- Home
- Internazionale
- Identità digitale: the next generation
Identità digitale: the next generation
| Diana Cresti | internazionale
Con il progetto AARC l’evoluzione delle identità federate passa attraverso un impegno comune di integrazione delle più importanti tecnologie oggi esistenti
Le federazioni di identità nazionali come IDEM e il servizio di interfederazione eduGAIN offrono un'infrastruttura sicura e scalabile che consente l'accesso a una vasta collezione di risorse online. Tuttavia, ci sono ancora importanti sfide che impediscono una più ampia adozione di questo sistema. Inoltre, ci sono altre infrastrutture di autenticazione e autorizzazione (AAI) gestite da varie comunità di ricerca, che funzionano in maniera indipendente e spesso incompatibile con eduGAIN.
Maria Laura Mantovani
GARR e Università degli Studi di Modena e Reggio Emilia
Area Outreach e Training del progetto AARC
Il progetto AARC (Authentication and Authorisation for Research and Collaboration), iniziato nel maggio di quest’anno, si propone di far fronte a queste problematiche, riunendo ben 20 partner tra cui il GARR e altre NREN, GÉANT, le e-infrastrutture come EGI, PRACE e EUDAT, e le più importanti comunità di utenti come ELIXIR, DARIAH, ecc. Il progetto è nato per armonizzare l’accesso federato tra le diverse comunità, oltre a permettere un accesso più ampio ai fornitori di servizi commerciali. Il progetto si articola lungo quattro filoni di attività:
- - lo sviluppo di un’architettura integrata e interdisciplinare, basata sulle AAI attualmente in produzione e sui servizi di accesso federati esistenti;
- - l’outreach verso le comunità di utenti, sia che forniscano servizi oppure gestiscano utenti finali, per garantire la diffusione dei servizi AAI e lo sviluppo di un pacchetto di moduli formativi a supporto di questa diffusione;
- - l’armonizzazione delle policy tra le varie e-infrastrutture per rendere più facile ai fornitori l’offerta dei loro servizi a una comunità sempre più ampia di utenti;
- - la dimostrazione di casi d’uso delle policy e dei principali componenti tecnici inclusi nell’architettura AAI integrata proposta da AARC.
Abbiamo intervistato Maria Laura Mantovani, che lavora nell’area Outreach e Training del progetto.
Come vi proponete di ampliare l’offerta di servizi nella federazione eduGAIN?
Questo è un aspetto di AARC in cui sono coinvolta direttamente. Le attività di outreach verso le organizzazioni, le comunità di utenti e i fornitori di servizi devono essere ben organizzate e flessibili allo stesso tempo. Innanzitutto c’è il lato strategico, in cui si contattano i decision makers nelle organizzazioni per discutere con loro l’opportunità di investire nella tecnologia che permette di entrare nella federazione. Dal lato pratico stiamo mettendo a punto un servizio di orientamento per service provider. Il tipo di supporto necessario perché un servizio possa entrare nella federazione dipende dalla sua complessità: se questa non è troppo elevata, un gestore può semplicemente leggersi la nostra documentazione, oppure può venire a uno dei nostri eventi di training. Per sistemi più complessi offriremo un servizio di consulenza gratuita, come già abbiamo fatto in GÉANT. In Italia per esempio abbiamo cominciato a lavorare con l’ESA, che ha un suo sistema SSO che abbiamo aiutato a evolvere e a entrare nelle federazioni. Questo lavoro è ancora in corso in GÉANT e verrà probabilmente portato avanti dalla prosecuzione del progetto in AARC2.
A livello di policy che problematiche state affrontando?
Come si può intuire dai componenti dell’architettura, le policy da concordare riguardano i livelli di garanzia (LoA) richiesti dai fornitori di servizi che possono essere supportati dai gestori delle identità; uno schema distribuito per affrontare le minacce alla sicurezza (security incidents) in ambiente federato; uno schema efficace per la negoziazione di policy tra gestori delle identità, dei servizi e degli attributi; e infine delle linee guida per rapportarsi con i fornitori commerciali.
Ci parli del vostro approccio di lavoro.
Innanzitutto abbiamo raccolto una serie di requisiti generali che questa architettura integrata dovrebbe avere, e tra questi abbiamo stabilito delle priorità. Ad esempio, la necessità di avere identificatori univoci e persistenti degli utenti finali, che siano indipendenti dalle organizzazioni di appartenenza. Attualmente il problema degli identificatori è che se un utente cambia affiliazione perde la sua identità e ne deve creare una nuova, con le varie problematiche che ne conseguono. Con un identificativo persistente una persona può essere riconosciuta attraverso diverse identità digitali e quindi mantenere le credenziali e i permessi acquisiti con altre identità. Una soluzione che si sta pensando di usare è ORCID, un sistema nato per la disambiguazione di omonimi negli articoli scientifici. Con un identificativo univoco associato agli articoli di un autore il sistema può costruire la sua bibliografia senza sbagliare, in modo algoritmico. L’idea nelle federazioni è di riutilizzare questo identificativo per collegare le diverse identità federate di uno stesso soggetto, e quindi si è stabilito un pilot in AARC per occuparsi di questo caso.
State anche prendendo in mano un caso d’uso “storico”, quello delle biblioteche e delle case editrici private...
Tra le priorità c'è la necessità di avere identificatori univoci e persistenti degli utenti
Il caso degli editori è stato il motivo per cui sono nate le federazioni d’identità in USA e nel Regno Unito, circa 10 anni fa. L’obiettivo era di avere un sistema indipendente dall’editore per consentire l’accesso dell’utente alle varie piattaforme. Qui è nata la tecnologia SAML insieme alle sue implementazioni, ed è un sistema ormai consolidato che funziona bene in questi paesi. In altre nazioni però l’adozione di questo sistema è molto meno consistente e in AARC si sta analizzando la riluttanza ad abbandonare l’autenticazione basata sul riconoscimento dell’indirizzo IP in favore dell’autenticazione SAML. In sostanza, se un editore non ha ancora implementato SAML, non ha alcun incentivo per farlo se non gli viene richiesto in una clausola contrattuale vincolante da parte di un grosso consorzio bibliotecario. Quindi il lavoro di outreach di AARC include l’individuazione degli organismi europei che gestiscono i contratti con le case editrici. L’idea è di far vedere a questi consorzi che la promozione dell’identità federata dà loro maggiori possibilità, maggiori servizi, maggior controllo, almeno per capire quanto viene effettivamente utilizzato il servizio per poter ripartire meglio le spese. Questi sono solo alcuni dei casi che stiamo affrontando. L’universo delle AAI è molto vasto ed eterogeneo, e stanno emergendo problematiche inesplorate, infatti stiamo già cominciando a preparare AARC2, per cercare soluzioni anche a queste nuove sfide.
Verso un’architettura integrata dell’universo AAI
Ci sono varie importanti AAI nel mondo della ricerca che sono sorte in base a requisiti di una data comunità e che operano in produzione indipendentemente da eduGAIN. Alcuni casi concreti sono Umbrella, EGI, EUDAT. Queste AAI si vorrebbero integrare, ma hanno tecnologie che non sempre sono compatibili con SAML, lo standard su cui si basa eduGAIN, e non è realistico aspettarsi che modifichino tutta la loro architettura per rendersi compatibili con questo sistema. Anche le esigenze delle infrastrutture di ricerca quali ELIXIR e DARIAH non sono completamente soddisfatte dalle tecnologie messe in opera oggi. L’architettura proposta quindi prevede la creazione di un sistema di proxy – dei sistemi di interscambio tra i vari Identity Provider e Service Provider, che permetta a questi servizi di parlarsi senza che ciascuno debba imparare la “lingua” dell’altro. I proxy possono anche implementare funzionalità aggiuntive ove necessario: ad esempio servizi di arricchimento delle identità con attributi (attribute authority), oppure, servizi di traduzione (conversione) delle credenziali (token translation) che agiscono a livello di utilizzo di un servizio.
Maggiori info: aarc-project.eu
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
-
il filo - 12/2015Editoriale
-
In rete il pianeta si vede e prevedecaffè scientifico
-
Datemi un punto di accesso e scoprirò il pianetacaffè scientifico
-
Dal mare alla medicina il passo è in retecaffè scientifico
-
Accesso semplice a dati e risultati della ricerca scientificacaffè scientifico
-
Il Mar Mediterraneo culla la ricercacaffè scientifico
-
Al servizio della comunitàservizi alla comunità
-
Cosa è Bitcoin e come si usa?risponde cecchini
-
Arte e scienza sul filo della rete in fibra otticala voce della comunità
-
Una scuola in linea con il futurola voce della comunità
-
Ecocardiografia 2.0la voce della comunità
-
Obiettivi raggiunti!GARR-X Progress
-
I vantaggi della rete per chi la usa tutti i giorniGARR-X Progress
-
La formazioneGARR-X Progress
-
MIUR :: Piano Nazionale Scuola Digitalela voce della comunità
-
CNR :: Risorse digitali di fonte pubblicala voce della comunità
-
INGV :: Un geoportale per l'Etnala voce della comunità
-
INFN :: Calcolo e Big Data: Italia protagonistala voce della comunità
-
ENEA :: Supercalcolo per energia e ambientela voce della comunità
-
La nuova rete si misura in Terabitosservatorio della rete
-
Il futuro open e sostenibile di Internetosservatorio della rete
-
A Firenze, enti diversi si danno la MANosservatorio della rete
-
Cybersecurity: una visione a 360°osservatorio della rete
-
Il vostro sito web è pronto per IPv6?ipv6
-
I broker delle nuvolela nuvola della ricerca e istruzione
-
H2020: suggerimenti per una proposta vincenteinternazionale
-
Risolvere dall'alto i problemi del pianetainternazionale
-
Identità digitale: the next generationinternazionale
-
www: cronache di rete dal 1991 ad oggiieri, oggi, domani
-
Workshop GARR 2016 a Roma dal 18 al 21 aprilepillole di rete
-
La Corte di Giustizia invalida il Safe Harbourpillole di rete
-
L'Italia diventa membro di Elixir, la rete bioinformatica per le scienze della vitapillole di rete
-
Gestire una rete locale scolastica. Come fare perché gli utenti non si colleghino a siti ”pericolosi“?risponde cecchini
Articoli nella rubrica
-
di Diassina Di Maggio
-
di Diana Cresti
-
di Diana Cresti
Archivio GARR NEWS
- Numero 29 - anno 2023
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009