View
218
Download
4
Category
Preview:
Citation preview
Roma, 9 maggio 2005
Luca Nicoletti – Unità Disegno e progettazione Sistemi
Access Management centralizzato Access Management centralizzato per applicazioni WEB: l’esperienza per applicazioni WEB: l’esperienza del MEFdel MEF
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
Agenda
Milano, 29 Settembre 2004
3
La vision informatica della missione Consip
Consip è una S.p.A. totalmente posseduta e direttamente controllata dal
Ministero dell’Economia e delle Finanze (MEF). Come tale, essa non opera
sul libero mercato e serve esclusivamente le Pubbliche Amministrazioni.
La Consip si configura, quindi, come una struttura interna al Ministero
dell’Economia e delle Finanze, in grado di assumere un ruolo trainante sia
nel campo dell’informatica, sia, più in generale, nell’ambito di iniziative a
forte carattere di innovazione.
La missione missione :
Il ruolo :
4
IL RUOLO DELLA CONSIP LE LINEE GUIDA
Consulenza attiva al MEF di supporto alla gestione del cambiamento, in linea con le strategie di e-government
Studio e progettazione di soluzioni per nuove iniziative, definizione di regole e di modalità di selezione dei fornitori
Monitoraggio costante dei sistemi informativi e relativo innalzamento tecnologico in base alle offerte di mercato
“Internalizzare” le conoscenze di alto livello su organizzazione, processi e sistemi informativi
Governare tecnicamente la realizzazione, attraverso un ampio “ricorso al mercato”, di soluzioni che supportino l’Amministrazione nel perseguimento dei suoi obiettivi
Analizzare i trend di evoluzione (tecnologia, e-proc.) confrontando, anche in termini di benchmark, situazioni analoghe
Gestire il cambiamento attraverso la modernizzazione dei sistemi informativi, la razionalizzazione ed il miglioramento dei processi del MEF,
perseguendo obiettivi di efficacia, efficienza ed economicità
L’attuazione del programma di informatizzazione del MEFL’attuazione del programma di informatizzazione del MEF
La vision informatica della missione Consip
Milano, 29 Settembre 2004
Scenario iniziale ed esigenze
• Nel 2000 non esistevano repository utente centralizzati;
• Le applicazioni avevano solo utenti interni al MEF;
• Poche applicazioni “Web based”;
• Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:
• Repository unico;
• SSO per applicazioni Web, “Cross piattaforma”;
• Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione).
• Nel 2000 non esistevano repository utente centralizzati;
• Le applicazioni avevano solo utenti interni al MEF;
• Poche applicazioni “Web based”;
• Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:
• Repository unico;
• SSO per applicazioni Web, “Cross piattaforma”;
• Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione).
Gli “Input” al progetto
Milano, 29 Settembre 2004
• Diverse applicazioni ERP esistenti;
• Prodotto aperto, facilmente sostituibile, no “lock-in”.
• Software selection su prodotti di SSO: Oracle;
Benefici Attesi:
• Ottimizzazione di risorse esistenti;
• Tempi di implementazione molto veloci;
• Prodotto flessibile.
• Diverse applicazioni ERP esistenti;
• Prodotto aperto, facilmente sostituibile, no “lock-in”.
• Software selection su prodotti di SSO: Oracle;
Benefici Attesi:
• Ottimizzazione di risorse esistenti;
• Tempi di implementazione molto veloci;
• Prodotto flessibile.
Fasi del progetto
Milano, 29 Settembre 2004
Fase1: Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;
Fase2: Migrazione su repository LADP;
Fase3: Integrazione con autenticazione di dominio Microsoft (Transparent login);
Fase4: Profilazione basata su oggetti ed attributi dell’LDAP;
Fase5: Autenticazione multilivello.
Fase1: Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;
Fase2: Migrazione su repository LADP;
Fase3: Integrazione con autenticazione di dominio Microsoft (Transparent login);
Fase4: Profilazione basata su oggetti ed attributi dell’LDAP;
Fase5: Autenticazione multilivello.
Fase 1 (25 mesi)
Milano, 29 Settembre 2004
Definizione Modello degli accessi basato su paradigma RBAC (Role Based Access Control);
Introduzione della gestione della profilazione applicativa basata sui gruppi;
Introduzione meccanismi di accesso per utenti esterni;
Centralizzazione utenti e gruppi di profilazione su tabelle Oracle.
Risultati e benefici:
• Tutte le principali nuove applicazioni Web del MEF in SSO;
• Amministrazione/gestione delle utenze centralizzata;
• Gestione della sicurezza delegata dalle applicazioni all’Access Manager, quindi per tutte allineata su standard elevati.
Definizione Modello degli accessi basato su paradigma RBAC (Role Based Access Control);
Introduzione della gestione della profilazione applicativa basata sui gruppi;
Introduzione meccanismi di accesso per utenti esterni;
Centralizzazione utenti e gruppi di profilazione su tabelle Oracle.
Risultati e benefici:
• Tutte le principali nuove applicazioni Web del MEF in SSO;
• Amministrazione/gestione delle utenze centralizzata;
• Gestione della sicurezza delegata dalle applicazioni all’Access Manager, quindi per tutte allineata su standard elevati.
Fase 2 (6 mesi)
Milano, 29 Settembre 2004
Introduzione server LDAP per il repository utente;
Risultati e benefici:
• Piattaforma aperta, standard di mercato;
• Apertura verso soluzioni basate su prodotti proprietari.
Introduzione server LDAP per il repository utente;
Risultati e benefici:
• Piattaforma aperta, standard di mercato;
• Apertura verso soluzioni basate su prodotti proprietari.
Fase 3 (7 mesi)
Milano, 29 Settembre 2004
Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);
Risultati e benefici:
• L’utente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.
Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);
Risultati e benefici:
• L’utente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.
Fase 4 (7mesi)
Milano, 29 Settembre 2004
Introduzione della profilazione basata su oggetti e attributi dell’LDAP;
Sviluppo Applicazione di gestione.
Risultati e benefici:
• Superamento dei limiti di profilazione tramite gruppi;
• Maggiore flessibilità;
• Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi.
Introduzione della profilazione basata su oggetti e attributi dell’LDAP;
Sviluppo Applicazione di gestione.
Risultati e benefici:
• Superamento dei limiti di profilazione tramite gruppi;
• Maggiore flessibilità;
• Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi.
Fase 5 (6 mesi)
Milano, 29 Settembre 2004
Introduzione meccanismi di autenticazione multilivello
Risultati e benefici:
• Possibilità di autenticarsi tramite “smart card” e certificato digitale;
• Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);
• Maggiore flessibilità nel disegno delle applicazioni.
Introduzione meccanismi di autenticazione multilivello
Risultati e benefici:
• Possibilità di autenticarsi tramite “smart card” e certificato digitale;
• Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);
• Maggiore flessibilità nel disegno delle applicazioni.
Lo stato dell‘arte
Milano, 29 Settembre 2004
• 35 applicazioni in SSO, su tutte le principali tecnologie (es. Java, .NET, FileNet, Business Object, etc.);
• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;
• Accesso di utenti interni ed esterni;
• LDAP con 6 rami e 37.200 utenti, destinati a raddoppiare entro 12/2005;
• Profilazione su “Object class” per le nuove applicazioni, compatibilità con quelle preesistenti.
• 35 applicazioni in SSO, su tutte le principali tecnologie (es. Java, .NET, FileNet, Business Object, etc.);
• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;
• Accesso di utenti interni ed esterni;
• LDAP con 6 rami e 37.200 utenti, destinati a raddoppiare entro 12/2005;
• Profilazione su “Object class” per le nuove applicazioni, compatibilità con quelle preesistenti.
I passi futuri
Milano, 29 Settembre 2004
Introduzione Identity management.
Risultati e benefici:
• Minori oneri gestionali grazie a funzionalità di Provisioning;
• Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc);
• Meta repository centralizzato.
Introduzione Identity management.
Risultati e benefici:
• Minori oneri gestionali grazie a funzionalità di Provisioning;
• Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc);
• Meta repository centralizzato.
Q&A
Recommended