Embed Size (px)
Citation preview
17/12/02 1Direzione Sviluppo Servizi su rete, Banche dati
IRIDEInfrastruttura di Registrazione e IDEntificazione
17/12/02 2Direzione Sviluppo Servizi su rete, Banche dati
IRIDE: il contesto
Argomenti presentati:
L’infrastruttura e le strategie
Processo organizzativo di provisioning
17/12/02 3Direzione Sviluppo Servizi su rete, Banche dati
IRIDEL’infrastruttura e le strategie
17/12/02 4Direzione Sviluppo Servizi su rete, Banche dati
IRIDE: il contesto
Servizio di riconoscimento e abilitazione in rete:
Progetto presentato dalla Regione Piemonte al 1°bando nazionale di e-gov
Progetto ammesso al cofinanziamento (più alto punteggio raggiunto dai progetti presentati dalla Regione Piemonte)
17/12/02 5Direzione Sviluppo Servizi su rete, Banche dati
IRIDE: il contesto
Perché usare IRIDE:
L’infrastruttura dà la garanzia di utilizzare le caratteristiche necessarie per realizzare un accesso sicuro all’applicativo
17/12/02 6Direzione Sviluppo Servizi su rete, Banche dati
L’infrastruttura IRIDE
Necessità:
comprendere i due aspetti di Iride: • componente tecnologica • componente organizzativa
Obiettivi:• acquisire le conoscenze tecniche necessarie alla fase di analisi e progettazione degli applicativi• conoscere le azioni necessarie per attivare l’integrazione di un applicativo
17/12/02 7Direzione Sviluppo Servizi su rete, Banche dati
IRIDE: Componente tecnologica
IRIDESP
Provincia diTorino
Regione
Comune di Torino
ASL
Comuni
Soggetti esterniCittadiniImprese
SistemaAutenticazione
per Regione(PolicyStore int.)
IRIDEPA
SistemaPiemonte
RuparPiemonte
UserStore PA
SistemaAutenticazione
per Comune(Policy int.)
SistemaAutenticazioneper Provincia
(PolicyStore int.)
Servizio web
Servizio Client-Svr
Servizio web
Servizio Client-Svr
Servizio web
Servizio Client-Svr
Policy Store
UserStore SP
Serviziweb
Serviziweb
17/12/02 8Direzione Sviluppo Servizi su rete, Banche dati
UserStore/PolicyStore
Archivio degli utenti e delle politiche d i accesso
CA Sistema Piemonte
Emissione certificati per Firma Elettronica
Modulo Autenticazione
Gestione Quantità di Sicurezza locali (UserID e Password, Cert ificati Sistema Piemonte) e Nazionali (Firma Digitale, Carta Nazionale dei servizi, CIE)
DB Connector
Connettori per l’accesso agli archivi degli utenti e delle policy
Moduli gestione utente
Moduli per le funzioni di Registrazione, Autorizzazione, Profilazione
Modulo AtoC Modulo AtoB Modulo AtoA
Connettori per i servizi applicativi
Servizi al cittadino
Servizi alle imprese
Servizi inter-ente
Servizi applicativi
Livello 2Piattaforma
Livello 1Piattaforma
UserStore/PolicyStore
Archivio degli utenti e delle politiche d i accesso
CA Sistema Piemonte
Emissione certificati per Firma Elettronica
Modulo Autenticazione
Gestione Quantità di Sicurezza locali (UserID e Password, Cert ificati Sistema Piemonte) e Nazionali (Firma Digitale, Carta Nazionale dei servizi, CIE)
DB Connector
Connettori per l’accesso agli archivi degli utenti e delle policy
Moduli gestione utente
Moduli per le funzioni di Registrazione, Autorizzazione, Profilazione
Modulo AtoC Modulo AtoB Modulo AtoA
Connettori per i servizi applicativi
Servizi al cittadino
Servizi alle imprese
Servizi inter-ente
Servizi applicativi
Livello 2Piattaforma
Livello 1Piattaforma
IL MODELLO TECNOLOGICO DI IRIDE
IRIDE: Componente tecnologica
17/12/02 9Direzione Sviluppo Servizi su rete, Banche dati
Il riconoscimento
Il processo di riconoscimento e abilitazione, più nel dettaglio, è scomponibile in:
• Autenticazione (o Identificazione) : chi sono• Autorizzazione: cosa posso fare• Profilazione: come lo posso fare
17/12/02 10Direzione Sviluppo Servizi su rete, Banche dati
IRIDE PA e SP
IRIDE è funzionalmente distinta in due domini:
• IRIDE - PA è rivolto agli utenti che accedono ai servizi Rupar; realizza autenticazione, autorizzazione e profilazione
• IRIDE - SP è rivolto a cittadini, aziende e agli utenti di PA non in RUPAR; realizza solo l’autenticazione degli utenti
17/12/02 11Direzione Sviluppo Servizi su rete, Banche dati
La quantità di sicurezza
• la quantità di sicurezza è il pacchetto di informazioni che permette all’utente di essere identificato• è definita dalle seguenti componenti:
– coppia user/password– CIP (Codice Identificazione Personale)– certificato X509v3
17/12/02 12Direzione Sviluppo Servizi su rete, Banche dati
La quantità di sicurezza
il certificato digitale può risiedere su supporti diversi (con garanzie di sicurezza diverse rispetto alla possibilità di copia del certificato)
– certificato installato nel browser– certificato su cd-card– certificato su smart card
17/12/02 13Direzione Sviluppo Servizi su rete, Banche dati
Livelli di sicurezza
IRIDE gestisce 4 livelli di sicurezza (in conformità a quanto previsto dall’avviso dei progetti e-gov):
livello 0: • l’utente viene identificato con una qualunque qds • tutti gli utenti sono automaticamente autorizzati
livello 1: • l’utente viene identificato con la coppia user/password (o qds superiori)• il singolo utente viene autorizzato all’accesso al singolo servizio
17/12/02 14Direzione Sviluppo Servizi su rete, Banche dati
Livelli di sicurezza
livello 2: • l’utente viene identificato con la coppia user/password + CIP (o qds superiori)• il singolo utente viene autorizzato all’accesso al singolo applicativo
livello 3: • l’utente viene identificato da un certificato digitale• il singolo utente viene autorizzato all’accesso al singolo applicativo• l’uso di un supporto fisico per il certificato “incrementa” comunque la sicurezza garantita da questo livello
17/12/02 15Direzione Sviluppo Servizi su rete, Banche dati
Livelli di sicurezza
Criteri per la scelta della corretta quantità di sicurezza e relativo supporto da associare ad un servizio applicativo:
• livello di sicurezza che garantisce rispetto al riconoscimento
• possibilità organizzative e tempi per il provisioning delle qds
• costi
17/12/02 16Direzione Sviluppo Servizi su rete, Banche dati
La gestione della piattaforma
PiattaformaIride
BOUtentePA/SP
Cliente/Utente Csi
BOLocal Registration
AutorityPA
BOAdminPA/SP
BOCall Center
HDPA/SP
17/12/02 17Direzione Sviluppo Servizi su rete, Banche dati
Funzionalità del BO LRA
Ente Cliente
BO LRA
Csi
Piattaforma IRIDE
UTENTI
DOMINI
LRA
Servizi Iride
17/12/02 18Direzione Sviluppo Servizi su rete, Banche dati
Requisiti d’integrazione
Un servizio per poter essere integrato nella piattaforma di sicurezza IRIDE deve soddisfare quattro requisiti:
•Avere una pagina iniziale che costituisca l’unico punto d’accesso all’applicativo
•La prima pagina dell’applicativo deve essere in grado di leggere le variabili passate via POST da IRIDE
•Deve verificare l’integrità dei parametri ricevuti con l’algoritmo MD5
•Deve preoccuparsi di mantenere le informazioni di autenticazione ricevute
17/12/02 19Direzione Sviluppo Servizi su rete, Banche dati
IRIDEIl provisioning
17/12/02 20Direzione Sviluppo Servizi su rete, Banche dati
Componente organizzativa IRIDE
A chi ci si rivolge:•servizi iride•hd iride
I servizi che possono essere richiesti alla componente organizzativa:
•abilitazione dei servizi applicativi•produzione delle qds•assistenza
17/12/02 21Direzione Sviluppo Servizi su rete, Banche dati
Processo di provisioning delle qds
Livello 1
BO IRIDE
1. dati utente
3. elenco utenti con UN e PWD
2. generazione qds
SERVIZI
IRIDE
REF PROGETTO
4. consegna qds
UTENTE
17/12/02 22Direzione Sviluppo Servizi su rete, Banche dati
Processo di provisioning
Livello 2
BO IRIDE
1. dati utente
3. elenco utenti con UN e PWD
4. consegna UN e PWD
4. CIP
SERVIZI
IRIDERESP PROGETTO
UTENTE
2. generazione qds
17/12/02 23Direzione Sviluppo Servizi su rete, Banche dati
Processo di provisioning
Livello 3
BO IRIDE
1. dati utente
3.1 floppy con qds e busta con PWD3.2 smart card e busta con PIN
4.1 consegna PWD e floppy4.2 consegna smart card
5.1CIP
SERVIZI
IRIDE
RESP PROGETTO
UTENTE
2. generazione qds
X.1 caso di certificati da installare su browserX.2 caso di certificati SP su Smart card
5.2 PIN
