Autenticazione federata:
Shibboleth
Dario Orselli
Centro di Ateneo per le Biblioteche
Università di Messina
Seminario
Pescara, Sala convegni CARIPE, 22 – 23 magio 2007
Parleremo di:
AAI
Federazioni
Cos’è Shibboleth
Architettura di Shibboleth
Stato dell’arte
Conclusioni
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
alcuni concetti ….
autenticazione: il processo tramite il quale si
è riconosciuti come facente parte di un
dominio
autorizzazione: una volta riconosciuto, quali
sono le credenziali e cioè cosa si è autorizzati
a (quali servizi posso utilizzare)
risorsa web: è il servizio o l’applicazione cui si
vuole accedere
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Contesto
gli scenari più comuni di autenticazione:

per IP: accesso anonimo, su larga scala
 no accesso remoto, manutenzione complicata
 Es: editori commerciali

utente e password: accesso personalizzato,
remoto
 amministrazione complessa per AR, differenti
accounts per diversi servizi
 Es: web mail, Emeroteca Virtuale
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
A.A.I.
Authentication and Authorization Infrastructure

la realizzazione di una architettura (infrastruttura) per semplificare
l’accesso alle diverse risorse web, anche tra diverse organizzazioni
(università, enti, etc.):
• In una ambiente senza AAI un utente per poter accedere ad una risorsa deve
di volta in volta loggarsi con accounts spesso diversi
• In una AAI ogni risorsa è accessibile tramite un solo login: la procedura è
gestita (di norma) presso il dominio di appartenenza dell’utente
•
•
•
•
SSO (Single Sign On)
no ridondanza dei dati utente
l’accesso alle risorse è basato sulle credenziali/attributi dell’utente
concetto di gestione dell’ identità federata
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
A.A.I.
© SWITCH
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Federazione
è un insieme di organizzazioni (università, enti) che decidono di
scambiarsi informazioni (condivisione di risorse e/o servizi,
applicazioni) secondo regole e attraverso una infrastruttura
(AAI) che è certificata e sicura
richiede l’attuazione di politiche comuni es.: i membri
concordano l’aspetto legale, le “policies” e la tecnologia da
adottare
esistono già delle federazioni: si parla infatti di cofedarazioni:




Shibboleth: U.K., Finlandia, Svizzera
Papi: Spagna
A-Select: Olanda
Liberty Alliance: Norvegia
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
…sulla storia di Shibboleth*
Sacra Bibbia. Libro dei Giudici, cap 12, 4-6
[4] Iefte, radunati tutti gli uomini di Gàlaad, diede battaglia ad Efraim; gli
uomini di Gàlaad sconfissero gli Efraimiti, perché questi dicevano: "Voi siete
fuggiaschi di Efraim; Gàlaad sta in mezzo a Efraim e in mezzo a Manàsse".
[5] I Galaaditi intercettarono agli Efraimiti i guadi del Giordano; quando uno
dei fuggiaschi di Efraim diceva: "Lasciatemi passare", gli uomini di Gàlaad gli
chiedevano: "Sei un Efraimita?". Se quegli rispondeva: "No",
[6] i Galaaditi gli dicevano: "Ebbene, dì Scibbolet", e quegli diceva
Sibbolet, non sapendo pronunciare bene. Allora lo afferravano e lo
uccidevano presso i guadi del Giordano. In quella occasione perirono
quarantaduemila uomini di Efraim.
[* letteralmente, torrente]
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Cos’è Shibboleth
è un progetto del gruppo MACE/Internet 2 che si prefigge di sviluppare
una soluzione open source per l’accesso a risorse/servizi web condivisi
tramite credenziali di autorizzazione:
 implementa SSO (accesso federato) e di conseguenza la sicurezza e
la pricacy
 permette lo scambio di attributi utente per consentire l’accesso alle
risorse e/o servizi
 Uso SAML (Security Assertion Markup Language), framework
basato su XML per lo scambio di informazioni (“assertions”) per
l’autenticazione e autorizzazione
 usa PKI come standard per la certificazione delle entità coinvolte
 gestione del rilascio e dell’accettazione degli attributi
 definisce un set di attributi ampliabile: quello standard è lo schema
eduPerson
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth
tre sono i principali componenti
nell’architettura di Shibboleth



Service provider (SP)
Identity provider (IdP)
WAYF (Where Are You From) service
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: SP
SP è chi fornisce la risorsa o il servizio
da proteggere: un sito, una
applicazione.
requisiti di sistema (architettura)




O.S. Windows, Linux, Solaris, Mac OS X
Apache Web Server
OpenSSL (per i certificati)
NTP (Network Time Protocol)
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: IdP
IdP ha il compito di autenticare l’utente e di
fornire gli attributi richiesti (dal SP)

di norma è implementato nella propria “Home
Istitution”
requisiti di sistema (architettura)






O.S. Windows, Linux, Solaris, Mac OS X
Apache Web Server
Java +Tomcat
OpenLdap (schemi inetOrgPerson, SCHAC)
OpenSSL (per i certificati)
NTP (Network Time Protocol)
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Architettura di Shibboleth: WAYF
WAYF (Where Are You From?) è il servizio che
permette all’utente di scegliere/scoprire l’IdP
di appartenenza dove autenticarsi
requisiti di sistema (architettura)





O.S. Windows, Linux, Solaris, Mac OS X
Apache Web Server
PHP
OpenSSL (per i certificati)
NTP (Network Time Protocol)
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Esempio: federazione
© SWITCH
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Flow chart di Shibboleth
© SWITCH
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Chi lo sta usando (come test)
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
E noi??
Stiamo iniziando adesso….
Si sono creati i gruppi di lavoro sotto
egida GARR


politico (definizione)
tecnico (definizione dei documenti)
 Attributi e Privacy
 Software
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Conclusioni
Una autenticazione a livello di persona
e non più a livello di macchina
(indirizzo IP)
Un sistema per “raggruppare” le
credenziali d’accesso ai diversi servizi
L’affermazione del progetto passa
attraverso la costituzione dei SP
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.
Grazie per
l’attenzione
Pescara - Sala Convegni CARIPE
22-23 MAggio 2007
Seminario residenziale C.I.B.E.R.