Access Management centralizzato
per applicazioni WEB: l’esperienza
del MEF
Roma, 9 maggio 2005
Luca Nicoletti – Unità Disegno e progettazione Sistemi
Agenda
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
Milano, 29 Settembre 2004
La vision informatica della missione Consip
La missione :
Consip è una S.p.A. totalmente posseduta e direttamente controllata dal
Ministero dell’Economia e delle Finanze (MEF). Come tale, essa non opera sul
libero mercato e serve esclusivamente le Pubbliche Amministrazioni.
Il ruolo :
La Consip si configura, quindi, come una struttura interna al Ministero
dell’Economia e delle Finanze, in grado di assumere un ruolo trainante sia nel
campo dell’informatica, sia, più in generale, nell’ambito di iniziative a forte
carattere di innovazione.
3
La vision informatica della missione Consip
L’attuazione del programma di informatizzazione del MEF
IL RUOLO DELLA CONSIP
LE LINEE GUIDA
Consulenza attiva al MEF di
supporto alla gestione del
cambiamento, in linea con le
strategie di e-government
“Internalizzare” le conoscenze di
alto livello su organizzazione,
processi e sistemi informativi
Studio e progettazione di soluzioni
per nuove iniziative, definizione di
regole e di modalità di selezione dei
fornitori
Governare tecnicamente la
realizzazione, attraverso un ampio
“ricorso al mercato”, di soluzioni
che supportino l’Amministrazione
nel perseguimento dei suoi
obiettivi
Monitoraggio costante dei sistemi
informativi e relativo innalzamento
tecnologico in base alle offerte di
mercato
Analizzare i trend di evoluzione
(tecnologia, e-proc.) confrontando,
anche in termini di benchmark,
situazioni analoghe
Gestire il cambiamento attraverso la modernizzazione dei sistemi
informativi, la razionalizzazione ed il miglioramento dei processi del MEF,
4
perseguendo obiettivi di efficacia, efficienza ed economicità
Scenario iniziale ed esigenze
•
Nel 2000 non esistevano repository utente
centralizzati;
•
Le applicazioni avevano solo utenti interni al MEF;
•
Poche applicazioni “Web based”;
•
Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:
• Repository unico;
• SSO per applicazioni Web, “Cross piattaforma”;
• Integrazione con ERP (Personale, Contabilità
Economica, Controllo di Gestione).
Milano, 29 Settembre 2004
Gli “Input” al progetto
•
Diverse applicazioni ERP esistenti;
•
Prodotto aperto, facilmente sostituibile, no
“lock-in”.
•
Software selection su prodotti di SSO: Oracle;
Benefici Attesi:
• Ottimizzazione di risorse esistenti;
• Tempi di implementazione molto veloci;
• Prodotto flessibile.
Milano, 29 Settembre 2004
Fasi del progetto
Fase1: Creazione repository unico degli utenti e
definizione del modello degli accessi alle
applicazioni;
Fase2: Migrazione su repository LADP;
Fase3: Integrazione con autenticazione di dominio
Microsoft (Transparent login);
Fase4: Profilazione basata su oggetti ed attributi
dell’LDAP;
Fase5: Autenticazione multilivello.
Milano, 29 Settembre 2004
Fase 1 (25 mesi)
Definizione Modello degli accessi basato su
paradigma RBAC (Role Based Access Control);
Introduzione della gestione della profilazione
applicativa basata sui gruppi;
Introduzione meccanismi di accesso per utenti
esterni;
Centralizzazione utenti e gruppi di profilazione su
tabelle Oracle.
Risultati e benefici:
• Tutte le principali nuove applicazioni Web del
MEF in SSO;
• Amministrazione/gestione delle utenze
centralizzata;
• Gestione della sicurezza delegata dalle
applicazioni all’Access Manager, quindi per
tutte allineata su standard elevati.
Milano, 29 Settembre 2004
Fase 2 (6 mesi)
Introduzione server LDAP per il repository
utente;
Risultati e benefici:
• Piattaforma aperta, standard di mercato;
• Apertura verso soluzioni basate su prodotti
proprietari.
Milano, 29 Settembre 2004
Fase 3 (7 mesi)
Integrazione con l’autenticazione a
domini/Foreste MS Windows (Transparent
Login - solo per alcuni Dipartimenti);
Risultati e benefici:
• L’utente che si autentica al dominio MS
tramite la postazione di lavoro viene
automaticamente riconosciuto ed
accreditato da tutte le applicazioni
agganciate all’SSO.
Milano, 29 Settembre 2004
Fase 4 (7mesi)
Introduzione della profilazione basata su
oggetti e attributi dell’LDAP;
Sviluppo Applicazione di gestione.
Risultati e benefici:
•
Superamento dei limiti di profilazione
tramite gruppi;
•
Maggiore flessibilità;
•
Possibilità di delegare alcune funzioni di
gestione ai gruppi applicativi.
Milano, 29 Settembre 2004
Fase 5 (6 mesi)
Introduzione meccanismi di autenticazione
multilivello
Risultati e benefici:
• Possibilità di autenticarsi tramite “smart
card” e certificato digitale;
• Possibilità di introdurre nel futuro ed a
costi relativamente limitati, ulteriori
meccanismi di autenticazione (es. “onetime-password”, etc.);
• Maggiore flessibilità nel disegno delle
applicazioni.
Milano, 29 Settembre 2004
Lo stato dell‘arte
•
35 applicazioni in SSO, su tutte le principali
tecnologie (es. Java, .NET, FileNet, Business
Object, etc.);
•
Autenticazione tramite Username/Password
e/o certificato digitale di tutte le CA
ufficialmente riconosciute;
•
Accesso di utenti interni ed esterni;
•
LDAP con 6 rami e 37.200 utenti, destinati a
raddoppiare entro 12/2005;
•
Profilazione su “Object class” per le nuove
applicazioni, compatibilità con quelle
preesistenti.
Milano, 29 Settembre 2004
I passi futuri
Introduzione Identity management.
Risultati e benefici:
• Minori oneri gestionali grazie a funzionalità
di Provisioning;
• Sincronizzazione utenze e password sui
vari reporitory (Posta, domini, SSO, etc);
• Meta repository centralizzato.
Milano, 29 Settembre 2004
Q&A