Upload
ottaviano-borrelli
View
219
Download
3
Embed Size (px)
Citation preview
22/05/2007
Roma
Relatore Luca Nicoletti
Access Management centralizzato per le applicazioni Web
L’esperienza del MEF
2
Agenda
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
3
Consip è una società per azioni creata nel 1997 dal Ministero del Tesoro (oggi Ministero dell’Economia e delle Finanze, MEF), che ne è azionista unico.
• La sua missione è quella di fornire servizi di consulenza e di assistenza progettuale, organizzativa, tecnologica per l’innovazione del MEF e delle altre strutture della Pubblica Amministrazione.
• La vision aziendale, “A fianco della PA che cambia”, racchiude l’essenza del compito svolto dall’Azienda: Consip è un partner al servizio della Pubblica Amministrazione italiana e la accompagna nel suo cammino verso la modernizzazione, contribuendo a migliorare il rapporto tra PA, cittadini e imprese.
Profilo aziendale
4
AttivitàDue sono le aree di attività Consip:
• gestione e sviluppo dei servizi informatici per il MEF (area Economia e Corte dei conti), attraverso un’attività di consulenza tecnica, organizzativa e progettuale, che investe i sistemi informativi del Ministero e le attività in materia finanziaria e contabile (l’ottimizzazione dei processi, l’introduzione di tecnologie più moderne nella gestione, la razionalizzazione e il coordinamento della spesa per l’Information Technology).
• realizzazione del Programma di razionalizzazione della spesa pubblica per beni e servizi, che si basa sull’utilizzo di tecnologie informatiche e di modalità innovative per gli acquisti delle amministrazioni (convenzioni per l’acquisto di beni e servizi, le gare telematiche, il Mercato Elettronico della Pubblica Amministrazione – MEPA - e i progetti speciali e di consulenza specifica alle amministrazioni).
5
Metodo• Consip offre servizi di consulenza e progettazione. L’Azienda si
occupa dell’ideazione strategica dei progetti, avendo maturato competenze di alto livello sull’organizzazione, i processi e i sistemi informativi della PA.
• Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le soluzioni più idonee alle esigenze delle PA. Consip è dunque anche “amministrazione aggiudicatrice” che definisce, realizza e aggiudica gare d’appalto per conto delle amministrazioni.
• Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più della metà sono impegnate nelle attività di supporto all’evoluzione informatica del MEF e un terzo nel Programma di razionalizzazione della spesa per beni e servizi delle PA. L’età media è inferiore ai 40 anni.
• Tutta l’azione di Consip si basa sui valori dell’innovazione, della trasparenza, della competenza e della concorrenza.
6
Scenario iniziale ed esigenze
• Nel 2000 non esistevano repository utente centralizzati;
• Le applicazioni avevano solo utenti interni al MEF;• Poche applicazioni “Web based”;• Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:– Repository unico;– SSO per applicazioni Web, “Cross
piattaforma”;– Integrazione con ERP (Personale, Contabilità
Economica, Controllo di Gestione).
• Nel 2000 non esistevano repository utente centralizzati;
• Le applicazioni avevano solo utenti interni al MEF;• Poche applicazioni “Web based”;• Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:– Repository unico;– SSO per applicazioni Web, “Cross
piattaforma”;– Integrazione con ERP (Personale, Contabilità
Economica, Controllo di Gestione).
7
Gli “Input” al progetto
• Diverse applicazioni ERP esistenti;• Prodotto aperto, facilmente sostituibile, no
“lock-in”;• Software selection su prodotti di SSO: Oracle.
Benefici Attesi:– Ottimizzazione di risorse esistenti;– Tempi di implementazione molto veloci;– Prodotto flessibile.
• Diverse applicazioni ERP esistenti;• Prodotto aperto, facilmente sostituibile, no
“lock-in”;• Software selection su prodotti di SSO: Oracle.
Benefici Attesi:– Ottimizzazione di risorse esistenti;– Tempi di implementazione molto veloci;– Prodotto flessibile.
8
Fasi del progetto
Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;
Fase2:Migrazione su repository LDAP;Fase3: Integrazione con autenticazione di dominio
Microsoft (Transparent login);Fase4:Profilazione basata su oggetti ed attributi
dell’LDAP;Fase5:Autenticazione multilivello;Fase6:Nuova Infrastruttura Hardware.
Fase1:Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni;
Fase2:Migrazione su repository LDAP;Fase3: Integrazione con autenticazione di dominio
Microsoft (Transparent login);Fase4:Profilazione basata su oggetti ed attributi
dell’LDAP;Fase5:Autenticazione multilivello;Fase6:Nuova Infrastruttura Hardware.
9
Fase 1 (2001)• Definizione Modello degli accessi basato su paradigma
RBAC (Role Based Access Control);• Introduzione della gestione della profilazione
applicativa basata sui gruppi;• Introduzione meccanismi di accesso per utenti esterni;• Centralizzazione utenti e gruppi di profilazione su
tabelle Oracle.
Risultati e benefici:– Tutte le principali nuove applicazioni Web del MEF in SSO;– Amministrazione/gestione delle utenze centralizzata;– Gestione della sicurezza delegata dalle applicazioni
all’Access Manager, quindi per tutte allineata su standard elevati.
10
Fase 2 (2003)
Introduzione server LDAP per il repository utente;
Risultati e benefici:– Piattaforma aperta, standard di
mercato;– Apertura verso soluzioni basate su
prodotti proprietari.
Introduzione server LDAP per il repository utente;
Risultati e benefici:– Piattaforma aperta, standard di
mercato;– Apertura verso soluzioni basate su
prodotti proprietari.
11
Fase 3 (2004)
Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);
Risultati e benefici:– L’utente che si autentica al dominio MS
tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.
Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti);
Risultati e benefici:– L’utente che si autentica al dominio MS
tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.
12
Fase 4 (2005)
Introduzione della profilazione basata su classi di oggetti LDAP;
Sviluppo Applicazione di gestione.
Risultati e benefici:– Superamento dei limiti di profilazione
tramite gruppi;– Maggiore flessibilità;– Possibilità di delegare alcune funzioni di
gestione ai gruppi applicativi.
Introduzione della profilazione basata su classi di oggetti LDAP;
Sviluppo Applicazione di gestione.
Risultati e benefici:– Superamento dei limiti di profilazione
tramite gruppi;– Maggiore flessibilità;– Possibilità di delegare alcune funzioni di
gestione ai gruppi applicativi.
ApplicazioneX_OBJ
Attributo Valore
Profilo: 1Vista dati: 2Vista funzioni: 3Settori abilitati: 12, 24, 36...Attributo N-esimo
13
Fase 5 (2005)
Introduzione meccanismi di autenticazione multilivello
Risultati e benefici:– Possibilità di autenticarsi tramite “smart card”
e certificato digitale;– Possibilità di introdurre nel futuro ed a costi
relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);
– Maggiore flessibilità nel disegno delle applicazioni.
Introduzione meccanismi di autenticazione multilivello
Risultati e benefici:– Possibilità di autenticarsi tramite “smart card”
e certificato digitale;– Possibilità di introdurre nel futuro ed a costi
relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.);
– Maggiore flessibilità nel disegno delle applicazioni.
14
Fase 6 (2007)
Nuova Infrastruttura Hardware
Nuova Infrastruttura Hardware
MEFSSOSC.TESORO.ITMEFSSO.TESORO.IT
Web Farm Oracle
ADRIANO CESARE AUGUSTO
SSOAS2SSOAS1
SSOOID1 SSOOID2
SSODB2SSODB1
CLUSTER AS
CLUSTER OID
Infrastruttura InfrastrutturaIntranet
SSOWIN1 SSOWIN2
mefsso.tesoro.it
RAC
15
Qualche numero
• 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.);
• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;
• LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007;
• 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale);
• 18.000 utenti distinti al mese.
• 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.);
• Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute;
• LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007;
• 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale);
• 18.000 utenti distinti al mese.
16
I passi futuri
Introduzione verifica CRL su OCSP
Risultati e benefici:– Elimina la necessità di scaricare e
analizzare le liste di revoca;– Provvede ad un migliore utilizzo della
banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL;
– La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.
Introduzione verifica CRL su OCSP
Risultati e benefici:– Elimina la necessità di scaricare e
analizzare le liste di revoca;– Provvede ad un migliore utilizzo della
banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL;
– La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.
17
I passi futuri
Identity FederationIdentity Federation
18
I passi futuri
Introduzione Identity management.
Risultati e benefici:– Minori oneri gestionali grazie a
funzionalità di Provisioning;– Sincronizzazione utenze e password
sui vari reporitory (Posta, domini, SSO, etc);
– Meta repository centralizzato.
Introduzione Identity management.
Risultati e benefici:– Minori oneri gestionali grazie a
funzionalità di Provisioning;– Sincronizzazione utenze e password
sui vari reporitory (Posta, domini, SSO, etc);
– Meta repository centralizzato.
19
Q&A