Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

Presentazione S.Zanmarchi, C.Manfredi

Università di Padova
Rinnovare l'Identity
Management con
Shibboleth e Esse3
Stefano Zanmarchi
Carlo Manfredi
[email protected]
[email protected]
Secondo Convegno IDEM, Politecnico di Bari 10/03/10
Vincoli di progetto: l’autenticazione

Esse3 ha due modalità di autenticazione:
 locale:
utenze e password interne a Esse3
 esterna:

Shibboleth (scelta di Unipd)
Sono modalità esclusive:

non è implementata la Shibboleth lazy session
Esse 3 non consente di autenticare alcuni utenti
localmente ed altri mediante SSO.
Rinnovare l’Identty Management con Shibboleth ed Esse3
2/17
Vincoli di progetto: l’autorizzazione
La home page di Esse3 presenta due pulsanti:

“Accedi”: per utenti già in anagrafe di Esse3

“Registrati”: per utenti non in anagrafe
Esse3 non autorizza ad utenti non registrati
l’accesso alle proprie funzionalità :

Accesso alla carriera

Domanda di preimmatricolazione

Domanda di esame di stato

…
Rinnovare l’Identty Management con Shibboleth ed Esse3
3/17
Utenti di Esse3
Devono quindi autenticarsi sull’Identity Provider:

studenti, ex-studenti, docenti
 Iscrizione/registrazione
esami, visualizzazione carriera
Cioè utenti già incardinati in Ateneo.
Ma anche:

utenti sconosciuti:
 preimmatricolazioni,
responsabili di tirocinio,…
Rinnovare l’Identty Management con Shibboleth ed Esse3
4/17
Fonti dati anagrafici
L’infrastruttura di Identity Management sottostante
l’Identity Provider viene alimentata da:
Anagrafiche del
Sistema Informativo
Dipendenti (GIADA)
Anagrafiche del
Sistema Informativo
Studenti (ESSE3)
Infrastruttura di IM
Rinnovare l’Identty Management con Shibboleth ed Esse3
Pagine web di ESSE3
di auto-registrazione
IdP
5/17
Credenziali di accesso 1
L’Università di Padova ha scelto come credenziali:

Username ◄ mail istituzionale, due domini:
 @unipd.it
per docenti (e dipendenti)
 @studenti.unipd.it

per studenti
Password ◄ password della mail istituzionale
Lo username viene mantenuto anche quando
l’utente perde la casella di posta:

Attuali studenti quando chiuderanno la carriera

Ex-studenti
Rinnovare l’Identty Management con Shibboleth ed Esse3
6/17
Credenziali di accesso 2
Per chi non ha (avuto) diritto a una casella:

Username= [email protected]
(es [email protected])
Assegnato a:

registrati in Esse3
 ricevono

un codice attivazione pwd alla registrazione
studenti carriera chiusa pre-mail
 il
codice attivazione pwd è il CF
Rinnovare l’Identty Management con Shibboleth ed Esse3
7/17
Interfacce di Esse3
Esse3 espone due interfacce:

Web (studenti, dipendenti e semplici registrati)

domande (immatricolazione, esami stato,…)

iscrizione esami

registrazione esami
è il SP shibbolettato (apache + mod_shib)

Client (segreterie)

accettazione domande (immatricolazione, esami stato,…)

accesso alle carriere
Rinnovare l’Identty Management con Shibboleth ed Esse3
8/17
L’external_id

L’external_id è l’identificativo utente condiviso
da Esse3 e dall’IdP. È quindi contenuto:
 in
anagrafica di Esse3
(può essere associato a più carriere)
 in
una tabella attributi dell’IdP
(può essere associato a più username)

Generato da Unipd (unico per ogni utente)

Passato dall’IdP come attributo al SP Esse3
quando l’utente s’è autenticato
Rinnovare l’Identty Management con Shibboleth ed Esse3
9/17
L’accesso all’interfaccia web via SSO
1.
2.
3.
L’utente clicca su “ACCEDI”
Viene diretto all’IdP
Si autentica con lo/gli username a disposizione:


4.
5.
Mail istituzionale (anche più d’una) e/o
Id numerico (es. [email protected])
L’IdP passa al SP Esse3 l’external_id
Esse3 lo fa accedere alla/e carriere associate
IdP:
ESSE3:
[email protected]
[email protected]
[email protected]
external_id
(es: 25417411)
Rinnovare l’Identty Management con Shibboleth ed Esse3
carriera A
carriera B
carriera C
10/17
Generazione dell’external_id
L’external_id è generato di Unipd ed è già in
anagrafe di Esse3 prima dell’accesso utente.
Ma allora:
quando è stato inserito in anagrafe di Esse3?
 alla
registrazione (web) dell’utente in Esse3
 generato
da interfaccia pl/sql (il “bocchettonegenerazione”)
Rinnovare l’Identty Management con Shibboleth ed Esse3
11/17
Il bocchettone-generazione
Alla registrazione (web) in Esse3:
 L’utente riempie una form coi propri dati
 Esse3 consulta il bocchettone-generazione:
Input: CF
 Output:






external_id (es: 25417411)
Username (numerico: [email protected])
codice attivazione password
Esse3 salva in anagrafe l’ext_id e passa username e
codice attivazione password all’utente
L’utente attiva la password (procedura web) e può
accedere a Esse3
Rinnovare l’Identty Management con Shibboleth ed Esse3
12/17
Il bocchettone-generazione
HOME PAGE
•ACCEDI
CF
Bocchettone
Generazione
External_id
Ext_Id
Username
• REGISTRATI
Nome
Cognome
Nato il a
CF
username
25417411
[email protected]
25417411
[email protected]
53611936
[email protected]
76432888
Form anagrafica
codice password
Ext_Id
Ext_id
[email protected]
1
Registraz.
a
ESSE3
anagrafe S3
Attributo
Ext_id
IdP
…Shibboleth…
HOME PAGE
ESSE3
2
Accesso
a
ESSE3
•ACCEDI
• REGISTRATI
Tabella associativa
Rinnovare l’Identty Management con Shibboleth ed Esse3
13/17
Il bocchettone-incardinamento

All’immatricolazione (via client):
 l’utente
riceve la mail che sostituisce l’Id numerico
 l’external_id
resta invariato.
Come?

Esse3 invoca il bocchettone-incardinamento:
 Input:

external_id, nome, cognome, CF
 Output:
la mail (m.rossi @studenti.unipd.it)
 Azione:
update in tabella associativa da numerico a mail
Per Esse3 è solo un maquillage dello username
Rinnovare l’Identty Management con Shibboleth ed Esse3
14/17
Schema complessivo AuthN & AuthZ
IdP
ATTRIBUTI (SOLO ESSE3)
ATTRIBUTI
(ALTRI SP)
AUTENTICAZIONE
DATABASE
ESSE3
MAIL SERVER
caselle mail
LDAP VIRTUALE
(anagrafica)
Utenti
e
Password
LDAP SLAVE
DATABASE
EXT_ID
real-time
DATABASE
GIADA
Utenti
e
Password
LDAP MASTER
username
password
PAGINE WEB
gestione password
Rinnovare l’Identty Management con Shibboleth ed Esse3
15/17
Componenti infrastrutturali

Infrastruttura SP Esse3

reverse proxy

apache_mod_shib

Esse3:

Tomcat

Jboss

RDBMS: Oracle

LDAP: Openldap

Virtual directory: Penrose:

eliminati i problemi di provisioning e di sincronizzazione dei dati

massima flessibilità: mapping attributi, utenti di test, ospiti non in
anagrafica,…
Rinnovare l’Identty Management con Shibboleth ed Esse3
16/17
Domande???
Rinnovare l’Identty Management con Shibboleth ed Esse3
17/17
Documenti correlati
Valutazione della didattica online
Valutazione della didattica online
ECONOMIA E COMMERCIO (classe L-33) sedi di Verona e Vicenza
ECONOMIA E COMMERCIO (classe L-33) sedi di Verona e Vicenza
Calendario esami
Calendario esami
Istruzioni per il recupero del numero di prematricola:
Istruzioni per il recupero del numero di prematricola:
Politecnico di Bari - Corsi Ingegneria Gestionale e Architettura
Politecnico di Bari - Corsi Ingegneria Gestionale e Architettura
Traccia Appello del 27 Febbraio 2014
Traccia Appello del 27 Febbraio 2014
Programma 16
Programma 16
AVVISO POSTI DISPONIBILI corsi di laurea in ECONOMIA
AVVISO POSTI DISPONIBILI corsi di laurea in ECONOMIA
Traccia Appello del 26 Settembre 2013
Traccia Appello del 26 Settembre 2013
DIPARTIMENTO DI INGEGNERIA INDUSTRIALE
DIPARTIMENTO DI INGEGNERIA INDUSTRIALE
Sistemi operativi supportati dal client Esse3
Sistemi operativi supportati dal client Esse3
Attestato CINECA
Attestato CINECA
Scarica