Servizi L.S. - Identity & Access Management (I&AM) L Access Manager rappresenta un cmpnente sftware che regla l access alla risrsa gestita da un Service Prvider (SP). Il servizi I&AM ha quindi cme finalità primaria la gestine delle attività d identificazine ed autenticazine tramite Identity Prvider accreditati e, in cmpleta autnmia, la gestine delle autrizzazini prpedeutiche all access da parte di utenti esterni (cittadini) ai prtali delle Pubbliche Amministrazini ai servizi da essa ergati in rete garantend piena cmpatibilità cn quant previst dall articl 7-ter del DL 69 del /6/03. Al fine di rispndere ai requisiti SPID definiti in (), il servizi I&AM implementa la specifica SAML nella parte relativa al Service Prvider, permettend quindi alle Pubbliche Amministrazini che espngn servizi web per il cittadin di aderire alle regle tecniche definite da SPID senza dver realizzare e/ mdificare le prprie infrastrutture tecnlgiche. Il servizi mette quindi a dispsizine delle PA una cmpnente tecnlgica in ambiente clud che, inserendsi tra il cittadin e le risrse dell Amministrazine, gestisce le richieste e, perand gli pprtuni passi di identificazine e autrizzazine, permette l access alla risrsa richiesta. Secnd le regle tecniche SPID, il fluss tip implementat è rappresentat nel diagramma seguente. ID 3-4 5 6-7 8 DESCRIZIONE Richiesta di servizi: il titlare dell identità digitale richiede access ad un servizi per via telematica cnnettendsi al sit del frnitre dei servizi Inltr vers Identity prvider: il frnitre dei servizi rimanda il titlare dell identità digitale press il prpri gestre dell identità digitale Richiesta e verifica credenziali: il gestre dell identità digitale verifica l identità del sggett sulla base di credenziali da lui accettate ed esibite dal sggett Rispsta: se la verifica ha esit psitiv, viene emessa a favre dell ergatre del servizi una certificazine (asserzine di autenticazine SAML) di autenticazine e rimanda il sggett press il frnitre dei servizi Richiesta e verifica attributi: il frnitre dei servizi può avere la necessità di verificare ulteriri attributi presenti nel prfil utente e richiesti dalle plicy di sicurezza che reglan l access al servizi per cui, in quest cas, dp aver individuat il gestri di attributi qualificati in grad di attestarne la validità, inltra a questi richiesta di certificazine presentand i riferimenti dell identità digitale per la quale si richiede la verifica. Il risultat della richiesta è l emissine di una certificazine (asserzine di attribut SAML) emessa a favre del frnitre dei servizi Verifica richiesta: il frnitre dei servizi racclte tutte le certificazini (asserzini SAML) di identità e di attributi qualificati presenti nel prfil e necessarie per l applicazine delle plicy di sicurezza relative al prfil utente del sggett richiedente l ergazine del servizi può verificarne la sussistenza e decidere se sddisfare rigettare la richiesta di servizi avanzata AgID Reglament recante le mdalità attuative per la realizzazine dell SPID (art. 4, cmma, DPCM 4/0/04)
Nella figura seguente viene rappresentat cme il servizi di Identity & Access Management prpst interagisce cn tutti gli altri elementi e attri dell inter prcess di autenticazine e autrizzazine. Figura - Servizi di I&AM Il servizi di Identity & Access Management ha cme finalità la cmpleta gestine delle attività di identificazine, autenticazine ed autrizzazine prpedeutiche all access da parte di utenti esterni al prtale dell Amministrazine ai servizi da essa ergati in rete. Il servizi deve essere cndtt cn mdalità cnfrmi ai requisiti di sicurezza richiesti dalle nrmative vigenti, e garantire la cmpatibilità cn quant previst dall articl 7-ter del DL 69 del /6/03. Il servizi di I&AM cnsiste nella gestine delle attività di identificazine, autenticazine ed autrizzazine all access ai prtali delle Amministrazine rientat ai prpri utenti esterni. Secnd il classic mdell lgic il sistema prevede due sttsistemi: Plicy Enfrcement, che si interfaccia cn il mnd estern (Identity Prvider e Attribute Authrity) al fine di ricevere le richieste per l applicazine delle plicy di sicurezza assciate alle risrse. Plicy Decisin, in grad di accedere ai i prfili degli utenti e alle plicy di sicurezza assciate alle risrse per la verifica della legittimità della richiesta. Per l autenticazine dei prpri utenti il servizi può fare ricrs ad un Identity prvider estern all Amministrazine. Per la verifica degli attributi assciati al prfil di un utente, esterni all Amministrazine, il servizi farà ricrs ad Attribute Authrity esterne. Il servizi cmprende la gestine delle plicy di access ai servizi e la gestine del cicl di vita dei prfili utente. Deve essere prevista la suddivisine degli utenti in gruppi mgenei (RBAC). Il gestre del servizi di I&AM prevede, su richiesta, la presa in caric e la migrazine dei prfili utente gestite dall amministrazine.
Cas d us ID 3 4-7 8 9 0 DESCRIZIONE L utente (cittadin), che vule utilizzare i servizi resi dispnibili da un'amministrazine, si cllega al prtale della PA e iniziare la navigazine Il Pint f Cntact (PC) intercetta la richiesta dell utente di accedere a risrse prtette da autenticazine e gli presenta la lista degli IdP federati, tra i quali l utente può individuare e selezinare il prpri L IdP, a secnda del livell di autenticazine richiest, presenta all utente il challenge di autenticazine (utente+passwrd, ppure utente+passwrd+otp, ppure utente+passwrd+certificat digitale) che inserirà le prprie credenziali. Ad autenticazine avvenuta, l IdP emette un asserzine di SAML Authenticatin Respnse che viene inviata al Pint f Cntact e si verifican i seguenti tre casi: Creazine Utente - nel cas di utente nn registrat all intern del servizi I&AM, si prvvede alla creazine autmatica del nuv utente sul Plicy Stre Aggirnament Attributi - se l utente è già presente, gli attributi dell identità ricevuti dall IdP dispnibili dalla SAML Assertin sn aggirnati Arricchiment (pzinale) viene cmpsta una query per le Attribute Authrity qualificate. Tale pass è funzinalmente eseguit (indicat quindi cme pzinale) se e sl se presenti eventuali attributi da validare tramite Attribute Authrity certificate AgID In base alla rispsta dell IdP, il Pc, tramite il Plicy Decisin Pint, decide se cncedere l autrizzazine all utente. In cas di permessi insufficienti il fluss s interrmpe senza ergazine del servizi. Il PC incapsula gli attributi dell utente e i prfili applicativi, li invia all applicazine che ergherà il servizi L Amministratre della PA, tramite interfaccia Web, gestisce i prfili utente, dalla lr creazine, mdifica e rimzine. Tecnlgie e prdtti di riferiment In quest paragraf è descritta l architettura applicativa del sistema di I&AM. Il cmpnente principale di quest sistema è rappresentat dal prdtt IBM Security Access Manager. Di seguit le cmpnenti dell architettura applicativa che cstituiscn la piattafrma di ergazine servizi: SAML Federatin Gateway: realizzat tramite la sluzine IBM Security Federated Identity Manager, frnisce l strat applicativ necessari per la gestine dei servizi utili alla realizzazine delle dinamiche dell standard SAML. Specificatamente il mdul SSO Security Service garantisce le primitive necessarie per allestire un Single Sign On federat e quindi il trust tra partner qualificati cme Identity Prvider cme Service Prvider; il mdul STS Security Tken Service cnsente la cnversine di tken di sicurezza, in particlare l asserzine SAML prveniente dall IdP nel tken ISAM direttamente gestibile dal Web Reverse Prxy ISAM. 3
www Identity Prvider Cittadini Identity Registry LDAP (IBM SDS) DB Server Plicy Stre Directry Integratr (IDI IBM) Just-In-Time Prvisining PC Reverse Prxy Plicy Enfrcement Pint Lg Server IBM Security QRadar SIEM Operatri di I&AM Amministratri PDP Plicy Server Plicy Decisin Pint SSO Prtcl Service Identity & Access Management (I&AM) STS Security Tken Service SAML Federatin Gateway (FIM mdule ISAM) Web Prfiles Manager Amministratre Identità PA Amministratre Identità PA Prtale di Gestine I&AM Applicazine A Pubblica Amministrazine A Applicazine B PC Reverse Prxy Plicy Enfrcement Pint Pubblica Amministrazine B Figura - Schema applicativ I&AM Plicy Enfrcement Pint (PEP): verifica le credenziali e applica le plitiche di cntrll relative alle richieste di access degli utenti, gestend la sessine Web nel su inter cicl di vita. È realizzat tramite il cmpnente WebSEAL del IBM Security Access Manager e applica le plitiche di cntrll accessi alle applicazini Web di back-end delle Pubbliche Amministrazini. Nell ambit IA&M si applican le seguenti funzini: Autrizzazine: frnisce autrizzazine a Grana Grssa (a livell di URL) per l access alle risrse; accede alla User Directry e al database delle plicy per reperire gli attributi utente e decidere se cnsentire negare gli accessi Sessin Management: per la gestine delle sessini utente (cntrll del temp di vita della sessine, lgut, ecc.) e le cnfigurazini in cluster (scalabilità rizzntale, HA) Single Sign-On: ISAM può integrare in vari md le applicazini di back-end e frnire il Web SSO; per gni sistema di back-end viene cnfigurata una junctin che regla cme le infrmazini sull utente vengn trasmesse all applicazine: via HTTP header, BA authenticatin, Kerbers, LTPA, TAI, frm authenticatin, etc. Audit: traccia tutte le richieste ricevute e prcessate ed è pienamente cnfigurabile (livell di dettagli dell audit, perid di retentin, ecc..); può inviare gli eventi registrati ad un SIEM estern Lad Balancing: ISAM include una cmpnente di Lad Balancer all scp di semplificare le cnfigurazini in cluster (scalabilità, HA) e ridurre le dipendenze da cmpnenti esterni di infrastruttura. Plicy Stre: è realizzat mediante IBM Security Directry Server (SDS) e registra su un server LDAP le utenze assciate all identità digitale cn gli eventuali gruppi ed attributi. Tali infrmazini sn utilizzati dal PDP per validare le eventuali scelte autrizzative che vengn applicate dal PEP. 4
Plicy Decisin Pint (PDP): le plitiche di access sn gvernate centralmente attravers il Plicy Server dell ISAM, che cstituisce funzinalmente il Plicy Decisin Pint della sluzine. Il Plicy Server gestisce il Plicy Stre e permette agli amministratri del sistema: la definizine di utenti, gruppi e risrse la cnfigurazine delle plicy (ACL, POP, authrizatin rules) che reglamentan l access alle risrse La distribuzine delle plicy ai Reverse Prxy. Just-in-time Prvisining: implementat essenzialmente dalla sluzine IBM Directry Integratr (IDI), è il tl prgrammabile per l scambi di dati tra meta-directry intercnnesse per mezz di cnnettri predefiniti. Nell specific la sua funzine è di implementare la lgica di Just-in-Time Prvisining necessaria per la creazine dell utente I&AM, nel dmini di sicurezza ISAM, in seguit alla prima autenticazine di una identità ed all aggirnament degli attributi cntenuti all intern delle asserzini SAML ricevute dall IdP. L stess strument IDI è utilizzat per il pplament massiv, a temp zer, del Plicy Stre nel mment in cui un Amministrazine viene accreditata al servizi I&AM. Web Prfile Manager: la gestine delle autrizzazini fatta a livell di URL (HTTP header) è resa dispnibile attravers le funzini cntenute all intern del Web Prfile Manager accessibile sia mediante l infrastruttura dedicata al Sistema di Gestine e Gvern della Frnitura della Frnitura sia dagli strumenti nativi delle sluzini utilizzate. Mediante tali funzinalità l Amministratre di una PA e/ gli peratri RTI pssn gestire l spazi di access a un applicazine e gli utenti che accedn all applicazine stessa. L Amministratre lcale della PA ha la pssibilità di accedere a una interfaccia web cn visibilità dei sli dati degli utenti prfilati per applicazini ergate dalla prpria Amministrazine e per le quali è referente a livell di Cntratt Esecutiv. Ha facltà di ricercare le prprie utenze nell Identity Registry I&AM, di visualizzarne gli attributi identificativi, nn identificativi e qualificati, già cmpilati dall IdP e dal SP dell I&AM (gli attributi nn sarann pertant mdificabili), e prcedere autnmamente all assegnazine dei prfili applicativi. L peratre di RTI ha la pssibilità di dichiarare/definire nuvi prfili applicativi e utilizzarli nelle assegnazini, prvvedend a verificare la cerente mappatura sul prfil applicativ reale nell applicazine target. Analgamente l peratre di RTI ha la pssibilità di definire particlari ACL per un cntrll capillare delle autrizzazini sulle single URL dell applicazine web PA. Le funzinalità dispnibili su tale applicazine sn quindi le seguenti: Ricerca di utente accreditat all Amministrazine, visualizzazine dei sui attributi identificativi e nn, qualificati e prfili applicativi crrentemente assegnati; Mdifica dell assegnazine dei prfili applicativi; Prfilatura nuv utente: in questa fase è necessari specificare slamente un identificativ univc (esempi: cdice fiscale). Se già presente nell I&AM, l utente è visualizzat cn tutti i sui attributi e può essere aggirnat cn l assegnazine di nuvi prfili. Se nn ancra presente, l utente è creat senza gli attributi persnali, che sarann cmunque valrizzati dall IdP e dall SP alla prima richiesta di access. 5