Identity Management @ UniMoRe

Transcript

Identity Management @ UniMoRe
Maria Laura Mantovani
Università di Modena e Reggio Emilia
[email protected]
AAI - Roma, 16 Feb 2006
1
Centri Informatici @ UniMoRe
1980-2000
2002-2005
2006
CICAIA
CISAB
Direzione
Sistemi
Informativi e
Tecnologie
CeSIA
CASA
2
Sfide dell’organizzazione per il
successo dell’Identity
Management

Ruolo dei gestori
Crescita dell’utenza (25% negli ultimi 4 anni)
Forte aumento dei servizi autenticati da fornire
3
Esempio: 7 Biblioteche (prima)
manutenzione
manutenzione
manutenzione
manutenzione
Gestore
manutenzione
Gestore
DB
Utenti
Gestore
DB
Gestore manutenzione
DBUtenti
Utenti
DB Utenti
Gestore
DB Utenti
Gestore
DB Utenti
Prestito
manutenzione
Gestore
DB Utenti
4
Esempio: 7 Biblioteche (dopo)
manutenzione
Gestore
Prestito
DB Utenti
5
Servizi che si avvantaggiano
da una gestione centralizzata
delle identità

Posta Elettronica per tutti
E-learning
Aule informatiche
Wireless
VPN e RAS
…
6
Con l’Identity Management
centralizzato si risolvono:

i problemi di scala
i problemi di completezza dei dati
i problemi di coerenza dei dati
Affidare la gestione dei dati a chi ne
ha l’autorevolezza.
7
Identity Management e
Sicurezza

Dati personali (D. Lgs. 196/2003)
Riduzione degli errori
Enforce security policy
Un solo set di credenziali
Gestione delegata
8
Come abbiamo deciso di
realizzare la sfida della
gestione delle identità ?
Propagation
Directory
Integration
AuthenticationAuthorization
Accounts & Policies
Federation
Single Sign-On
Termination
Personalization
Maintenance/
Management
9
Access
Mgmt
Identity
Provisioning
Registration/
Creation
Gestione del ciclo di vita delle identità
Identity
Provisioning
Registration/
Creation
Accounts & Policies
Termination

Propagation
Maintenance/
Management
Definire insiemi omogenei di identità
Definire l’autorità responsabile di ogni
insieme
10
(mondo ideale)
Gestore Studenti
Gestore Dipendenti
Gestore Esterni
DB Studenti
DB Dipendenti
DB Esterni
11
(mondo reale)
Gestore Studenti
Gestore Dipendenti
dati sovrapposti
DB Studenti
?
Gestore Esterni
DB Dipendenti
DB Esterni
12
dati
mancanti
Directory
Integration
Creazione di un Directory
Service di Ateneo
DB Studenti
DB Dipendenti
Convertitore
(Open Source
GPL)
DB Esterni
13
OpenLDAP
14
ou: Esterni
ou: people
ou: Dipendenti
ou: people
BIOLOGICAMENTE ATTIVE
ou: SOSTANZE NATURALI
ou: Dottorandi
ou: Studenti
ou: people
MARKETING
ou: COMUNICAZIONE E
ou: Studenti
ou: people
ou: BIOCHIMICA E
CHIMICA CLINICA
ou: Specializzandi
ou: Studenti
ou: people
Directory
Integration
Quale gerarchia per il
Directory Service di Ateneo?
Accesso a molteplici servizi
Aule/laboratori didattici con SAMBA
file smb.conf
[global]
passdb backend = tdbsam,ldapsam:ldap://ldap1.unimo.it
15
Accesso a molteplici servizi

Singole postazioni con 802.1x + RADIUS
+ LDAP
Accessi alla rete Wireless con 802.1x +
RADIUS + LDAP.
Accessi RAS e VPN con RADIUS + LDAP.
16
Posta elettronica con autenticazione
su LDAP
17
Piattaforme E-learning con
autenticazione su LDAP
18
Apertura dei tornelli: per la convalida
della tessera interroga il server LDAP
19
Sviluppi futuri

Estendere il controllo fisico degli accessi anche
ad altri tipi di locali e ai parcheggi
Collegare ad IM il prestito bibliotecario
Collegare ad IM il rilevamento delle presenze del
personale tecnico-amministrativo con
autenticazione su LDAP
20
Federation

la gestione delle identità locali deve
essere garantita secondo policy e
procedure che permettano alle altre
entità della federazione di potersi fidare
21