Accesso facile a grandi potene di calcolo e storage grazie all'integrazione con le federazioni di identità come GARR IDEM e con i social network

Roberto Barbera - INFN, Docente dell'Università di Catania

Da dieci anni a questa parte, nell’ambiente scientifico ed accademico si è investito molto nella tecnologia Grid, vista come un modello capace di offrire potenza di calcolo e storage in abbondanza a varie comunità alle prese con moli sempre crescenti di dati.

Grazie anche agli ingenti finanziamenti dell’Unione Europea, la più estesa infrastruttura di calcolo distribuita per scopi scientifici è EGI (la European Grid Infrastructure), che conta ad oggi più di 340 siti in 57 nazioni, comprendendo anche altri continenti come l’Asia e l’America Latina. Dati recenti indicano in circa 20.000 gli utenti di EGI, di cui circa il 40% appartenente alla sola comunità della Fisica delle Alte Energie. In varie sedi ci si chiede se si tratta di una comunità abbastanza grande da giustificare gli investimenti e le risorse messe in campo finora. Certo, se si confronta questo numero con quello degli utenti della rete europea GÉANT (stimati nell’ordine di 40 milioni) o dei social network (circa 500 milioni) si ha l’impressione che si tratti di una nicchia, malgrado la domanda di calcolo scientifico, anche da parte di comunità come quella medica o quelle delle arti e dei beni culturali, tradizionalmente poco inclini ad utilizzare estensivamente l’ICT nel loro lavoro, sia in aumento costante.

Come mai, quindi, un’infrastruttura che promette grandi risorse a costi trascurabili ha un numero di utenti comparativamente così limitato?

Finora, com’è stato confermato da indagini promosse dalla stessa Commissione Europea, la barriera principale che ha scoraggiato la maggioranza degli utenti nel processo di adozione di questa tecnologia è stata la sua complessità: dalle interfacce a linea di comando, ad un uso molto limitato di standard, ad una infrastruttura di sicurezza per nulla intuitiva, basata sull’utilizzo da parte dell’utente di certificati digitali personali.

L’Europa ha quindi investito in una tecnologia troppo complicata? Oppure è possibile estenderne i benefici a chiunque possieda delle credenziali sul web? Numericamente parlando, i più grandi fornitori di credenziali online sono oggi le federazioni di identità ed i social network ed è quindi naturale guardare a questi come ai più promettenti bacini di utenti potenziali. A parte la facilità d’accesso, la fortuna dei social network è nell’estrema semplicità ed intuitività delle loro interfacce e la sfida è oggi quella di portare tali caratteristiche all’interno del mondo Grid per permettere virtualmente a tutti di utilizzare le infrastrutture digitali del nuovo millennio. Per rispondere a questa sfida, il nostro team ha deciso di sviluppare un nuovo paradigma di accesso a Grid, basato sul concetto di Science Gateway (SG): un portale web 2.0 di nuova concezione, facilmente adattabile alle necessità ed ai requisiti di comunità scientifiche diverse, che raggruppa tutte le applicazioni di cui queste necessitano e permette la loro esecuzione direttamente dall’interfaccia web.

Un framework modulare

Il requisito fondamentale che ci siamo posti è quello di realizzare uno Science Gateway semplice quanto le costruzioni con il Lego®. Cos’è che ha reso il Lego un successo? Avere pezzi semplici e standard, che possano combinarsi insieme facilmente, per costruire cose sempre più complesse. L’idea è di costruire degli oggetti web standard che funzionino come mattoncini del Lego di diverso colore, formando oggetti diversi, ma tutti dello stesso tipo. Il primo passo è stato quindi quello di creare i "mattoncini" capaci di interagire con le einfrastructure interfacciate agli Science Gateway. In questa attività, i quattro cardini del nostro lavoro di sviluppo sono stati standardizzazione, semplicità, facilità di utilizzo e riusabilità. Nell’ottica di adottare soluzioni quanto più possibile standard, è stato scelto per costruire lo Science Gateway il framework Liferay, che offre servizi Web 2.0, Content Management System, servizi di collaborazione, social software come wiki, chat, ecc. e rappresenta il più diffuso ambiente per l’implementazione di SG, un vero e proprio standard de facto. Ma i meriti di Liferay non finiscono qui: la sua specificità è che adotta gli standard JSR168 e 286, altrimenti noti come portlet 1.0 e 2.0, che ben si prestano ad implementare concretamente il concetto di mattoncino della nostra metafora del Lego. L’idea è di arrivare a costruire portlet "incapsulate", che si possano spostare facilmente da un portale all’altro: in questo modo, sviluppare e ampliare un nuovo Science Gateway si tradurrà nel combinare insieme queste portlet.

Autenticazione facile e trasparente

Il caso tipico di utilizzo, dal quale siamo partiti, prevede diversi tipi di utenti che accedono al portale, ciascuno con ruoli e privilegi differenti, per utilizzare il portfolio di applicazioni tipiche della propria comunità. Uno dei punti di forza del nostro approccio agli Science Gateway è stato rivedere i meccanismi con cui gli utenti vengono autenticati e autorizzati. Come alternativa allo strumento classico dei certificati digitali personali, abbiamo puntato sull’integrazione con le Federazioni di Identità e con altri Identity Provider (IdP), ovvero gestori di identità che, all’interno della propria organizzazione, effettuano l’operazione di autenticazione cioè la verifica dell’identità dell’utente. Per fare questo, abbiamo disaccoppiato la fase di autenticazione da quella di autorizzazione, nella quale si accerta che l’utente abbia effettivamente diritto all’utilizzo della risorsa. In pratica ecco cosa accade: per usare una risorsa dello Science Gateway è necessario effettuare una registrazione indicando la federazione di identità di appartenenza. Se si appartiene già ad una federazione come GARR IDEM o altre che supportano il suo stesso standard (SAML 2.0) si è automaticamente riconosciuti. Se non si appartiene ancora a nessuna federazione di identità è possibile ugualmente registrarsi grazie ad una Federazione e ad un gestore di identità creati appositamente. Tale Federazione, chiamata GrIDP, ha degli IdP che permettono di essere registrati in maniera semplice, ad esempio tramite le credenziali rilasciate dai più diffusi social network come Facebook, Google+ o Twitter, oppure attraverso una nuova registrazione gestita dal sistema stesso per coloro che non possiedono credenziali. In ogni caso, la registrazione dell’utente non è automatica ma viene approvata dal manager dello Science Gateway, o da un comitato interno al progetto o dalla comunità cui lo SG afferisce, che attribuiscono a ciascun utente i privilegi opportuni. Una volta registrati, è sufficiente inserire le proprie credenziali fornite dall’organizzazione di appartenenza affinché lo Science Gateway riconosca l’utente con tutti i privilegi che gli competono, consentendogli di interagire con l’infrastruttura Grid attraverso l’interfaccia web, senza più doversi preoccupare dei certificati digitali perché sarà lo stesso Science Gateway ad occuparsi della loro gestione. I certificati restano infatti obbligatori per effettuare operazioni Grid, ma nel nostro modello anziché richiedere a ciascun utente di dotarsi di un certificato personale vengono utilizzati dei certificati speciali chiamati "robot". Tali certificati vengono conservati su una smartcard USB fisicamente connessa ad una macchina (l’eToken Server) che ha il compito di fornire “proxy” agli Science Gateway che ne facciano richiesta. Interrogando l’eToken Server, lo SG è in grado di creare un’identità digitale per conto dell’utente (il "proxy", appunto) con cui effettuare l’operazione su Grid. In ogni caso lo SG registra in un database l’associazione tra l’identità fisica e quella digitale dell’utente garantendo, così come richiesto dalle politiche di sicurezza di EGI, la tracciabilità di tutte le operazioni.

I campi di applicazione degli Science Gateway

La particolarità di tale approccio è la sua replicabilità nei vari campi disciplinari. Lo stesso schema di funzionamento è valido sia che si parli di SG per applicazioni di medicina, di beni culturali, di cambiamenti climatici o di qualsiasi altro dominio. In questo senso, un ingrediente importante dello Science Gateway è il Grid Engine, che permette di estendere il campo di applicazione dell’infrastruttura. Il Grid Engine infatti è un insieme di funzioni per la gestione di job, dati e tracciamento delle transazioni che si interfaccia con lo Science Gateway permettendo di eseguire applicazioni su Grid in maniera indipendente dal middleware (il software che gestisce le risorse), attuando così il concetto di interoperabilità tra middleware e rendendo riusabile il modello. Negli ultimi mesi, questa architettura è stata declinata all’interno di numerosi progetti nazionali e internazionali, con risultati molto promettenti. Tra questi ricordiamo i progetti europei DECIDE, per la diagnosi precoce dell’Alzheimer e delle malattie neurodegenerative, INDICATE, nel campo della salvaguardia e valorizzazione del patrimonio culturale digitale, e RICeVI, il portale web 2.0 per l’e-learning e l’e-collaboration, sviluppato nell’ambito di una delle borse di studio GARR "Orio Carlini" e oggi in fase di beta testing. Il nuovo modello di Science Gateway, basato su standard e integrato con le Federazioni d’Identità e con i Social Credential Provider, può rivoluzionare il mondo della Grid, estendendone enormemente la base di utenti. Adesso la sfida è rendere disponibili attraverso gli Science Gateway applicazioni d’interesse generale e promuoverne l’utilizzo attraendo ampie comunità nel mondo dell’università e della ricerca.

Per ottenere supporto o maggiori informazioni, scrivete a: Questo indirizzo email è protetto dagli spambots. È necessario abilitare JavaScript per vederlo.

Il team che lavora a Catania sugli Science Gateway è composto da: V. Ardizzone, R. Bruno, A. Calanducci, M. Fargetta, E. Ingrà, G. La Rocca, S. Monforte, F. Pistagna, R. Ricceri, R. Rotondo e D. Scardaci.