Aggiungi ad una raccolta (s) Aggiungere al salvati
  1. Ingegneria
  2. Informatica
  3. Basi di dati

studenti - Agenda INFN

Identity and Access
Management
- IAM -
Maria Laura Mantovani
Università di Modena e Reggio Emilia
[email protected]
Identity and Access
Management (IAM)
Scopo:
all'interno di una organizzazione le persone giuste
devono poter accedere ai servizi giusti
Per questo è necessario:
● Conoscere molte informazioni sulla persona: nome,
cognome, recapiti postali, telefonici, digitali, ...
● Includere affiliazione, stato giuridico, diritti di accesso
alle risorse, date di scadenza
©Steven T. Carmody http://www.educause.edu/Proceedings/12960
Il problema dal punto di vista
dell'utente:
©Steve Devoti http://www.educause.edu/PeerDirectory/750?ID=141983
http://www.educause.edu/ir/library/pdf/CAMP08110A.pdf
Servizi di Autenticazione e Autorizzazione:
confronto delle architetture
©http://middleware.internet2.edu
Challenge:
Update Data Once
Bill is a physician faculty member in the College of Medicine.
He and/or his department administrator can update his
contact information using a web page. This information
automatically populates/updates the personnel system, the
Shands Communications system (CHRIS), the Shands
HealthCare on-line directory of physicians, Bill’s entry in
Netware Directory Services, Active Directory, the on-line
phone book, the UF enterprise directory database, and the
UF LDAP directory. People using email programs and their
address books always automatically access Bill’s current
email address. UF business processes have access to Bill’s
current information. Bill’s information is updated once and is
used and accessed consistently across the enterprise.
(http://www.bridges.ufl.edu/directory/planning/AProposalforUFDirectoryServices.pdf)
Challenge:
Simplify Department Processes
Jared maintains a local database of names and addresses for
his UF department. After meeting with UF directory services
staff and learning about the capabilities of the new directory
system, Jared discovers he can produce the information his
department needs using the UF directory without having a
locally maintained copy/database. Jared needs to collect a
couple of pieces of information that are not currently in the
directory. After working with the staff, the directory is
amended to provide Jared an opportunity to collect and store
his data directly. Jared abandons his local database and the
effort required to keep it up to date, and begins to use the
UF directory directly.
(http://www.bridges.ufl.edu/directory/planning/AProposalforUFDirectoryServices.pdf)
La prima cosa da fare:
prendere i dati personali dai DB esistenti e
costruire le identità digitali nel sistema IAM
Analizzare i DB esistenti, vedere quali sono autoritativi
● Decidere quali informazioni prendere e mantenere
●
Consolidare (una persona può essere presente in più
fonti)
● Tenere aggiornato automaticamente
●
Ciclo di vita dell'identità
©Steve Devoti http://www.educause.edu/PeerDirectory/750?ID=141983
http://www.educause.edu/ir/library/pdf/CAMP08110A.pdf
Le fasi dell'identity
management
●
identificazione
●
provisioning: credenziali e badge
●
gestione life cycle
●
deprovisioning
STUDENTI
Come?
●
SEGRETERIE
STUDENTI
●
RISORSE UMANE
DIPENDENTI
abbiamo realizzato un sistema di
identity management sfruttando in
larga misura cio' che avevamo e
realizzando internamente quello che
mancava
Abbiamo strutture e addetti il cui
lavoro consiste nel tenere aggiornati
i dati delle persone?
situazione al 2005
STUDENTI
STUDENTI:
●
Le segreterie fanno
identificazione,
– provisioning (credenziali e badge),
– gestione life cycle e
– deprovisioning (indicata data
scadenza)
- non viene revocato nulla
per tutti i corsi inclusi dottorati, master,
erasmus.
–
STUDENTI
Quali dati dal DB STUDENTI?
●
Cognome
●
Nome
●
Codice Fiscale
●
●
Matricola
●
●
N. Badge
●
●
●
●
●
Data rilascio badge
Facoltà (cod/descr)
Tipo Corso (cod/descr)
Corso (cod/descr)
Percorso di studio
(cod/descr)
Anno di corso
Totale anni previsti per il
corso
●
Stato iscrizione
●
Data iscrizione
●
Data cessazione
●
Nome utente/password
Cosa manca nel DB STUDENTI?
UidNumber
●
GidNumber
●
Mail
●
Login shell
●
Home directory
●
Posix info
●
Samba info
●
Shadow info
●
STUDENTI
situazione al 2005
DIPENDENTI
DIPENDENTI:
direzione risorse umane assicura
–
–
–
–
–
l'identificazione per i ruoli che
avevamo stabilito nella riunione 2005
(PO, PA, RU, AS, CD, CL, D8, DC, LC,
ND, NM)
fa provisioning del badge
non fa provisioning delle credenziali
fa gestione del life cycle
non fa deprovisioning
DIPENDENTI
Quali dati dal DB DIPENDENTI?
●
Cognome
●
Nome
●
Codice Fiscale
●
●
Matricola
●
●
Ruolo (cod/descr)
●
●
Inquadramento
(cod/descr)
●
Settore scientifico
disciplinare (cod/descr)
Afferenza (cod/descr)
Afferenza didattica
(cod/descr)
Data cessazione
Cosa manca nel DB
DIPENDENTI?
UidNumber
●
N. Badge
GidNumber
●
Data rilascio badge
Mail
●
Nome utente/password
Login shell
●
Telefoni
Home directory
●
Fax
●
●
●
●
●
Posix info
●
Samba info
●
Shadow info
●
DIPENDENTI
situazione al 2005
ESTERNI
ALTRI RUOLI O INCARICHI:
●
NO idenificazione,
●
NO gestione del ciclo di vita,
●
provisioning di credenziali,
●
NO provisioning del badge,
●
NO deprovisioning
censimento ruoli
2005-2007
ALTRI RUOLI O INCARICHI:
COLLABORATORE COORDINATO CONTINUATIVO
COLLABORATORE DI RICERCA (a titolo gratuito)
CONVENZIONATO (cliente delle convenzioni)
CULTORE DELLA MATERIA
DIPENDENTE ALTRA UNIVERSITA
DIPENDENTE ALTRO ENTE DI RICERCA
DIPENDENTE AZIENDA POLICLINICO
DIPENDENTE DI ALTRA AZIENDA SANITARIA
DOCENTE A CONTRATTO
DOTTORANDO DI ALTRA UNIVERSITA
FORNITORE (dipendente o titolare delle ditte fornitrici)
INTERINALE
…
censimento ruoli
2005-2007
ALTRI RUOLI O INCARICHI:
LAUREATO FREQUENTATORE
LAVORATORE OCCASIONALE (contratto personale senza
partita IVA)
LIBERO PROFESSIONISTA (Contratto personale con partita IVA)
OSPITE CON ACCESSO AL SERVIZIO VPN
OSPITE (di solito di lunga durata)
PROFESSORE EMERITO
PROFESSORE FUORI RUOLO
STUDENTE DI ALTRA UNIVERSITA
SUPERVISORE SISS
TITOLARE DI ASSEGNO DI RICERCA
TITOLARE DI BORSA DI STUDIO
TUTOR
L'obiettivo raggiunto nel 2007:
●
●
●
●
●
identificare tutti: studenti, dipendenti,
esterni
provisioning di credenziali a tutti:
studenti, dipendenti, esterni
provisioning di badge a tutti gli
studenti, a tutti i dipendenti, agli
esterni su richiesta
gestione life cicle per tutti: studenti,
dipendenti, esterni
deprovisioning per tutti: studenti,
dipendenti, esterni
SEGRETERIE
STUDENTI
RISORSE UMANE
IDENTIFICATORI
in
BIBLIOTECHE
DIPARTIMENTI
FACOLTA'
STUDENTI
DIPENDENTI
ESTERNI
SCHEMA
SELF-SERVICE
ALTRI DATI
REFLECT RECONCILE & JOIN
I numeri dell’identificazione
esterni – anno 2007
Sono state identificate 1100 persone
65 CO. CO. CO.
22 COLL. DI RICERCA
105 CONVENZIONATO
77 CULTORE DELLA MATERIA
23 DIP. ALTRA UNIVERSITA
48 DIP. ALTRO ENTE DI RICERCA
47 DIP. AZIENDA POLICLINICO
1 DIP. ALTRA AZIENDA SANITARIA
43 DOCENTE A CONTRATTO
10 DOTT. DI ALTRA UNIVERSITA
34 FORNITORE
13 INTERINALE
6 LAUREATO FREQUENTATORE
17 LAVORATORE OCCASIONALE
13 LIBERO PROFESSIONISTA
234 OSPITE
4 PROFESSORE EMERITO
2 PROFESSORE FUORI RUOLO
4 STUDENTE DI ALTRA UNIVERSITA
6 SUPERVISORE SISS
224 TITOLARE ASSEGNO RICERCA
23 TITOLARE DI BORSA DI STUDIO
1 TUTOR
RISULTATO
STUDENTI
DIPENDENTI
ESTERNI
ALTRI DATI
MIDDLEWARE:
è software che gestisce l'interazione
tra i sistemi informativi e le
applicazioni in rete.
E' fondamentale per gestire l'accesso
ai servizi e permetterne l'utilizzo.
●
correlazione di tutti i dati
raccolti e realizzazione di
un directory che
interrogata dia in risposta
la situazione attuale
LDAP
Middleware
is as much about policy
and procedure as it is
technology.
To receive the
maximum advantage
from a shared
middleware
infrastructure, an
institution-wide
commitment is needed.
A directory is not the database
A directory is not the databases that are used to
support the business of the institution. It does
not replace the records maintained by the
registrar, personnel, or other departments.
Rather, it provides a unified view of selected
subsets of these records or other information
maintained by departments at the institution.
(http://www.bridges.ufl.edu/directory/planning/AProposalforUFDirectoryServices.pdf)
L'interfaccia grafica per modificare la directory è inutile!
Benefici ottenuti dopo il
consolidamento delle identità
I decision makers possono attivare cambiamenti più
velocemente (es: aggiungere un nuovo servizio;
modificare i privilegi di accesso ad un gruppo di
servizi)
● L’evoluzione dei requisiti si riflette nei cambiamenti che
devono essere fatti solo in un posto: il sistema IAM
● Secondo EduCause (http://www.educause.edu) i costi
di implementazione di nuovi servizi sono ridotti del
30%
●
Benefici ottenuti dopo il
consolidamento delle identità
Trasparenza
● Le decisioni prese si applicano in un punto e si vedono
i risultati e le conseguenze delle decisioni stesse
●
Il logging è consolidato pertanto si possono applicare
regole di privacy, di conservazione dei dati di auditing,
si possono fare dei report, si monitora la sicurezza
Benefici ottenuti dopo il
consolidamento delle identità
Eliminato il problema del Deprovisioning (disattivazione)
relativo alla gestione delle identità in sistemi disgiunti.
● Ridotto il numero di credenziali da conoscere.
● L'organizzazione può modificare più velocemente i diritti
di accesso basandosi sui ruoli.
● Nel processo di garantire che una persona è “quello che
dice di essere” l'istituzione incrementa il suo livello di
riservatezza.
●
Functions/skills needed
• 1.0 FTE Software Development Manager
• 0.5 FTE Communications, Writing (DocumentationProcedures, etc)
• 0.25 FTE Database Administration
• 2.0 FTE Application Developers
• 1.0 FTE Systems Programmers (LDAP & Code)
• 0.25 FTE Trainer
Directory Tasks/Gantt
Task Name
Duration Start Finish
1 Valutazione delle Necessità degli Utenti
18d Mon 9/3/01 Tue 9/18/01
2 Identificazione dei Dati già Esistenti
3d Mon 9/3/01 Tue 9/4/01
3 Progettazione del Modello dei Dati
48d Wed 9/5/01 Tue 10/16/01
4 Progettazione dello Schema LDAP
4d Wed 10/17/01 Fri 10/19/01
5 Identificazione delle API esistenti tra i DB & LDAP
5d Tue 9/18/01 Fri 9/21/01
6 Desired Data Flows and API's
148d Wed 10/17/01 Fri 2/22/02
7 Define & Create Interface
228d Wed 10/17/01 Fri 5/3/02
8 Define and Implement Directory Policies
40d Wed 10/17/01 Tue 11/20/01
9 Implementation Procedures
60d Fri 5/3/02 Tue 6/25/02
10 Maintenance Procedures Developed
32d Wed 6/26/02 Tue 7/23/02
11 Develop Training
140d Fri 5/3/02 Tue 9/3/02
12 Develop Communications / Information
40d Fri 5/3/02 Fri 6/7/02
13 Implementation of Upgraded Directory
14d Wed 9/4/02 Mon 9/16/02
14 Ongoing Training
100d Mon 9/16/02 Thu 12/12/02
15 Ongoing Communications / Information
140d Mon 9/16/02 Thu 1/16/03
16 Ongoing Tools Development
208d Mon 9/16/02 Mon 3/17/03
17 Ongoing Technology Maintenance
208d Mon 9/16/02 Mon 3/17/03
Documenti correlati
2001/02 Lezione N. 10 Struttura del Software
2001/02 Lezione N. 10 Struttura del Software
<td valign="top
<td valign="top
il software
il software
Esame di Laboratorio di Sistemi Operativi
Esame di Laboratorio di Sistemi Operativi
Esercizi Unix. AA06/07 Esercizio 1: Creare una subdirectory `dir1`e
Esercizi Unix. AA06/07 Esercizio 1: Creare una subdirectory `dir1`e
System Requirements_ITA
System Requirements_ITA
Sistemi operativi
Sistemi operativi
programma info 2011
programma info 2011
CS_Italiaonline_Overplace
CS_Italiaonline_Overplace
Software Developer: piattaforma Java e Dot Net
Software Developer: piattaforma Java e Dot Net
Il Software e il sistema operativo
Il Software e il sistema operativo
Lucidi della terza lezione
Lucidi della terza lezione
Scarica