Con il progetto AARC l’evoluzione delle identità federate passa attraverso un impegno comune di integrazione delle più importanti tecnologie oggi esistenti

Le federazioni di identità nazionali come IDEM e il servizio di interfederazione eduGAIN offrono un'infrastruttura sicura e scalabile che consente l'accesso a una vasta collezione di risorse online. Tuttavia, ci sono ancora importanti sfide che impediscono una più ampia adozione di questo sistema. Inoltre, ci sono altre infrastrutture di autenticazione e autorizzazione (AAI) gestite da varie comunità di ricerca, che funzionano in maniera indipendente e spesso incompatibile con eduGAIN.

Maria Laura Mantovani
GARR e Università degli Studi di Modena e Reggio Emilia
Area Outreach e Training del progetto AARC
Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Il progetto AARC (Authentication and Authorisation for Research and Collaboration), iniziato nel maggio di quest’anno, si propone di far fronte a queste problematiche, riunendo ben 20 partner tra cui il GARR e altre NREN, GÉANT, le e-infrastrutture come EGI, PRACE e EUDAT, e le più importanti comunità di utenti come ELIXIR, DARIAH, ecc. Il progetto è nato per armonizzare l’accesso federato tra le diverse comunità, oltre a permettere un accesso più ampio ai fornitori di servizi commerciali. Il progetto si articola lungo quattro filoni di attività:

• - lo sviluppo di un’architettura integrata e interdisciplinare, basata sulle AAI attualmente in produzione e sui servizi di accesso federati esistenti;
• - l’outreach verso le comunità di utenti, sia che forniscano servizi oppure gestiscano utenti finali, per garantire la diffusione dei servizi AAI e lo sviluppo di un pacchetto di moduli formativi a supporto di questa diffusione;
• - l’armonizzazione delle policy tra le varie e-infrastrutture per rendere più facile ai fornitori l’offerta dei loro servizi a una comunità sempre più ampia di utenti;
• - la dimostrazione di casi d’uso delle policy e dei principali componenti tecnici inclusi nell’architettura AAI integrata proposta da AARC.

Abbiamo intervistato Maria Laura Mantovani, che lavora nell’area Outreach e Training del progetto.

Come vi proponete di ampliare l’offerta di servizi nella federazione eduGAIN?

Questo è un aspetto di AARC in cui sono coinvolta direttamente. Le attività di outreach verso le organizzazioni, le comunità di utenti e i fornitori di servizi devono essere ben organizzate e flessibili allo stesso tempo. Innanzitutto c’è il lato strategico, in cui si contattano i decision makers nelle organizzazioni per discutere con loro l’opportunità di investire nella tecnologia che permette di entrare nella federazione. Dal lato pratico stiamo mettendo a punto un servizio di orientamento per service provider. Il tipo di supporto necessario perché un servizio possa entrare nella federazione dipende dalla sua complessità: se questa non è troppo elevata, un gestore può semplicemente leggersi la nostra documentazione, oppure può venire a uno dei nostri eventi di training. Per sistemi più complessi offriremo un servizio di consulenza gratuita, come già abbiamo fatto in GÉANT. In Italia per esempio abbiamo cominciato a lavorare con l’ESA, che ha un suo sistema SSO che abbiamo aiutato a evolvere e a entrare nelle federazioni. Questo lavoro è ancora in corso in GÉANT e verrà probabilmente portato avanti dalla prosecuzione del progetto in AARC2.

A livello di policy che problematiche state affrontando?

Come si può intuire dai componenti dell’architettura, le policy da concordare riguardano i livelli di garanzia (LoA) richiesti dai fornitori di servizi che possono essere supportati dai gestori delle identità; uno schema distribuito per affrontare le minacce alla sicurezza (security incidents) in ambiente federato; uno schema efficace per la negoziazione di policy tra gestori delle identità, dei servizi e degli attributi; e infine delle linee guida per rapportarsi con i fornitori commerciali.

Ci parli del vostro approccio di lavoro.

Innanzitutto abbiamo raccolto una serie di requisiti generali che questa architettura integrata dovrebbe avere, e tra questi abbiamo stabilito delle priorità. Ad esempio, la necessità di avere identificatori univoci e persistenti degli utenti finali, che siano indipendenti dalle organizzazioni di appartenenza. Attualmente il problema degli identificatori è che se un utente cambia affiliazione perde la sua identità e ne deve creare una nuova, con le varie problematiche che ne conseguono. Con un identificativo persistente una persona può essere riconosciuta attraverso diverse identità digitali e quindi mantenere le credenziali e i permessi acquisiti con altre identità. Una soluzione che si sta pensando di usare è ORCID, un sistema nato per la disambiguazione di omonimi negli articoli scientifici. Con un identificativo univoco associato agli articoli di un autore il sistema può costruire la sua bibliografia senza sbagliare, in modo algoritmico. L’idea nelle federazioni è di riutilizzare questo identificativo per collegare le diverse identità federate di uno stesso soggetto, e quindi si è stabilito un pilot in AARC per occuparsi di questo caso.

State anche prendendo in mano un caso d’uso “storico”, quello delle biblioteche e delle case editrici private...

Il caso degli editori è stato il motivo per cui sono nate le federazioni d’identità in USA e nel Regno Unito, circa 10 anni fa. L’obiettivo era di avere un sistema indipendente dall’editore per consentire l’accesso dell’utente alle varie piattaforme. Qui è nata la tecnologia SAML insieme alle sue implementazioni, ed è un sistema ormai consolidato che funziona bene in questi paesi. In altre nazioni però l’adozione di questo sistema è molto meno consistente e in AARC si sta analizzando la riluttanza ad abbandonare l’autenticazione basata sul riconoscimento dell’indirizzo IP in favore dell’autenticazione SAML. In sostanza, se un editore non ha ancora implementato SAML, non ha alcun incentivo per farlo se non gli viene richiesto in una clausola contrattuale vincolante da parte di un grosso consorzio bibliotecario. Quindi il lavoro di outreach di AARC include l’individuazione degli organismi europei che gestiscono i contratti con le case editrici. L’idea è di far vedere a questi consorzi che la promozione dell’identità federata dà loro maggiori possibilità, maggiori servizi, maggior controllo, almeno per capire quanto viene effettivamente utilizzato il servizio per poter ripartire meglio le spese. Questi sono solo alcuni dei casi che stiamo affrontando. L’universo delle AAI è molto vasto ed eterogeneo, e stanno emergendo problematiche inesplorate, infatti stiamo già cominciando a preparare AARC2, per cercare soluzioni anche a queste nuove sfide.

Verso un’architettura integrata dell’universo AAI

Ci sono varie importanti AAI nel mondo della ricerca che sono sorte in base a requisiti di una data comunità e che operano in produzione indipendentemente da eduGAIN. Alcuni casi concreti sono Umbrella, EGI, EUDAT. Queste AAI si vorrebbero integrare, ma hanno tecnologie che non sempre sono compatibili con SAML, lo standard su cui si basa eduGAIN, e non è realistico aspettarsi che modifichino tutta la loro architettura per rendersi compatibili con questo sistema. Anche le esigenze delle infrastrutture di ricerca quali ELIXIR e DARIAH non sono completamente soddisfatte dalle tecnologie messe in opera oggi. L’architettura proposta quindi prevede la creazione di un sistema di proxy – dei sistemi di interscambio tra i vari Identity Provider e Service Provider, che permetta a questi servizi di parlarsi senza che ciascuno debba imparare la “lingua” dell’altro. I proxy possono anche implementare funzionalità aggiuntive ove necessario: ad esempio servizi di arricchimento delle identità con attributi (attribute authority), oppure, servizi di traduzione (conversione) delle credenziali (token translation) che agiscono a livello di utilizzo di un servizio.

Maggiori info: aarc-project.eu