Access Management centralizzato per le
applicazioni Web
L’esperienza del MEF
Relatore Luca Nicoletti
Roma
22/05/2007
Agenda
Introduzione
Lo scenario iniziale
Le fasi del progetto
Lo stato dell’arte
Evoluzioni future
Q&A
1
Profilo aziendale
Consip è una società per azioni creata nel 1997 dal Ministero del
Tesoro (oggi Ministero dell’Economia e delle Finanze, MEF), che ne è
azionista unico.
• La sua missione è quella di fornire servizi di consulenza e di
assistenza progettuale, organizzativa, tecnologica per l’innovazione
del MEF e delle altre strutture della Pubblica Amministrazione.
• La vision aziendale, “A fianco della PA che cambia”, racchiude
l’essenza del compito svolto dall’Azienda: Consip è un partner al
servizio della Pubblica Amministrazione italiana e la accompagna nel
suo cammino verso la modernizzazione, contribuendo a migliorare il
rapporto tra PA, cittadini e imprese.
2
Attività
Due sono le aree di attività Consip:
• gestione e sviluppo dei servizi informatici per il MEF (area Economia e
Corte dei conti), attraverso un’attività di consulenza tecnica,
organizzativa e progettuale, che investe i sistemi informativi del Ministero
e le attività in materia finanziaria e contabile (l’ottimizzazione dei
processi, l’introduzione di tecnologie più moderne nella gestione, la
razionalizzazione e il coordinamento della spesa per l’Information
Technology).
• realizzazione del Programma di razionalizzazione della spesa pubblica
per beni e servizi, che si basa sull’utilizzo di tecnologie informatiche e di
modalità innovative per gli acquisti delle amministrazioni (convenzioni per
l’acquisto di beni e servizi, le gare telematiche, il Mercato Elettronico
della Pubblica Amministrazione – MEPA - e i progetti speciali e di
consulenza specifica alle amministrazioni).
3
Metodo
• Consip offre servizi di consulenza e progettazione. L’Azienda si occupa
dell’ideazione strategica dei progetti, avendo maturato competenze di
alto livello sull’organizzazione, i processi e i sistemi informativi della PA.
• Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le
soluzioni più idonee alle esigenze delle PA. Consip è dunque anche
“amministrazione aggiudicatrice” che definisce, realizza e aggiudica
gare d’appalto per conto delle amministrazioni.
• Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più
della metà sono impegnate nelle attività di supporto all’evoluzione
informatica del MEF e un terzo nel Programma di razionalizzazione della
spesa per beni e servizi delle PA. L’età media è inferiore ai 40 anni.
• Tutta l’azione di Consip si basa sui valori dell’innovazione, della
trasparenza, della competenza e della concorrenza.
4
Scenario iniziale ed esigenze
•
•
•
•
Nel 2000 non esistevano repository utente
centralizzati;
Le applicazioni avevano solo utenti interni al MEF;
Poche applicazioni “Web based”;
Ambiente tecnologico estremamente eterogeneo.
Esigenze primarie:
– Repository unico;
– SSO per applicazioni Web, “Cross piattaforma”;
– Integrazione con ERP (Personale, Contabilità
Economica, Controllo di Gestione).
5
Gli “Input” al progetto
•
•
•
Diverse applicazioni ERP esistenti;
Prodotto aperto, facilmente sostituibile, no “lockin”;
Software selection su prodotti di SSO: Oracle.
Benefici Attesi:
– Ottimizzazione di risorse esistenti;
– Tempi di implementazione molto veloci;
– Prodotto flessibile.
6
Fasi del progetto
Fase1: Creazione repository unico degli utenti e
definizione del modello degli accessi alle
applicazioni;
Fase2: Migrazione su repository LDAP;
Fase3: Integrazione con autenticazione di dominio
Microsoft (Transparent login);
Fase4: Profilazione basata su oggetti ed attributi
dell’LDAP;
Fase5: Autenticazione multilivello;
Fase6: Nuova Infrastruttura Hardware.
7
Fase 1 (2001)
• Definizione Modello degli accessi basato su paradigma RBAC
(Role Based Access Control);
• Introduzione della gestione della profilazione applicativa basata
sui gruppi;
• Introduzione meccanismi di accesso per utenti esterni;
• Centralizzazione utenti e gruppi di profilazione su tabelle
Oracle.
Risultati e benefici:
– Tutte le principali nuove applicazioni Web del MEF in SSO;
– Amministrazione/gestione delle utenze centralizzata;
– Gestione della sicurezza delegata dalle applicazioni all’Access
Manager, quindi per tutte allineata su standard elevati.
8
Fase 2 (2003)
Introduzione server LDAP per il repository
utente;
Risultati e benefici:
– Piattaforma aperta, standard di mercato;
– Apertura verso soluzioni basate su
prodotti proprietari.
9
Fase 3 (2004)
Integrazione con l’autenticazione a
domini/Foreste MS Windows (Transparent Login
- solo per alcuni Dipartimenti);
Risultati e benefici:
– L’utente che si autentica al dominio MS
tramite la postazione di lavoro viene
automaticamente riconosciuto ed
accreditato da tutte le applicazioni
agganciate all’SSO.
10
Fase 4 (2005)
Introduzione della profilazione basata su classi di
oggetti LDAP;
ApplicazioneX_OBJ
Attributo
Sviluppo Applicazione di gestione.
Valore
Profilo:
Vista dati:
2
Vista funzioni:
Settori abilitati:
.
.
.
Attributo N-esimo
1
3
12, 24, 36
Risultati e benefici:
– Superamento dei limiti di profilazione tramite
gruppi;
– Maggiore flessibilità;
– Possibilità di delegare alcune funzioni di
gestione ai gruppi applicativi.
11
Fase 5 (2005)
Introduzione meccanismi di autenticazione multilivello
Risultati e benefici:
– Possibilità di autenticarsi tramite “smart card” e
certificato digitale;
– Possibilità di introdurre nel futuro ed a costi
relativamente limitati, ulteriori meccanismi di
autenticazione (es. “one-time-password”, etc.);
– Maggiore flessibilità nel disegno delle
applicazioni.
12
Fase 6 (2007)
MEFSSO.TESORO.IT
Nuova Infrastruttura
Hardware
MEFSSOSC.TESORO.IT
Web Farm Oracle
ADRIANO
CESARE
Infrastruttura
AUGUSTO
Intranet
mefsso.tesoro.it
Infrastruttura
SSOWIN2
SSOWIN1
SSOAS1
SSOAS2
CLUSTER AS
CLUSTER OID
SSOOID1
SSOOID2
RAC
SSODB1
13
SSODB2
Qualche numero
•
•
•
•
•
14
52 applicazioni in SSO, su tutte le principali
tecnologie (oltre ovviamente ad Oracle, Java, .NET,
FileNet, Business Object, etc.);
Autenticazione tramite Username/Password e/o
certificato digitale di tutte le CA ufficialmente
riconosciute;
LDAP con 6 rami e 60.100 utenti, destinati a
raddoppiare entro 12/2007;
600.000 operazioni di login al mese (3.000 tramite
Smart Card e certificato digitale);
18.000 utenti distinti al mese.
I passi futuri
Introduzione verifica CRL su OCSP
Risultati e benefici:
– Elimina la necessità di scaricare e analizzare le
liste di revoca;
– Provvede ad un migliore utilizzo della banda, dal
momento che un messaggio OCSP ha una
dimensione trascurabile rispetto alle CRL;
– La ricerca tramite protocollo OCSP è più
efficiente rispetto alla verifica sequenziale delle
CRL, quindi scala in modo migliore.
15
I passi futuri
Identity Federation
16
I passi futuri
Introduzione Identity management.
Risultati e benefici:
– Minori oneri gestionali grazie a
funzionalità di Provisioning;
– Sincronizzazione utenze e password sui
vari reporitory (Posta, domini, SSO, etc);
– Meta repository centralizzato.
17
Q&A
18
Scarica

407_luca_nicoletti