INFN-AAI
Deployment Plan
Stato attuale



Esiste una struttura prototipale della INFN-AAI formata da 2 server
LDAP
 protoAAI
 Rappresenta i rami degli account delle sedi dell’INFN
 Viene aggiornata da queste tramite il gateway protoserv
 dwDS (LDAP DataWeb)
 Rappresenta il ramo degli account e delle identità a livello
nazionale
 Viene aggiornato da dataweb con i dati provenienti dal sistema
informativo, db associati e db ospiti
La gestione dei visitatori è affidata a Goapp
Abbiamo un IdP SAML2.0-Shibboleth in produzione che utilizza
dwDS per il person registry e authenticazione, quest’ultima possibile
anche tramite PKI, Kerberos user/pass, Kerberos GSS-API.
Obiettivo



Tutti le sorgenti di dati citate vengono ora
gestite separatamente
 In alcuni casi manualmente
L’obiettivo è di unificare la base di dati e la
gestione delle identità e dei servizi
Il piano di deployment è dunque legato
necessariamente allo sviluppo dello strumento
di gestione GODiVA
GANTT
Milestones

Gestione anagrafica

Gestione account nazionali

Gestione servizi

Gestione account di sede

Gestione gruppi

GODiVA API
Aprile 2010
Luglio 2010
Novembre 2010
Aprile 2010
M: Gestione Anagrafica
Le sorgenti di dati attuali verranno fuse e gestite in un
unico database. Tutte le persone che hanno un qualsiasi
rapporto con l’INFN e chiunque ottenga dall’ente un
qualsiasi tipo di servizio informatico, saranno censite
nell’anagrafica generale.
Da questo momento il server LDAP di produzione sarà
sempre in sync (real-time) con GODiVA.
I rami di sede verranno popolati a partire dai dati esistenti
in protoAAI integrati dai dati degli account di sede.
Gli unici DB autoritativi saranno GODiVA e SisInfo.
Ospiti e Visitatori saranno gestiti da amministrazioni e
segreterie.
Aprile 2010
M: Gestione Account Nazionali
Tramite godiva si potranno creare e modificare gli account con
validità nazionale associandoli alle identità anagrafiche
censite.
L’Identity Provider (idp.infn.it) utilizzerà il server LDAP di
produzione, per il quale saranno disponibili i seguenti metodi
di autenticazione:
 user/pass Nazionale
 PKI INFN-CA
 user/pass Kerberos di sede
 GSS-API Kerberos di sede
La gestione delle autorizzazioni sarà limitata agli attributi
provenienti dal person registry.
Luglio 2010
M: Gestione Servizi
Inizia la vera gestione delle autorizzazioni. Dando
la possibilità tramite l’applicativo di creare e
gestire dei servizi assegnando a questi set di
attributi LDAP.
I servizi posso poi essere assrgnati alle persone.
In questo modo sarà possibile impostare gli
attributi per login unix, servizi di posta ecc.
Luglio 2010
M: Gestione Account di Sede
Le entry con gli attributi necessari saranno inseriti
automaticamente nei rami di sede in modo da
permettere la gestione delle utenze con le
relative informazioni di autorizzazione.
Da questo momento può partire la fase pilota
nelle sedi designate e solo dopo un adeguato
periodo di test e debugging sarà possibile
l’implementazione di INFN-AAI in tutte le sedi.
Anche le sedi potranno utilizzare i server LDAP
per i loro utenti e servizi.
Novembre 2010
M: Gestione Gruppi
Verrà implementata la gestione ad albero dei
gruppi di utenti (gruppi di gruppi). Sarà dunque
possibilie assegnare gli attributi di
autorizzazione ai gruppi in modo che vengano
ereditati in automatico dai tutti i membri.
Novembre 2010
M: GODiVA API
Verrà prediposto un protocollo di comunicazione
con godiva e sviluppate le opportune API per
l’integrazione con altri software.