Una Roadmap per eduGAIN
A Pisa un “All hands meeting” per discutere il futuro di eduGAIN
Il 20 ed il 21 aprile il team del servizio eduGAIN si è riunito presso il centro congressi delle Benedettine dell’Università di Pisa per definire nel dettaglio la roadmap di sviluppo del prossimo biennio.
eduGAIN è quella che definiamo una “infrastruttura fidata” per lo scambio dei dati di connessione ai sistemi di autenticazione e ai sistemi di accesso alle risorse delle federazioni di identità della ricerca e dell’istruzione a livello mondiale.
Lo sviluppo e la gestione di eduGAIN sono finanziati tramite il progetto GÉANT e i membri del team sono tecnologi provenienti da GARR, PSNC, RENATER, DFN, SURF, SRCE, RENAM, CESNET, JISC, GRNET, KIFU, SWITCH, AMRES.
La roadmap per il futuro del servizio eduGAIN
eduGAIN oggi conta 78 federazioni partecipanti e più di 8.900 entità pubblicate tra sistemi di autenticazione e risorse. A livello di governance, eduGAIN è gestita tramite uno steering group in cui sono presenti due delegati per ogni partecipante.
Il meeting di due giorni a Pisa è stata l’occasione per fare il punto sulla roadmap di sviluppo del servizio per il prossimo biennio, ma soprattutto per prendere in carico le raccomandazioni dell’eduGAIN Futures Working Group, un gruppo di lavoro di eduGAIN che ha delineato una serie di raccomandazioni dirompenti per creare l’eduGAIN del futuro.
Il lavoro dell’eduGAIN Futures Working Group, a cui ha partecipato anche IDEM insieme a molte altre federazioni, è partito da un presupposto fondamentale: per rimanere utile e competitiva anche in futuro, eduGAIN deve cambiare profondamente, abbandonare l’approccio neutrale nell’applicazione degli standard e trasformarsi in un’infrastruttura con requisiti operativi, di sicurezza e di privacy stringenti e organi di governo più snelli.
Una prima proposta concreta di cambiamento, già pubblicata dal gruppo di lavoro ed attualmente in consultazione, è la sostituzione dell’attuale eduGAIN Steering Group con due nuovi organi: un eduGAIN Steering Committee (eSC), che eserciterà le funzioni esecutive, e l’eduGAIN Assembly, che eserciterà le funzioni di rappresentanza e ratifica delle modifiche dei regolamenti. L’eSC rimarrà in carica 2 anni, sarà composto da 7 membri e presieduto da un chair nominato al proprio interno.
Il team del servizio eduGAIN
Più interoperabilità e sicurezza
Le raccomandazioni più tecniche dell’eduGAIN Futures WG si sono sviluppate in tre direzioni di base: interoperabilità, requisiti di sicurezza e privacy a livello di eduGAIN, possibilità di agire a livello di singola entità.
Migliorare l’interoperabilità vuol dire implementare standard certi per il rilascio degli attributi necessari ad accedere ai servizi, per gli identificatori da utilizzare, per gli algoritmi di cifratura, ecc. Non che oggi questi standard non esistano, ma sono implementati solo dalle federazioni di identità e spesso in modo non uniforme, mentre a livello di eduGAIN viene richiesto un livello minimo di adeguatezza, che spesso non basta a garantire un grado soddisfacente di interoperabilità.
Lo stesso vale per i requisiti di sicurezza e privacy. Gli standard esistono, ma sono implementati solo da alcune federazioni e solo per una parte delle entità disponibili su eduGAIN, con il risultato che a livello interfederato non tutti seguono un insieme condiviso di regole sul trattamento dati o la gestione degli incidenti.
Più margine d’azione in caso di problemi
Oggi le policy di eduGAIN non permettono azioni sulle singole entità, come ad esempio il filtraggio, ma solo la sospensione di intere federazioni. La sospensione però è una misura estrema che avviene solo in caso di gravi violazioni o di problemi tecnici non risolvibili, mentre a livello di singola entità i requisiti sono tenuti come già detto ad un minimo livello di adeguatezza. Invece con la possibilità di agire sulla singola entità, eduGAIN avrà uno strumento efficace per garantire l’applicazione degli standard di sicurezza e privacy ed il rispetto dei requisiti tecnici di interoperabilità.
La strada verso il futuro
Nel meeting di Pisa, l’eduGAIN Service Team ha definito la roadmap per iniziare ad implementare tecnicamente le raccomandazioni dell’eduGAIN Futures WG insieme alle proposte di evoluzione e rinnovo del servizio e delle sue componenti.
eduGAIN è nata grazie all’impegno della comunità della ricerca nello sviluppare soluzioni tecnologiche in grado di rispondere alle proprie esigenze, ed oggi è un’infrastruttura di successo utilizzata giornalmente da milioni di studenti e ricercatori di tutto il mondo. Il suo futuro fa affidamento sullo stesso impegno e sulla capacità ed il coraggio di rinnovarsi.
Mappa di eduGAIN. In arancione i paesi partecipanti, in blu gli attuali candidati
Cosa è esattamente eduGAIN e a cosa serve?
Per capire come funziona esattamente eduGAIN e cosa si intende per “infrastruttura fidata” è utile spiegare quale problema specifico risolve.
Partiamo dall’inizio. Tra la fine degli anni ‘90 o e i primi anni 2000 molte organizzazioni della ricerca e dell’istruzione, atenei e centri di ricerca, cominciano a dotarsi di sistemi di autenticazione centralizzata per permettere ai propri utenti l’accesso ai servizi interni utilizzando un’unica credenziale, spesso implementando sistemi di single sign-on, da Kerberos a CAS e simili. Dall’esigenza il single sign-on a diversi tipi di servizi, anche forniti da terze parti, nasce la necessità di un protocollo di autenticazione federata. Si afferma SAML, il Security Assertion Markup Language, che con la versione 2.0 del 2005 e le specifiche degli anni successivi si diffonde sia nell’ambiente enterprise che in quello della ricerca, facendo sviluppare compiutamente il concetto di autenticazione federata.
L’autenticazione federata implementata da ciascuna organizzazione permette di utilizzare credenziali uniche con molteplici servizi, ma rimane necessario stipulare accordi specifici con ogni fornitore, negoziando ogni volta standard e protocolli da utilizzare. Le federazioni di identità stabiliscono regole condivise sugli standard di sicurezza e privacy, sui protocolli tecnologici e sui requisiti organizzativi per entrare a far parte della federazione, permettendo di diminuire drasticamente i tempi di configurazione di nuove risorse e semplificando notevolmente gli accordi tra fornitori di identità e di servizi. Sono loro che, operando come terza parte fidata, garantiscono che tutte le parti rispettino le regole condivise. Le federazioni di identità della ricerca e dell’istruzione come IDEM mettono a disposizione di studenti, ricercatori e docenti servizi e risorse forniti dalle reti nazionali della ricerca (NREN come FileSender, videoconferenza o piattaforme Cloud, ma anche servizi commerciali, come le riviste scientifiche e quelli offerti dalle collaborazioni di ricerca.
In genere gestite dalle NREN, queste federazioni operano tipicamente a livello nazionale, mentre molte risorse della ricerca, come le riviste accademiche, sono le stesse indipendentemente dal paese in cui sono accedute: in pratica, quindi, ogni fornitore di servizi dovrebbe registrarsi in tutte le federazioni nazionali. Considerato che nel mondo oggi si contano più di 80 federazioni di identità della ricerca e dell’istruzione, e che la massa di servizi federati a livello globale si aggira sulle 4.000 unità, parliamo di oltre 300.000 processi di registrazione e negoziazione degli standard. eduGAIN è stata creata per risolvere questo problema specifico, permettendo alle federazioni di identità di condividere sistemi di autenticazione e sistemi di accesso alle risorse tramite un servizio di interfederazione a livello mondiale. Tramite eduGAIN, una risorsa pubblicata in una delle federazioni diventa disponibile anche per gli utenti dei sistemi di autenticazione delle altre. Come le federazioni nazionali, eduGAIN non sostituisce la sottoscrizione di abbonamenti o altri accordi per l’accesso alle risorse, ma fornisce un framework di regole e specifiche tecniche che ne semplifica l’accesso.
A livello tecnico eduGAIN è un servizio HTTP che distribuisce file firmati digitalmente che consistono nei metadati che contengono tutte le informazioni tecniche necessarie ai sistemi di autenticazione dei partecipanti alle federazioni di identità di interoperare con i sistemi di accesso alle risorse.
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.
Voto attuale:
TelegramArticoli nella rubrica
Più Letti
- Einstein Telescope, un super rivelatore per conoscere le origini dell’Universo
- FOSSR, l’Open Science Cloud italiano per le scienze sociali
- TeRABIT: mille miliardi di bit al secondo per la ricerca
- Borse di studio GARR: molte opportunità per 10 nuovi talenti
- Da Ginevra a Bologna in 9,5 ms: i dati corrono sullo spettro ottico della ricerca
Archivio GARR NEWS
- Numero 28 - anno 2023
- Numero 27 - anno 2022
- Numero 26 - anno 2022
- Numero 25 - anno 2021
- Numero 24 - anno 2021
- Numero 23 - anno 2020
- Numero 22 - anno 2020
- Numero 21 - anno 2019
- Numero 20 - anno 2019
- Numero 19 - anno 2018
- Numero 18 - anno 2018
- Numero 17 - anno 2017
- Numero 16 - anno 2017
- Numero 15 - anno 2016
- Numero 14 - anno 2016
- Numero 13 - anno 2015
- Numero 12 - anno 2015
- Numero 11 - anno 2014
- Numero 10 - anno 2014
- Numero 9 - anno 2013
- Numero 8 - anno 2013
- Numero 7 - anno 2012
- Numero 6 - anno 2012
- Numero 5 - anno 2011
- Numero 4 - anno 2011
- Numero 3 - anno 2010
- Numero 2 - anno 2010
- Numero 1 - anno 2009
- Numero 0 - anno 2009