IRIDE
Infrastruttura di Registrazione e IDEntificazione
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
1
IRIDE: il contesto
Argomenti presentati:
L’infrastruttura e le strategie
Processo organizzativo di provisioning
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
2
IRIDE
L’infrastruttura e le strategie
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
3
IRIDE: il contesto
Servizio di riconoscimento e abilitazione in rete:
Progetto presentato dalla Regione Piemonte al
1°bando nazionale di e-gov
Progetto ammesso al cofinanziamento (più alto
punteggio raggiunto dai progetti presentati dalla
Regione Piemonte)
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
4
IRIDE: il contesto
Perché usare IRIDE:
L’infrastruttura dà la garanzia di utilizzare le
caratteristiche necessarie per realizzare un accesso
sicuro all’applicativo
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
5
L’infrastruttura IRIDE
Necessità:
comprendere i due aspetti di Iride:
• componente tecnologica
• componente organizzativa
Obiettivi:
• acquisire le conoscenze tecniche necessarie alla
fase di analisi e progettazione degli applicativi
• conoscere le azioni necessarie per attivare
l’integrazione di un applicativo
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
6
IRIDE: Componente tecnologica
Soggetti esterni
Cittadini
Imprese
ASL
Comuni
Rupar
Piemonte
Sistema
Piemonte
IRIDE
PA
Servizi
web
Regione
Sistema
Autenticazione
per Regione
(PolicyStore int.)
Comune di
Torino
Provincia di
Torino
Servizio
web
Servizio
Client-Svr
Sistema
Autenticazione
per Comune
(Policy int.)
Servizio
web
Servizio
Client-Svr
Sistema
Autenticazione
per Provincia
(PolicyStore int.)
Servizio
web
Servizio
Client-Svr
Direzione Sviluppo Servizi su rete, Banche dati
UserStore
SP
IRIDE
SP
UserStore
PA
Servizi
web
Policy
Store
17/12/02
7
IRIDE: Componente tecnologica
IL MODELLO TECNOLOGICO DI IRIDE
Servizi al
cittadi no
Servizi alle
imprese
Servizi interente
Servizi
applicativi
Connettori per i servizi applicati vi
Modulo AtoC
Modulo AtoB
Modulo AtoA
Livello 2
Piattaforma
Modulo Autenticazi one
Gestione Quantità di Sicurezza locali (UserID e Password,
Cert ificati Sistema Piemonte) e Nazionali (Firma Digitale,
Carta Nazionale dei servizi, CIE)
DB Connector
Moduli gestione utente
Connettori per l’accesso
agli archivi degli utenti e
delle policy
Moduli per le fun zioni di
Registrazione,
Autorizzazione, Profilazione
UserStore/PolicyStore
CA Sistema Piemonte
Archivio degli utenti e
delle politiche d i accesso
Emissione certificati per
Firma Elettronica
Direzione Sviluppo Servizi su rete, Banche dati
Livello 1
Piattaforma
17/12/02
8
Il riconoscimento
Il processo di riconoscimento e abilitazione, più nel
dettaglio, è scomponibile in:
•
•
•
Autenticazione (o Identificazione) : chi sono
Autorizzazione: cosa posso fare
Profilazione: come lo posso fare
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
9
IRIDE PA e SP
IRIDE è funzionalmente distinta in due
domini:
• IRIDE - PA è rivolto agli utenti che accedono
ai servizi Rupar; realizza autenticazione,
autorizzazione e profilazione
• IRIDE - SP è rivolto a cittadini, aziende e agli
utenti di PA non in RUPAR; realizza solo
l’autenticazione degli utenti
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
10
La quantità di sicurezza
• la quantità di sicurezza è il pacchetto di
informazioni che permette all’utente di essere
identificato
• è definita dalle seguenti componenti:
– coppia user/password
– CIP (Codice Identificazione Personale)
– certificato X509v3
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
11
La quantità di sicurezza
il certificato digitale può risiedere su supporti diversi
(con garanzie di sicurezza diverse rispetto alla
possibilità di copia del certificato)
– certificato installato nel browser
– certificato su cd-card
– certificato su smart card
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
12
Livelli di sicurezza
IRIDE gestisce 4 livelli di sicurezza (in conformità a
quanto previsto dall’avviso dei progetti e-gov):
livello 0:
• l’utente viene identificato con una qualunque qds
• tutti gli utenti sono automaticamente autorizzati
livello 1:
• l’utente viene identificato con la coppia
user/password (o qds superiori)
• il singolo utente viene autorizzato all’accesso al
singolo servizio
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
13
Livelli di sicurezza
livello 2:
• l’utente viene identificato con la coppia
user/password + CIP (o qds superiori)
• il singolo utente viene autorizzato all’accesso al
singolo applicativo
livello 3:
• l’utente viene identificato da un certificato digitale
• il singolo utente viene autorizzato all’accesso al
singolo applicativo
• l’uso di un supporto fisico per il certificato
“incrementa” comunque la sicurezza garantita da
questo livello
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
14
Livelli di sicurezza
Criteri per la scelta della corretta quantità di
sicurezza e relativo supporto da associare ad un
servizio applicativo:
• livello di sicurezza che garantisce rispetto al
riconoscimento
• possibilità organizzative e tempi per il provisioning
delle qds
• costi
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
15
La gestione della piattaforma
Cliente/Utente
Csi
BO
Admin
PA/SP
BO
Utente
PA/SP
Piattaforma
Iride
BO
BO
Local Registration
Autority
PA
Call Center
HD
PA/SP
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
16
Funzionalità del BO LRA
Ente Cliente
Csi
DOMINI
UTENTI
Servizi Iride
LRA
BO LRA
Direzione Sviluppo Servizi su rete, Banche dati
Piattaforma IRIDE
17/12/02
17
Requisiti d’integrazione
Un servizio per poter essere integrato nella piattaforma di sicurezza
IRIDE deve soddisfare quattro requisiti:
•Avere una pagina iniziale che costituisca l’unico punto d’accesso
all’applicativo
•La prima pagina dell’applicativo deve essere in grado di leggere
le variabili passate via POST da IRIDE
•Deve verificare l’integrità dei parametri ricevuti con l’algoritmo MD5
•Deve preoccuparsi di mantenere le informazioni di autenticazione ricevute
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
18
IRIDE
Il provisioning
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
19
Componente organizzativa IRIDE
A chi ci si rivolge:
•servizi iride
•hd iride
I servizi che possono essere richiesti alla
componente organizzativa:
•abilitazione dei servizi applicativi
•produzione delle qds
•assistenza
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
20
Processo di provisioning delle qds
Livello 1
1. dati utente
4. consegna qds
SERVIZI
IRIDE
3. elenco utenti con
UN e PWD
REF PROGETTO
2. generazione qds
BO IRIDE
Direzione Sviluppo Servizi su rete, Banche dati
UTENTE
17/12/02
21
Processo di provisioning
Livello 2
1. dati utente
SERVIZI
IRIDE
RESP PROGETTO
3. elenco utenti con UN e PWD
4. CIP
4. consegna UN e PWD
2. generazione qds
BO IRIDE
UTENTE
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
22
Processo di provisioning
Livello 3
1. dati utente
SERVIZI
IRIDE
RESP PROGETTO
3.1 floppy con qds e busta con PWD
3.2 smart card e busta con PIN
5.1CIP
5.2 PIN
4.1 consegna PWD e floppy
4.2 consegna smart card
2. generazione qds
BO IRIDE
UTENTE
X.1 caso di certificati da installare su browser
X.2 caso di certificati SP su Smart card
Direzione Sviluppo Servizi su rete, Banche dati
17/12/02
23