPA RTRT Dominio Extra ARPA Dominio di federazione
Federazione saml (IdP SP extraarpa) Vantaggi Federazione tra domini portali bidirezionale Trust completo delle credenziali utente Trust dei ruoli e attributi
Federazione saml (IdP SP extraarpa) Vincoli: Uso di SAML post profile Studio per mapping attributi e ruoli utente Sviluppo/configurazione per rispettare il mapping Federazione tra portali (non sempre accesso diretto alle risorse)
Come procedere?
Gruppo di lavoro Modalità di diffusione della Infrastruttura sugli Enti di RTRT Modellazione dei ruoli di interesse per RTRT ( ruoli propri delle P.A.,ruoli nati dalle esperienze territoriali) Progettazione delle interfacce delle componenti infrastrutturali : verifica delle attuali implementazioni e possibili evoluzioni
Adesione all'infrastruttura Ricognizione dei servizi disponibili sul territorio Analisi dello scenario di integrazione Formazione Supporto
Grazie Per accedere: Documentazione: Gruppo di lavoro: https://accessosicuro.rete.toscana.it http://www.e.toscana.it http://www.rtrt.it Contatti: arpa-help@regione.toscana.it Gruppo RT: laura.castellani@regione.toscana.it grazia.ugolini@regione.toscana.it luca.bonuccelli@regione.toscana.it Autenticazione Ruoli Profili Applicativi