Access Management centralizzato per le applicazioni Web L’esperienza del MEF Relatore Luca Nicoletti Roma 22/05/2007 Agenda Introduzione Lo scenario iniziale Le fasi del progetto Lo stato dell’arte Evoluzioni future Q&A 1 Profilo aziendale Consip è una società per azioni creata nel 1997 dal Ministero del Tesoro (oggi Ministero dell’Economia e delle Finanze, MEF), che ne è azionista unico. • La sua missione è quella di fornire servizi di consulenza e di assistenza progettuale, organizzativa, tecnologica per l’innovazione del MEF e delle altre strutture della Pubblica Amministrazione. • La vision aziendale, “A fianco della PA che cambia”, racchiude l’essenza del compito svolto dall’Azienda: Consip è un partner al servizio della Pubblica Amministrazione italiana e la accompagna nel suo cammino verso la modernizzazione, contribuendo a migliorare il rapporto tra PA, cittadini e imprese. 2 Attività Due sono le aree di attività Consip: • gestione e sviluppo dei servizi informatici per il MEF (area Economia e Corte dei conti), attraverso un’attività di consulenza tecnica, organizzativa e progettuale, che investe i sistemi informativi del Ministero e le attività in materia finanziaria e contabile (l’ottimizzazione dei processi, l’introduzione di tecnologie più moderne nella gestione, la razionalizzazione e il coordinamento della spesa per l’Information Technology). • realizzazione del Programma di razionalizzazione della spesa pubblica per beni e servizi, che si basa sull’utilizzo di tecnologie informatiche e di modalità innovative per gli acquisti delle amministrazioni (convenzioni per l’acquisto di beni e servizi, le gare telematiche, il Mercato Elettronico della Pubblica Amministrazione – MEPA - e i progetti speciali e di consulenza specifica alle amministrazioni). 3 Metodo • Consip offre servizi di consulenza e progettazione. L’Azienda si occupa dell’ideazione strategica dei progetti, avendo maturato competenze di alto livello sull’organizzazione, i processi e i sistemi informativi della PA. • Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le soluzioni più idonee alle esigenze delle PA. Consip è dunque anche “amministrazione aggiudicatrice” che definisce, realizza e aggiudica gare d’appalto per conto delle amministrazioni. • Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più della metà sono impegnate nelle attività di supporto all’evoluzione informatica del MEF e un terzo nel Programma di razionalizzazione della spesa per beni e servizi delle PA. L’età media è inferiore ai 40 anni. • Tutta l’azione di Consip si basa sui valori dell’innovazione, della trasparenza, della competenza e della concorrenza. 4 Scenario iniziale ed esigenze • • • • Nel 2000 non esistevano repository utente centralizzati; Le applicazioni avevano solo utenti interni al MEF; Poche applicazioni “Web based”; Ambiente tecnologico estremamente eterogeneo. Esigenze primarie: – Repository unico; – SSO per applicazioni Web, “Cross piattaforma”; – Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione). 5 Gli “Input” al progetto • • • Diverse applicazioni ERP esistenti; Prodotto aperto, facilmente sostituibile, no “lockin”; Software selection su prodotti di SSO: Oracle. Benefici Attesi: – Ottimizzazione di risorse esistenti; – Tempi di implementazione molto veloci; – Prodotto flessibile. 6 Fasi del progetto Fase1: Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni; Fase2: Migrazione su repository LDAP; Fase3: Integrazione con autenticazione di dominio Microsoft (Transparent login); Fase4: Profilazione basata su oggetti ed attributi dell’LDAP; Fase5: Autenticazione multilivello; Fase6: Nuova Infrastruttura Hardware. 7 Fase 1 (2001) • Definizione Modello degli accessi basato su paradigma RBAC (Role Based Access Control); • Introduzione della gestione della profilazione applicativa basata sui gruppi; • Introduzione meccanismi di accesso per utenti esterni; • Centralizzazione utenti e gruppi di profilazione su tabelle Oracle. Risultati e benefici: – Tutte le principali nuove applicazioni Web del MEF in SSO; – Amministrazione/gestione delle utenze centralizzata; – Gestione della sicurezza delegata dalle applicazioni all’Access Manager, quindi per tutte allineata su standard elevati. 8 Fase 2 (2003) Introduzione server LDAP per il repository utente; Risultati e benefici: – Piattaforma aperta, standard di mercato; – Apertura verso soluzioni basate su prodotti proprietari. 9 Fase 3 (2004) Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti); Risultati e benefici: – L’utente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO. 10 Fase 4 (2005) Introduzione della profilazione basata su classi di oggetti LDAP; ApplicazioneX_OBJ Attributo Sviluppo Applicazione di gestione. Valore Profilo: Vista dati: 2 Vista funzioni: Settori abilitati: . . . Attributo N-esimo 1 3 12, 24, 36 Risultati e benefici: – Superamento dei limiti di profilazione tramite gruppi; – Maggiore flessibilità; – Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi. 11 Fase 5 (2005) Introduzione meccanismi di autenticazione multilivello Risultati e benefici: – Possibilità di autenticarsi tramite “smart card” e certificato digitale; – Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.); – Maggiore flessibilità nel disegno delle applicazioni. 12 Fase 6 (2007) MEFSSO.TESORO.IT Nuova Infrastruttura Hardware MEFSSOSC.TESORO.IT Web Farm Oracle ADRIANO CESARE Infrastruttura AUGUSTO Intranet mefsso.tesoro.it Infrastruttura SSOWIN2 SSOWIN1 SSOAS1 SSOAS2 CLUSTER AS CLUSTER OID SSOOID1 SSOOID2 RAC SSODB1 13 SSODB2 Qualche numero • • • • • 14 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.); Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute; LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007; 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale); 18.000 utenti distinti al mese. I passi futuri Introduzione verifica CRL su OCSP Risultati e benefici: – Elimina la necessità di scaricare e analizzare le liste di revoca; – Provvede ad un migliore utilizzo della banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL; – La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore. 15 I passi futuri Identity Federation 16 I passi futuri Introduzione Identity management. Risultati e benefici: – Minori oneri gestionali grazie a funzionalità di Provisioning; – Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc); – Meta repository centralizzato. 17 Q&A 18