Servizio L2.S1.2 - Identity & Access Management (I&AM)

Documenti analoghi
Gestione del Profilo

GEOTOPONOMASTICA rel

GEODETECTIVE rel

KAF Kirey Adempimenti Fiscali Modello 770

Manuale. Sistema Informativo Unitario Lavoro

Sicurezza dei dati: requisiti e gestione

Manuale. Sistema Informativo Unitario Lavoro

VERIFICA FUNZIONAMENTO CERTIFICATO DIGITALE VERIFICA FUNZIONAMENTO CERTIFICATO DIGITALE

4.2.2 Inserimento dipendenze dal repository nexus di Linea Comune

INDICE INTRODUZIONE PROVA IL SITO DEMO. Credenziali Amministratore Username: icedolini.it Password: cedolini

Servizi in Cloud per la sicurezza e l automazione

Guida Pubblica Amministrazione

Il protocollo informatico: T.U. 445 e circolare AIPA/CR/28

Gestione Ingresso Imprese Esterne

L area del Docente Versione Agosto 2017

Stat Express. In cosa consiste?

Invito a manifestazione di interesse per procedure negoziate ex art. 36, comma 2, lettera b) D. Lgs. 50/2016

SCUOLA IN CHIARO GUIDA OPERATIVA

HOWTO. SER_Configurazione_OpenSIPS_per_Load_Balancing.doc

Il Progetto Wi- Life Station

Architettura e caratteristiche della IaaS di OCP

E.C.M. Educazione Continua in Medicina. Servizi web. Manuale utente

CONTO TERMICO. Modalità semplificate per il conferimento del mandato irrevocabile all incasso

Guida all utilizzo delle Liste di distribuzione docenti-studenti per DOCENTI

te (MU) Servizio 1.0

PROGETTO TESSERA SANITARIA MANUALE D USO

POLITICA DELLA QUALITA TOTALERG

Piattaforma per la Governance della Formazione L area del Docente

Procedura Privacy N P 02 DATI PERSONALI

Accordo di Programma Quadro in materia di e- Government e Società dell Informazione nella Regione Puglia

Informativa estesa sull uso dei cookie

SITO WEB ISTITUZIONALE

TRASMISSIONE TELEMATICA DEI CORRISPETTIVI

Privacy Policy di

IDEAL REMOTE IDEAL Remote ti consente di controllare da remoto i tuoi sistemi Windows (da Windows NT a Windows 2012 Server), macos e Linux.

Valutazione obiettivi Manuale operativo del valutatore

Manuale Operativo del Servizio TIM ID in ambito SPID. (Sistema Pubblico di gestione delle Identità Digitali ai sensi del DPCM 24 ottobre 2014)

AUCHAN spa. Progetto Benessere Regolamento relativo alla selezione Prodotti Blu

POR CALABRIA FESR/FSE COMITATO DI SORVEGLIANZA Cosenza, 10 Luglio Informativa sullo scambio elettronico dei dati

Lombardia Informatica

FATTURA ELETTRONICA PA

VALUTAZIONE ED ACCREDITAMENTO DEI FORNITORI

Contratto Quadro SPC Cloud Lotto 1 Introduzione nuovo servizio Managed Services Piano di Attivazione

Manuale Operativo del Servizio TIM ID in ambito SPID. (Sistema Pubblico di gestione delle Identità Digitali ai sensi del DPCM 24 ottobre 2014)

REGIONE LOMBARDIA Sistemi Monitoraggio Emissioni (SME) Relazione Tecnica agli Organi Competenti per applicazione allo SME del Protocollo AEDOS

INPS. Area Aziende. Funzionalità Contatti del Fascicolo elettronico. Manuale Utente Funzionalità Contatti

Nuovo Sistema Cartografico SGR per le reti Gas

Manuale Operativo del Servizio TIM ID in ambito SPID. (Sistema Pubblico di gestione delle Identità Digitali ai sensi del DPCM 24 ottobre 2014)

Invito a manifestazione di interesse per procedure negoziate ex art. 36, comma 2, lettera b) D. Lgs. 50/2016

Allegato 1 DESCRIZIONE DEL SISTEMA DI BACKEND

Via F. Lana, FLERO (BS) Tel Fax gruppo axelera.

IDEAL ADMINISTRATION 19

Fatturazione Elettronica Prepariamoci alla ricezione accedendo al sito dell AdE

Market Connect Feed. Descrizione dell architettura tecnica

ATLAS Installazione : INSTALLAZIONE DI ATLAS SUL CLIENT e successive

Procedura Privacy N P 02 FIGURE ED INCARICHI SISTEMA DI GESTIONE DATI PERSONALI

1. Manuale Panoramica di Sistema

Regolamento Aziendale

Techinnova S.r.l. Sede operativa in Lombardia: Via Carlo Crivelli 15/ Milano Sede amministrativa: Via G. B. De Vittori, Saltrio (VA)

PROFILI PROFESSIONALI

LEVERANO FARMACIA COMUNALE SRL PIANO TRIENNALE DI PREVENZIONE DELLA CORRUZIONE

SOMMARIO SISTEMA INFORMATIVO SOCIO-SANITARIO MANUALE UTENTE AGGIORNAMENTI DELLE VERSIONI...2 SOMMARIO...3

SOMMARIO SISTEMA INFORMATIVO SOCIO-SANITARIO MANUALE UTENTE AGGIORNAMENTI DELLE VERSIONI...2 SOMMARIO...3

Anticipazione Finanziaria Domanda Unica 2016 AGEA. Manuale operativo Modulo per le banche convenzionate Versione 1.1 del 27 maggio 2016.

A chi si rivolge 3 Vantaggi 6 Caratteristiche 7. Funzionalità 9

E' DISPONIBILE UN HELP-ON-LINE, IL CUI LINK È PRESENTE NELLA PARTE BASSA DELLA SCHERMATA PRINCIPALE DELLA FUNZIONE.

Procedura operativa per l'organizzazione del servizio alternativo di fornitura gas mediante carri bombolai

Procedura Privacy N P 02 DATI PERSONALI

Sistema GeKo / SVM per Operatori Indipendenti

- effettuare la registrazione per l utilizzo del modulo Albo fornitori

Alle OO. SS. Oggetto: Organico di diritto per cattedre di sostegno a.s

1.A Servizio di Assistenza Fiscale Diretta ON LINE

ISTQB Partner Program in Italia. V 2 del 23 Maggio 2014

Specifiche tecniche per l interoperabilità tra i sistemi regionali di FSE. Versione 24 Giugno 2014

FASTWEB - ADDESTRAMENTO

Condizioni di Garanzia per apparecchi LED

Di seguito, descriviamo e illustriamo con esempi concreti il rilevamento dell item L (incl. item supplementare) per pazienti

ACI Manuale di Conservazione Automobile Club di Prato

AMMINISTRAZIONE DI DATABASE MICROSOFT SQL SERVER 2000

Ministero della Pubblica Istruzione

Comune di Montecchio Precalcino (VI) Settore 1 Affari Generali - Servizi alla Persona e alla Comunità Servizio Informatizzazione

HR-COMUNICAZIONI rel

Note Legali - Modalità e condizioni di utilizzo del sito web

MODULO DI RICHIESTA AGGIORNAMENTO DELL ISTANZA: AGGIORNAMENTO, INSERIMENTO O CANCELLAZIONE RESPONSABILI TECNICI E AMMINISTRATIVI (PERSONE FISICHE)

Assegno alle famiglie con almeno tre figli minori. Il contributo per l anno 2013 è pari a max 1.813,37.

ALTA VELOCITA SIMMETRICA

Note di Installazione

POLITICA DI GESTIONE DEI CONFLITTI D INTERESSE

Modello 730/2019: proposta di servizio per l'assistenza fiscale con Assocaaf

egov.ti. Panoramica di egov.ti., moduli, funzionalità della soluzione, modalità di fruizione e architettura

Promemoria per l utilizzo dei servizi di interoperabilità del SIGEC WEB

Le soluzioni MBI a supporto del cinema digitale

Pagina Personale Studente. Guida Utente

A chi si rivolge 3 Vantaggi 3 Caratteristiche 4. Funzionalità 6

Sommario GECOM F24. Tipo Documento: Implementazioni. Gestione Modello F24. Modulo: Versione / Build: / Data Aggiornamento: 20/05/2016

Transcript:

Servizi L.S. - Identity & Access Management (I&AM) L Access Manager rappresenta un cmpnente sftware che regla l access alla risrsa gestita da un Service Prvider (SP). Il servizi I&AM ha quindi cme finalità primaria la gestine delle attività d identificazine ed autenticazine tramite Identity Prvider accreditati e, in cmpleta autnmia, la gestine delle autrizzazini prpedeutiche all access da parte di utenti esterni (cittadini) ai prtali delle Pubbliche Amministrazini ai servizi da essa ergati in rete garantend piena cmpatibilità cn quant previst dall articl 7-ter del DL 69 del /6/03. Al fine di rispndere ai requisiti SPID definiti in (), il servizi I&AM implementa la specifica SAML nella parte relativa al Service Prvider, permettend quindi alle Pubbliche Amministrazini che espngn servizi web per il cittadin di aderire alle regle tecniche definite da SPID senza dver realizzare e/ mdificare le prprie infrastrutture tecnlgiche. Il servizi mette quindi a dispsizine delle PA una cmpnente tecnlgica in ambiente clud che, inserendsi tra il cittadin e le risrse dell Amministrazine, gestisce le richieste e, perand gli pprtuni passi di identificazine e autrizzazine, permette l access alla risrsa richiesta. Secnd le regle tecniche SPID, il fluss tip implementat è rappresentat nel diagramma seguente. ID 3-4 5 6-7 8 DESCRIZIONE Richiesta di servizi: il titlare dell identità digitale richiede access ad un servizi per via telematica cnnettendsi al sit del frnitre dei servizi Inltr vers Identity prvider: il frnitre dei servizi rimanda il titlare dell identità digitale press il prpri gestre dell identità digitale Richiesta e verifica credenziali: il gestre dell identità digitale verifica l identità del sggett sulla base di credenziali da lui accettate ed esibite dal sggett Rispsta: se la verifica ha esit psitiv, viene emessa a favre dell ergatre del servizi una certificazine (asserzine di autenticazine SAML) di autenticazine e rimanda il sggett press il frnitre dei servizi Richiesta e verifica attributi: il frnitre dei servizi può avere la necessità di verificare ulteriri attributi presenti nel prfil utente e richiesti dalle plicy di sicurezza che reglan l access al servizi per cui, in quest cas, dp aver individuat il gestri di attributi qualificati in grad di attestarne la validità, inltra a questi richiesta di certificazine presentand i riferimenti dell identità digitale per la quale si richiede la verifica. Il risultat della richiesta è l emissine di una certificazine (asserzine di attribut SAML) emessa a favre del frnitre dei servizi Verifica richiesta: il frnitre dei servizi racclte tutte le certificazini (asserzini SAML) di identità e di attributi qualificati presenti nel prfil e necessarie per l applicazine delle plicy di sicurezza relative al prfil utente del sggett richiedente l ergazine del servizi può verificarne la sussistenza e decidere se sddisfare rigettare la richiesta di servizi avanzata AgID Reglament recante le mdalità attuative per la realizzazine dell SPID (art. 4, cmma, DPCM 4/0/04)

Nella figura seguente viene rappresentat cme il servizi di Identity & Access Management prpst interagisce cn tutti gli altri elementi e attri dell inter prcess di autenticazine e autrizzazine. Figura - Servizi di I&AM Il servizi di Identity & Access Management ha cme finalità la cmpleta gestine delle attività di identificazine, autenticazine ed autrizzazine prpedeutiche all access da parte di utenti esterni al prtale dell Amministrazine ai servizi da essa ergati in rete. Il servizi deve essere cndtt cn mdalità cnfrmi ai requisiti di sicurezza richiesti dalle nrmative vigenti, e garantire la cmpatibilità cn quant previst dall articl 7-ter del DL 69 del /6/03. Il servizi di I&AM cnsiste nella gestine delle attività di identificazine, autenticazine ed autrizzazine all access ai prtali delle Amministrazine rientat ai prpri utenti esterni. Secnd il classic mdell lgic il sistema prevede due sttsistemi: Plicy Enfrcement, che si interfaccia cn il mnd estern (Identity Prvider e Attribute Authrity) al fine di ricevere le richieste per l applicazine delle plicy di sicurezza assciate alle risrse. Plicy Decisin, in grad di accedere ai i prfili degli utenti e alle plicy di sicurezza assciate alle risrse per la verifica della legittimità della richiesta. Per l autenticazine dei prpri utenti il servizi può fare ricrs ad un Identity prvider estern all Amministrazine. Per la verifica degli attributi assciati al prfil di un utente, esterni all Amministrazine, il servizi farà ricrs ad Attribute Authrity esterne. Il servizi cmprende la gestine delle plicy di access ai servizi e la gestine del cicl di vita dei prfili utente. Deve essere prevista la suddivisine degli utenti in gruppi mgenei (RBAC). Il gestre del servizi di I&AM prevede, su richiesta, la presa in caric e la migrazine dei prfili utente gestite dall amministrazine.

Cas d us ID 3 4-7 8 9 0 DESCRIZIONE L utente (cittadin), che vule utilizzare i servizi resi dispnibili da un'amministrazine, si cllega al prtale della PA e iniziare la navigazine Il Pint f Cntact (PC) intercetta la richiesta dell utente di accedere a risrse prtette da autenticazine e gli presenta la lista degli IdP federati, tra i quali l utente può individuare e selezinare il prpri L IdP, a secnda del livell di autenticazine richiest, presenta all utente il challenge di autenticazine (utente+passwrd, ppure utente+passwrd+otp, ppure utente+passwrd+certificat digitale) che inserirà le prprie credenziali. Ad autenticazine avvenuta, l IdP emette un asserzine di SAML Authenticatin Respnse che viene inviata al Pint f Cntact e si verifican i seguenti tre casi: Creazine Utente - nel cas di utente nn registrat all intern del servizi I&AM, si prvvede alla creazine autmatica del nuv utente sul Plicy Stre Aggirnament Attributi - se l utente è già presente, gli attributi dell identità ricevuti dall IdP dispnibili dalla SAML Assertin sn aggirnati Arricchiment (pzinale) viene cmpsta una query per le Attribute Authrity qualificate. Tale pass è funzinalmente eseguit (indicat quindi cme pzinale) se e sl se presenti eventuali attributi da validare tramite Attribute Authrity certificate AgID In base alla rispsta dell IdP, il Pc, tramite il Plicy Decisin Pint, decide se cncedere l autrizzazine all utente. In cas di permessi insufficienti il fluss s interrmpe senza ergazine del servizi. Il PC incapsula gli attributi dell utente e i prfili applicativi, li invia all applicazine che ergherà il servizi L Amministratre della PA, tramite interfaccia Web, gestisce i prfili utente, dalla lr creazine, mdifica e rimzine. Tecnlgie e prdtti di riferiment In quest paragraf è descritta l architettura applicativa del sistema di I&AM. Il cmpnente principale di quest sistema è rappresentat dal prdtt IBM Security Access Manager. Di seguit le cmpnenti dell architettura applicativa che cstituiscn la piattafrma di ergazine servizi: SAML Federatin Gateway: realizzat tramite la sluzine IBM Security Federated Identity Manager, frnisce l strat applicativ necessari per la gestine dei servizi utili alla realizzazine delle dinamiche dell standard SAML. Specificatamente il mdul SSO Security Service garantisce le primitive necessarie per allestire un Single Sign On federat e quindi il trust tra partner qualificati cme Identity Prvider cme Service Prvider; il mdul STS Security Tken Service cnsente la cnversine di tken di sicurezza, in particlare l asserzine SAML prveniente dall IdP nel tken ISAM direttamente gestibile dal Web Reverse Prxy ISAM. 3

www Identity Prvider Cittadini Identity Registry LDAP (IBM SDS) DB Server Plicy Stre Directry Integratr (IDI IBM) Just-In-Time Prvisining PC Reverse Prxy Plicy Enfrcement Pint Lg Server IBM Security QRadar SIEM Operatri di I&AM Amministratri PDP Plicy Server Plicy Decisin Pint SSO Prtcl Service Identity & Access Management (I&AM) STS Security Tken Service SAML Federatin Gateway (FIM mdule ISAM) Web Prfiles Manager Amministratre Identità PA Amministratre Identità PA Prtale di Gestine I&AM Applicazine A Pubblica Amministrazine A Applicazine B PC Reverse Prxy Plicy Enfrcement Pint Pubblica Amministrazine B Figura - Schema applicativ I&AM Plicy Enfrcement Pint (PEP): verifica le credenziali e applica le plitiche di cntrll relative alle richieste di access degli utenti, gestend la sessine Web nel su inter cicl di vita. È realizzat tramite il cmpnente WebSEAL del IBM Security Access Manager e applica le plitiche di cntrll accessi alle applicazini Web di back-end delle Pubbliche Amministrazini. Nell ambit IA&M si applican le seguenti funzini: Autrizzazine: frnisce autrizzazine a Grana Grssa (a livell di URL) per l access alle risrse; accede alla User Directry e al database delle plicy per reperire gli attributi utente e decidere se cnsentire negare gli accessi Sessin Management: per la gestine delle sessini utente (cntrll del temp di vita della sessine, lgut, ecc.) e le cnfigurazini in cluster (scalabilità rizzntale, HA) Single Sign-On: ISAM può integrare in vari md le applicazini di back-end e frnire il Web SSO; per gni sistema di back-end viene cnfigurata una junctin che regla cme le infrmazini sull utente vengn trasmesse all applicazine: via HTTP header, BA authenticatin, Kerbers, LTPA, TAI, frm authenticatin, etc. Audit: traccia tutte le richieste ricevute e prcessate ed è pienamente cnfigurabile (livell di dettagli dell audit, perid di retentin, ecc..); può inviare gli eventi registrati ad un SIEM estern Lad Balancing: ISAM include una cmpnente di Lad Balancer all scp di semplificare le cnfigurazini in cluster (scalabilità, HA) e ridurre le dipendenze da cmpnenti esterni di infrastruttura. Plicy Stre: è realizzat mediante IBM Security Directry Server (SDS) e registra su un server LDAP le utenze assciate all identità digitale cn gli eventuali gruppi ed attributi. Tali infrmazini sn utilizzati dal PDP per validare le eventuali scelte autrizzative che vengn applicate dal PEP. 4

Plicy Decisin Pint (PDP): le plitiche di access sn gvernate centralmente attravers il Plicy Server dell ISAM, che cstituisce funzinalmente il Plicy Decisin Pint della sluzine. Il Plicy Server gestisce il Plicy Stre e permette agli amministratri del sistema: la definizine di utenti, gruppi e risrse la cnfigurazine delle plicy (ACL, POP, authrizatin rules) che reglamentan l access alle risrse La distribuzine delle plicy ai Reverse Prxy. Just-in-time Prvisining: implementat essenzialmente dalla sluzine IBM Directry Integratr (IDI), è il tl prgrammabile per l scambi di dati tra meta-directry intercnnesse per mezz di cnnettri predefiniti. Nell specific la sua funzine è di implementare la lgica di Just-in-Time Prvisining necessaria per la creazine dell utente I&AM, nel dmini di sicurezza ISAM, in seguit alla prima autenticazine di una identità ed all aggirnament degli attributi cntenuti all intern delle asserzini SAML ricevute dall IdP. L stess strument IDI è utilizzat per il pplament massiv, a temp zer, del Plicy Stre nel mment in cui un Amministrazine viene accreditata al servizi I&AM. Web Prfile Manager: la gestine delle autrizzazini fatta a livell di URL (HTTP header) è resa dispnibile attravers le funzini cntenute all intern del Web Prfile Manager accessibile sia mediante l infrastruttura dedicata al Sistema di Gestine e Gvern della Frnitura della Frnitura sia dagli strumenti nativi delle sluzini utilizzate. Mediante tali funzinalità l Amministratre di una PA e/ gli peratri RTI pssn gestire l spazi di access a un applicazine e gli utenti che accedn all applicazine stessa. L Amministratre lcale della PA ha la pssibilità di accedere a una interfaccia web cn visibilità dei sli dati degli utenti prfilati per applicazini ergate dalla prpria Amministrazine e per le quali è referente a livell di Cntratt Esecutiv. Ha facltà di ricercare le prprie utenze nell Identity Registry I&AM, di visualizzarne gli attributi identificativi, nn identificativi e qualificati, già cmpilati dall IdP e dal SP dell I&AM (gli attributi nn sarann pertant mdificabili), e prcedere autnmamente all assegnazine dei prfili applicativi. L peratre di RTI ha la pssibilità di dichiarare/definire nuvi prfili applicativi e utilizzarli nelle assegnazini, prvvedend a verificare la cerente mappatura sul prfil applicativ reale nell applicazine target. Analgamente l peratre di RTI ha la pssibilità di definire particlari ACL per un cntrll capillare delle autrizzazini sulle single URL dell applicazine web PA. Le funzinalità dispnibili su tale applicazine sn quindi le seguenti: Ricerca di utente accreditat all Amministrazine, visualizzazine dei sui attributi identificativi e nn, qualificati e prfili applicativi crrentemente assegnati; Mdifica dell assegnazine dei prfili applicativi; Prfilatura nuv utente: in questa fase è necessari specificare slamente un identificativ univc (esempi: cdice fiscale). Se già presente nell I&AM, l utente è visualizzat cn tutti i sui attributi e può essere aggirnat cn l assegnazine di nuvi prfili. Se nn ancra presente, l utente è creat senza gli attributi persnali, che sarann cmunque valrizzati dall IdP e dall SP alla prima richiesta di access. 5

2024 © DocPlayer.it Privacy Policy | Condizioni del servizio | Feed-back