INFN-AAI Deployment Plan Stato attuale Esiste una struttura prototipale della INFN-AAI formata da 2 server LDAP protoAAI Rappresenta i rami degli account delle sedi dell’INFN Viene aggiornata da queste tramite il gateway protoserv dwDS (LDAP DataWeb) Rappresenta il ramo degli account e delle identità a livello nazionale Viene aggiornato da dataweb con i dati provenienti dal sistema informativo, db associati e db ospiti La gestione dei visitatori è affidata a Goapp Abbiamo un IdP SAML2.0-Shibboleth in produzione che utilizza dwDS per il person registry e authenticazione, quest’ultima possibile anche tramite PKI, Kerberos user/pass, Kerberos GSS-API. Obiettivo Tutti le sorgenti di dati citate vengono ora gestite separatamente In alcuni casi manualmente L’obiettivo è di unificare la base di dati e la gestione delle identità e dei servizi Il piano di deployment è dunque legato necessariamente allo sviluppo dello strumento di gestione GODiVA GANTT Milestones Gestione anagrafica Gestione account nazionali Gestione servizi Gestione account di sede Gestione gruppi GODiVA API Aprile 2010 Luglio 2010 Novembre 2010 Aprile 2010 M: Gestione Anagrafica Le sorgenti di dati attuali verranno fuse e gestite in un unico database. Tutte le persone che hanno un qualsiasi rapporto con l’INFN e chiunque ottenga dall’ente un qualsiasi tipo di servizio informatico, saranno censite nell’anagrafica generale. Da questo momento il server LDAP di produzione sarà sempre in sync (real-time) con GODiVA. I rami di sede verranno popolati a partire dai dati esistenti in protoAAI integrati dai dati degli account di sede. Gli unici DB autoritativi saranno GODiVA e SisInfo. Ospiti e Visitatori saranno gestiti da amministrazioni e segreterie. Aprile 2010 M: Gestione Account Nazionali Tramite godiva si potranno creare e modificare gli account con validità nazionale associandoli alle identità anagrafiche censite. L’Identity Provider (idp.infn.it) utilizzerà il server LDAP di produzione, per il quale saranno disponibili i seguenti metodi di autenticazione: user/pass Nazionale PKI INFN-CA user/pass Kerberos di sede GSS-API Kerberos di sede La gestione delle autorizzazioni sarà limitata agli attributi provenienti dal person registry. Luglio 2010 M: Gestione Servizi Inizia la vera gestione delle autorizzazioni. Dando la possibilità tramite l’applicativo di creare e gestire dei servizi assegnando a questi set di attributi LDAP. I servizi posso poi essere assrgnati alle persone. In questo modo sarà possibile impostare gli attributi per login unix, servizi di posta ecc. Luglio 2010 M: Gestione Account di Sede Le entry con gli attributi necessari saranno inseriti automaticamente nei rami di sede in modo da permettere la gestione delle utenze con le relative informazioni di autorizzazione. Da questo momento può partire la fase pilota nelle sedi designate e solo dopo un adeguato periodo di test e debugging sarà possibile l’implementazione di INFN-AAI in tutte le sedi. Anche le sedi potranno utilizzare i server LDAP per i loro utenti e servizi. Novembre 2010 M: Gestione Gruppi Verrà implementata la gestione ad albero dei gruppi di utenti (gruppi di gruppi). Sarà dunque possibilie assegnare gli attributi di autorizzazione ai gruppi in modo che vengano ereditati in automatico dai tutti i membri. Novembre 2010 M: GODiVA API Verrà prediposto un protocollo di comunicazione con godiva e sviluppate le opportune API per l’integrazione con altri software.