際際滷

際際滷Share a Scribd company logo

Cohesion 2.0: l'esperienza della Regione Marche

University of Camerino
University of Camerino

Lintervento presenta lesperienza della Regione Marche, a partire dal 2001, sui temi dellidentit digitale. Saranno descritte le infrastrutture applicative realizzate, avviate e in uso, dal sistema per il rilascio della Carta CNS Raffaello al sistema di autenticazione single sign on Cohesion. Infine, si approfondir, dal punto di vista tecnologico e architetturale, levoluzione di questultimo in ottica federata, in linea con gli standard interregionali emersi nellambito del progetto ICAR INF3.

1 of 25
Cohesion 2.0: lesperienza della Regione Marche Andrea Sergiacomi Barbara Re Regione Marche Universit degli Studi di Camerino Terzo Convegno IDEM & IDEM Day Bologna, 9 Novembre 2011
Agenda ≒ Iden)t digitale in Europa e in Italia: visione dinsieme ≒ Regione Marche: Approccio allIden)t ≒ FedCohesion (Cohesion 2.0) ≒ Conclusioni e Sviluppi Futuri
Iden)t Digitale in Europa Programma di Stoccolma Europe 2020 Un Europa aperta e sicura al servizio e a A European strategy for smart, tutela dei ci7adini sustainable and inclusive growth Piano d'azione per l'a7uazione del Digital Agenda -足 AcEon 8: Revision and programma di Stoccolma AdopEon of the eSignature direcEve (Obie<vo della Commissione per il 2012) (Obie<vo della Commissione per il 2012) Strategia europea sulla ges)one dell'iden)t, Revision of the eSignature Direc3ve with a view comprendente proposte legisla)ve sulla to provide a legal framework for cross-足border quali鍖ca come reato del furto di iden)t, recogni3on and interoperability of secure nonch辿 sull'iden)t eleKronica e su sistemi eAuthen3ca3on systems di auten)cazione sicuri
Iden)t Digitale in Italia ≒ Codice dellAmministrazione Digitale rivisto e rela)ve regole tecniche (in fase di emanazione) ≒ Modello di Ges)one Federata delle Iden)t Digitali (GFID) pubblicato nellambito del sistema SPCoop da parte di DigitPA ≒ Strumen) abilitan): Carta dIden)t EleKronica, Carta Nazionale dei Servizi e Carta Regionale dei Servizi, Tessera Sanitaria con funzione CNS, Posta EleKronica Cer)鍖cata Di鍖usione dei sistemi di idenEt digitale fonte DigitPA (dicembre 2009) Carta nazionale dei servizi 20 mln Carta d'iden)t eleKronica 2,5 mln
Sostenibilit dellIden)t Digitale Creazione di una community network in grado di condividere servizi, standard e modelli di interscambio che permettano agli stakeholder di lavorare insieme per lo sviluppo della societ dellinformazione e dei processi di innovazione.
Iden)t come Community Il riconoscimento degli uten) in una community richiede che: I membri della community condividano un modello di rappresentazione della iden)t digitale I membri della community siano reciprocamente lega) da una relazione di 鍖ducia
Regione Marche Approccio allIden)t Carta Ra鍖aello PEC postara鍖aello.it emarche.it FedCohesion www.ecommunity.marche.it
CNS -足 Carta Ra鍖aello ≒ Con)ene un cer)鍖cato di auten)cazione, le cui caraKeris)che rispeKano le regole tecniche standard nazionali, rilasciato da un cer)鍖catore accreditato ≒ Con)ene un cer)鍖cato di 鍖rma digitale rilasciato da un cer)鍖catore accreditato ≒ Cer)鍖ca il codice 鍖scale ≒ Pu嘆 essere carta di pagamento www.cartara鍖aello.it
PEC -足 @PostaRa鍖aello.it Schema logico del funzionamento della PEC dominio @postaraffaello.it (o analogamente @emarche.it) con un altro Gestore di Posta Certificata www.postara鍖aello.it (ci0adini) www.emarche.it (PA)
Iden)t Digitale nella Regione Marche ≒ n属 Carte Ra鍖ello rilasciate: 45.000 CNS Carta Ra鍖aello ≒ n属 PIN Ra鍖ello rilascia): 6.000 ≒ n属 chiamate mensili allhelp desk Carta Ra鍖aello evase: 175/mese di cui 50 traKate dal supporto tecnico di 2属livello ≒ n属 sportelli di registrazione sul territorio, oltre al centro tecnico regionale: 145 PEC Posta Ra鍖aello ≒ n属 caselle emarche e postara鍖aello rilasciate: 46.000 E-足Marche ≒ n属 email cer)鍖cate inviate dagli account registra): 274.000 ≒ n属 email cer)鍖cate ricevute dagli account registra): 301.000 ≒ n属 chiamate mensili allhelp desk SUAP evase: 75/mese di cui 20 traKate dal supporto tecnico di 2属livello Da9 O0obre 2011
TS-足CNS in ambito sanitario
FedCohesion ≒ E il framework applica)vo di auten)cazione federata della Regione Marche per laccesso ai servizi telema)ci ai ciKadini ed alle imprese ≒ O鍖re una serie di servizi infrastruKurali e di base aKraverso i quali abilitare lesposizione on-足line e lerogazione dei servizi telema)ci ≒ Garan)sce il servizio di SSO cos狸 da auten)care lutente una sola volta rispeKo a tug gli erogatori di servizi che fanno parte della comunit Qualche dato (O7obre 2011) ≒n属 uten) censi) nellLDAP regionale: 61.000 ≒n属 applica)vi web / sistemi informa)vi abilita) ed integra) con Cohesion/SSO: 50
FedCohesion Livelli di AutenEcazione Principali sistemi integraE ≒ Autovalutazione Ges)one del processo di ≒ Forte autovalutazione dei musei delle Marche Username, Psw e Pin ≒ COMarche Comunicazioni Obbligatorie dei datori di lavoro CIE (Carta dIden)t ≒ DODIBOX Ges)one compilazione EleKronica) o CNS (Carta modulis)ca online e inoltro dei 鍖ussi applica)vi risultan) Nazionale dei Servizi) ovvero ≒ GIUSTO Ges)one dei gius)鍖ca)vi digitali la Carta Ra鍖aello dei dipenden) regionali, Posta Ra鍖aello ≒ Debole ≒ Emarche Interfacce di consultazione della Posta EleKronica Cer)鍖cata Auto-足registrazione ≒ SIAGI Sistema integrato per la ges)one delle risorse 鍖nanziarie, umane e strumentali Username e Psw ≒ SIAR Sistema Informa)vo Agricolo Regionale ≒ SIGFRIDO Monitoraggio e rendicontazione fondi POR FESR e PAR FAS 2007-足2013, etc.
Pagina WAYF
Standard e Federazioni Indipendentemente dai pro鍖li e dagli scenari d'uso l'approccio migliore per a鍖rontare il problema di ges)one delle iden)t digitali consiste nell'adoKare soluzioni standard Security Asser)on Markup Language (SAML) WS-足* (WS-足star) suite of speci鍖ca)ons Liberty Alliance protocols (ID-足FF) OpenID FedCohesion si basa su standard SAML
Cohesion 1.0
IdP Federato 1 IdP Federato 2 IdP Federato n Cohesion Service Provider Cohesion Service Identity provider SSOLibrary Provider Manager 2 Pagina web WAYF SA SAML2 Input proteKa Smart cards IdP choice 3 User/Password SAML 5 Domain 1 8 4 request sender SSO 1 Check SAML2 Output 7 SAML 6 Collector Get Creden)als SP Federato 1 Get Creden)als Check SAML 2-3-4 Get SAML SP Federato 2 Creden)als SP Federato n 6-7-8
Cohesion 2.0: l'esperienza della Regione Marche
Federazione IDEM ≒ Avvio Sperimentazione (luglio 2011) ed integrazione aKribu) mancan) e richies) come obbligatori (a>ribu3 di ausilio alla fase di autorizzazione ed eventualmente di accoun3ng) ≒ Con鍖gurazione ed esecuzione dei test (seKembre 2011) ≒ In corso procedure amministra)ve
Ges)one dei Pro鍖li ≒ E consolidato un pro鍖lo FedCohesion di base Sono ges)) gli aKribu) eduPersonScopedA鍖lia)on, eduPersonTargetedID, eduPersonScopedA鍖lia)on alla risposta SAML generata dallIdP Cohesion ≒ Lintegrazione con icar-足inf3 permeKe di ges)re il pro鍖lo come un portafoglio gestendo aKribu) e ruoli garan)) e cer)鍖ca) dai gius) en); un utente pu嘆 avere diversi pro鍖li ciascuno dei quali 竪 una diversa sezione della sua iden)t digitale ≒ Per quel che riguarda le poli)che autorizza)ve la Regione Marche ha scelto di garan)re la consistenza rispeKo alle poli)che implementate dalle singole applicazioni Si riduce la complessit rispeKo alla ges)one delle poli)che autorizza)ve Si favorisce il disaccoppiamento tra la logica di accesso e quella di servizio
Federazioni 2.0 ≒ La federazione come presupposto per linteroperabilit evoluta cos狸 da o鍖rire servizi tramite cooperazione applica)va Una rete di 鍖ducia con riconoscimento reciproco dell'iden)t digitale aKestata da un ente federato Una rete di servizi federa) per una reale e concreta interoperabilit ≒ La federazione per abilitare le community network territoriali in ogca interregionale ed Europea ≒ Integrazioni con i Social Network Social Network
Sperimentazioni a favore dellinclusivit in ogca mul)canale Digitale Terrestre Auten)cazione 2.0 Switch-off nella Regione Marche previsto per dicembre 2011 Disposi)vi mobili
Hype Cycle for IdenEty and Access Management Technologies Sliding Into the Entering the On the Rise At the Peak Climbing the Slope O鍖 the Hype Cycle Trough Plateau ≒High-足Assurance ≒IAM as a Service ≒Iden)ty and ≒Biometric ≒ERP SOD Controls ≒Security Token Public Iden)ty ≒En)tlement Access Intelligence Authen)ca)on ≒X.509 Smart Services Provider Management ≒Common Access Methods Tokens for User ≒OAuth ≒Iden)ty-足Aware Cards ≒Virtual Directories Authen)ca)on Networks ≒Versa)le ≒Privileged Account ≒Ac)ve Directory/ ≒Model-足Driven Authen)ca)on Ac)vity Kerberos Security ≒Servers and Management ≒Enterprise Single ≒Informa)on Cards Services ≒Public-足Key Sign-足On ≒Microsot ≒Iden)ty-足Proo鍖ng Opera)ons ≒Web Access Resource Access Services ≒User Provisioning Management Administra)on ≒Iden)ty and ≒E-足Signatures Access ≒Phone-足Based Governance Authen)ca)on ≒Device-足Embedded Methods Biometric ≒SIEM Authen)ca)on ≒Federated Iden)ty ≒Enterprise Digital Management Rights Management ≒IAM Managed and Hosted Services ≒Applica)on-足to-足 Applica)on ≒Password Management Tools ≒OpenID ≒IAM Services Consul)ng and Integra)on Gartner, 2011
Conclusioni ≒ Iden)t digitale come faKore abilitante i servizi on-足 line ≒ Soluzioni tecnologiche standard a favore della sostenibilit delle applicazioni regionali aKualmente esisten) ≒ Approccio alla federazione quale soluzione adoKata a favore di una community regionale e interregionale ≒ Sperimentazioni volte a favorire linclusivit in ogca mul)canale
Grazie per lattenzione! Andrea Sergiacomi Barbara Re Regione Marche Universit degli Studi di Camerino andrea.sergiacomi@regione.marche.it barbara.re@unicam.it

More Related Content

Cohesion 2.0: l'esperienza della Regione Marche

  • 1. Cohesion 2.0: lesperienza della Regione Marche Andrea Sergiacomi Barbara Re Regione Marche Universit degli Studi di Camerino Terzo Convegno IDEM & IDEM Day Bologna, 9 Novembre 2011
  • 2. Agenda ≒ Iden)t digitale in Europa e in Italia: visione dinsieme ≒ Regione Marche: Approccio allIden)t ≒ FedCohesion (Cohesion 2.0) ≒ Conclusioni e Sviluppi Futuri
  • 3. Iden)t Digitale in Europa Programma di Stoccolma Europe 2020 Un Europa aperta e sicura al servizio e a A European strategy for smart, tutela dei ci7adini sustainable and inclusive growth Piano d'azione per l'a7uazione del Digital Agenda -足 AcEon 8: Revision and programma di Stoccolma AdopEon of the eSignature direcEve (Obie<vo della Commissione per il 2012) (Obie<vo della Commissione per il 2012) Strategia europea sulla ges)one dell'iden)t, Revision of the eSignature Direc3ve with a view comprendente proposte legisla)ve sulla to provide a legal framework for cross-足border quali鍖ca come reato del furto di iden)t, recogni3on and interoperability of secure nonch辿 sull'iden)t eleKronica e su sistemi eAuthen3ca3on systems di auten)cazione sicuri
  • 4. Iden)t Digitale in Italia ≒ Codice dellAmministrazione Digitale rivisto e rela)ve regole tecniche (in fase di emanazione) ≒ Modello di Ges)one Federata delle Iden)t Digitali (GFID) pubblicato nellambito del sistema SPCoop da parte di DigitPA ≒ Strumen) abilitan): Carta dIden)t EleKronica, Carta Nazionale dei Servizi e Carta Regionale dei Servizi, Tessera Sanitaria con funzione CNS, Posta EleKronica Cer)鍖cata Di鍖usione dei sistemi di idenEt digitale fonte DigitPA (dicembre 2009) Carta nazionale dei servizi 20 mln Carta d'iden)t eleKronica 2,5 mln
  • 5. Sostenibilit dellIden)t Digitale Creazione di una community network in grado di condividere servizi, standard e modelli di interscambio che permettano agli stakeholder di lavorare insieme per lo sviluppo della societ dellinformazione e dei processi di innovazione.
  • 6. Iden)t come Community Il riconoscimento degli uten) in una community richiede che: I membri della community condividano un modello di rappresentazione della iden)t digitale I membri della community siano reciprocamente lega) da una relazione di 鍖ducia
  • 7. Regione Marche Approccio allIden)t Carta Ra鍖aello PEC postara鍖aello.it emarche.it FedCohesion www.ecommunity.marche.it
  • 8. CNS -足 Carta Ra鍖aello ≒ Con)ene un cer)鍖cato di auten)cazione, le cui caraKeris)che rispeKano le regole tecniche standard nazionali, rilasciato da un cer)鍖catore accreditato ≒ Con)ene un cer)鍖cato di 鍖rma digitale rilasciato da un cer)鍖catore accreditato ≒ Cer)鍖ca il codice 鍖scale ≒ Pu嘆 essere carta di pagamento www.cartara鍖aello.it
  • 9. PEC -足 @PostaRa鍖aello.it Schema logico del funzionamento della PEC dominio @postaraffaello.it (o analogamente @emarche.it) con un altro Gestore di Posta Certificata www.postara鍖aello.it (ci0adini) www.emarche.it (PA)
  • 10. Iden)t Digitale nella Regione Marche ≒ n属 Carte Ra鍖ello rilasciate: 45.000 CNS Carta Ra鍖aello ≒ n属 PIN Ra鍖ello rilascia): 6.000 ≒ n属 chiamate mensili allhelp desk Carta Ra鍖aello evase: 175/mese di cui 50 traKate dal supporto tecnico di 2属livello ≒ n属 sportelli di registrazione sul territorio, oltre al centro tecnico regionale: 145 PEC Posta Ra鍖aello ≒ n属 caselle emarche e postara鍖aello rilasciate: 46.000 E-足Marche ≒ n属 email cer)鍖cate inviate dagli account registra): 274.000 ≒ n属 email cer)鍖cate ricevute dagli account registra): 301.000 ≒ n属 chiamate mensili allhelp desk SUAP evase: 75/mese di cui 20 traKate dal supporto tecnico di 2属livello Da9 O0obre 2011
  • 11. TS-足CNS in ambito sanitario
  • 12. FedCohesion ≒ E il framework applica)vo di auten)cazione federata della Regione Marche per laccesso ai servizi telema)ci ai ciKadini ed alle imprese ≒ O鍖re una serie di servizi infrastruKurali e di base aKraverso i quali abilitare lesposizione on-足line e lerogazione dei servizi telema)ci ≒ Garan)sce il servizio di SSO cos狸 da auten)care lutente una sola volta rispeKo a tug gli erogatori di servizi che fanno parte della comunit Qualche dato (O7obre 2011) ≒n属 uten) censi) nellLDAP regionale: 61.000 ≒n属 applica)vi web / sistemi informa)vi abilita) ed integra) con Cohesion/SSO: 50
  • 13. FedCohesion Livelli di AutenEcazione Principali sistemi integraE ≒ Autovalutazione Ges)one del processo di ≒ Forte autovalutazione dei musei delle Marche Username, Psw e Pin ≒ COMarche Comunicazioni Obbligatorie dei datori di lavoro CIE (Carta dIden)t ≒ DODIBOX Ges)one compilazione EleKronica) o CNS (Carta modulis)ca online e inoltro dei 鍖ussi applica)vi risultan) Nazionale dei Servizi) ovvero ≒ GIUSTO Ges)one dei gius)鍖ca)vi digitali la Carta Ra鍖aello dei dipenden) regionali, Posta Ra鍖aello ≒ Debole ≒ Emarche Interfacce di consultazione della Posta EleKronica Cer)鍖cata Auto-足registrazione ≒ SIAGI Sistema integrato per la ges)one delle risorse 鍖nanziarie, umane e strumentali Username e Psw ≒ SIAR Sistema Informa)vo Agricolo Regionale ≒ SIGFRIDO Monitoraggio e rendicontazione fondi POR FESR e PAR FAS 2007-足2013, etc.
  • 15. Standard e Federazioni Indipendentemente dai pro鍖li e dagli scenari d'uso l'approccio migliore per a鍖rontare il problema di ges)one delle iden)t digitali consiste nell'adoKare soluzioni standard Security Asser)on Markup Language (SAML) WS-足* (WS-足star) suite of speci鍖ca)ons Liberty Alliance protocols (ID-足FF) OpenID FedCohesion si basa su standard SAML
  • 17. IdP Federato 1 IdP Federato 2 IdP Federato n Cohesion Service Provider Cohesion Service Identity provider SSOLibrary Provider Manager 2 Pagina web WAYF SA SAML2 Input proteKa Smart cards IdP choice 3 User/Password SAML 5 Domain 1 8 4 request sender SSO 1 Check SAML2 Output 7 SAML 6 Collector Get Creden)als SP Federato 1 Get Creden)als Check SAML 2-3-4 Get SAML SP Federato 2 Creden)als SP Federato n 6-7-8
  • 19. Federazione IDEM ≒ Avvio Sperimentazione (luglio 2011) ed integrazione aKribu) mancan) e richies) come obbligatori (a>ribu3 di ausilio alla fase di autorizzazione ed eventualmente di accoun3ng) ≒ Con鍖gurazione ed esecuzione dei test (seKembre 2011) ≒ In corso procedure amministra)ve
  • 20. Ges)one dei Pro鍖li ≒ E consolidato un pro鍖lo FedCohesion di base Sono ges)) gli aKribu) eduPersonScopedA鍖lia)on, eduPersonTargetedID, eduPersonScopedA鍖lia)on alla risposta SAML generata dallIdP Cohesion ≒ Lintegrazione con icar-足inf3 permeKe di ges)re il pro鍖lo come un portafoglio gestendo aKribu) e ruoli garan)) e cer)鍖ca) dai gius) en); un utente pu嘆 avere diversi pro鍖li ciascuno dei quali 竪 una diversa sezione della sua iden)t digitale ≒ Per quel che riguarda le poli)che autorizza)ve la Regione Marche ha scelto di garan)re la consistenza rispeKo alle poli)che implementate dalle singole applicazioni Si riduce la complessit rispeKo alla ges)one delle poli)che autorizza)ve Si favorisce il disaccoppiamento tra la logica di accesso e quella di servizio
  • 21. Federazioni 2.0 ≒ La federazione come presupposto per linteroperabilit evoluta cos狸 da o鍖rire servizi tramite cooperazione applica)va Una rete di 鍖ducia con riconoscimento reciproco dell'iden)t digitale aKestata da un ente federato Una rete di servizi federa) per una reale e concreta interoperabilit ≒ La federazione per abilitare le community network territoriali in ogca interregionale ed Europea ≒ Integrazioni con i Social Network Social Network
  • 22. Sperimentazioni a favore dellinclusivit in ogca mul)canale Digitale Terrestre Auten)cazione 2.0 Switch-off nella Regione Marche previsto per dicembre 2011 Disposi)vi mobili
  • 23. Hype Cycle for IdenEty and Access Management Technologies Sliding Into the Entering the On the Rise At the Peak Climbing the Slope O鍖 the Hype Cycle Trough Plateau ≒High-足Assurance ≒IAM as a Service ≒Iden)ty and ≒Biometric ≒ERP SOD Controls ≒Security Token Public Iden)ty ≒En)tlement Access Intelligence Authen)ca)on ≒X.509 Smart Services Provider Management ≒Common Access Methods Tokens for User ≒OAuth ≒Iden)ty-足Aware Cards ≒Virtual Directories Authen)ca)on Networks ≒Versa)le ≒Privileged Account ≒Ac)ve Directory/ ≒Model-足Driven Authen)ca)on Ac)vity Kerberos Security ≒Servers and Management ≒Enterprise Single ≒Informa)on Cards Services ≒Public-足Key Sign-足On ≒Microsot ≒Iden)ty-足Proo鍖ng Opera)ons ≒Web Access Resource Access Services ≒User Provisioning Management Administra)on ≒Iden)ty and ≒E-足Signatures Access ≒Phone-足Based Governance Authen)ca)on ≒Device-足Embedded Methods Biometric ≒SIEM Authen)ca)on ≒Federated Iden)ty ≒Enterprise Digital Management Rights Management ≒IAM Managed and Hosted Services ≒Applica)on-足to-足 Applica)on ≒Password Management Tools ≒OpenID ≒IAM Services Consul)ng and Integra)on Gartner, 2011
  • 24. Conclusioni ≒ Iden)t digitale come faKore abilitante i servizi on-足 line ≒ Soluzioni tecnologiche standard a favore della sostenibilit delle applicazioni regionali aKualmente esisten) ≒ Approccio alla federazione quale soluzione adoKata a favore di una community regionale e interregionale ≒ Sperimentazioni volte a favorire linclusivit in ogca mul)canale
  • 25. Grazie per lattenzione! Andrea Sergiacomi Barbara Re Regione Marche Universit degli Studi di Camerino andrea.sergiacomi@regione.marche.it barbara.re@unicam.it