1 / 19

Access Management centralizzato per le applicazioni Web

Access Management centralizzato per le applicazioni Web. L’esperienza del MEF. Agenda. Introduzione Lo scenario iniziale Le fasi del progetto Lo stato dell’arte Evoluzioni future Q&A. Profilo aziendale.

reegan
Download Presentation

Access Management centralizzato per le applicazioni Web

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. Access Management centralizzato per le applicazioni Web L’esperienza del MEF

  2. Agenda Introduzione Lo scenario iniziale Le fasi del progetto Lo stato dell’arte Evoluzioni future Q&A

  3. Profilo aziendale Consip è una società per azioni creata nel 1997 dal Ministero del Tesoro (oggi Ministero dell’Economia e delle Finanze, MEF), che ne è azionista unico. • La sua missioneè quella di fornire servizi di consulenza e di assistenza progettuale, organizzativa, tecnologica per l’innovazione del MEF e delle altre strutture della Pubblica Amministrazione. • La vision aziendale, “A fianco della PA che cambia”, racchiude l’essenza del compito svolto dall’Azienda: Consip è un partner al servizio della Pubblica Amministrazione italiana e la accompagna nel suo cammino verso la modernizzazione, contribuendo a migliorare il rapporto tra PA, cittadini e imprese.

  4. Attività Due sono le aree di attività Consip: • gestione e sviluppo dei servizi informatici per il MEF (area Economia e Corte dei conti), attraverso un’attività di consulenza tecnica, organizzativa e progettuale, che investe i sistemi informativi del Ministero e le attività in materia finanziaria e contabile (l’ottimizzazione dei processi, l’introduzione di tecnologie più moderne nella gestione, la razionalizzazione e il coordinamento della spesa per l’Information Technology). • realizzazione del Programma di razionalizzazione della spesa pubblica per beni e servizi, che si basa sull’utilizzo di tecnologie informatiche e di modalità innovative per gli acquisti delle amministrazioni (convenzioni per l’acquisto di beni e servizi, le gare telematiche, il Mercato Elettronico della Pubblica Amministrazione – MEPA - e i progetti speciali e di consulenza specifica alle amministrazioni).

  5. Metodo • Consip offre servizi di consulenza e progettazione. L’Azienda si occupa dell’ideazione strategica dei progetti, avendo maturato competenze di alto livello sull’organizzazione, i processi e i sistemi informativi della PA. • Le fasi realizzative dei progetti vengono svolte ricercando sul mercato le soluzioni più idonee alle esigenze delle PA. Consip è dunque anche “amministrazione aggiudicatrice” che definisce, realizza e aggiudica gare d’appalto per conto delle amministrazioni. • Consip conta su un organico di circa 500 persone, di cui il 44% donne. Più della metà sono impegnate nelle attività di supporto all’evoluzione informatica del MEF e un terzo nel Programma di razionalizzazione della spesa per beni e servizi delle PA. L’età media è inferiore ai 40 anni. • Tutta l’azione di Consip si basa sui valori dell’innovazione, della trasparenza, della competenza e della concorrenza.

  6. Scenario iniziale ed esigenze • Nel 2000 non esistevano repository utente centralizzati; • Le applicazioni avevano solo utenti interni al MEF; • Poche applicazioni “Web based”; • Ambiente tecnologico estremamente eterogeneo. Esigenze primarie: • Repository unico; • SSO per applicazioni Web, “Cross piattaforma”; • Integrazione con ERP (Personale, Contabilità Economica, Controllo di Gestione).

  7. Gli “Input” al progetto • Diverse applicazioni ERP esistenti; • Prodotto aperto, facilmente sostituibile, no “lock-in”; • Software selection su prodotti di SSO: Oracle. Benefici Attesi: • Ottimizzazione di risorse esistenti; • Tempi di implementazione molto veloci; • Prodotto flessibile.

  8. Fasi del progetto Fase1: Creazione repository unico degli utenti e definizione del modello degli accessi alle applicazioni; Fase2: Migrazione su repository LDAP; Fase3: Integrazione con autenticazione di dominio Microsoft (Transparent login); Fase4: Profilazione basata su oggetti ed attributi dell’LDAP; Fase5: Autenticazione multilivello; Fase6: Nuova Infrastruttura Hardware.

  9. Fase 1 (2001) • Definizione Modello degli accessi basato su paradigma RBAC (Role Based Access Control); • Introduzione della gestione della profilazione applicativa basata sui gruppi; • Introduzione meccanismi di accesso per utenti esterni; • Centralizzazione utenti e gruppi di profilazione su tabelle Oracle. Risultati e benefici: • Tutte le principali nuove applicazioni Web del MEF in SSO; • Amministrazione/gestione delle utenze centralizzata; • Gestione della sicurezza delegata dalle applicazioni all’Access Manager, quindi per tutte allineata su standard elevati.

  10. Fase 2 (2003) Introduzione server LDAP per il repository utente; Risultati e benefici: • Piattaforma aperta, standard di mercato; • Apertura verso soluzioni basate su prodotti proprietari.

  11. Fase 3 (2004) Integrazione con l’autenticazione a domini/Foreste MS Windows (Transparent Login - solo per alcuni Dipartimenti); Risultati e benefici: • L’utente che si autentica al dominio MS tramite la postazione di lavoro viene automaticamente riconosciuto ed accreditato da tutte le applicazioni agganciate all’SSO.

  12. Fase 4 (2005) Introduzione della profilazione basata su classi di oggetti LDAP; Sviluppo Applicazione di gestione. Risultati e benefici: • Superamento dei limiti di profilazione tramite gruppi; • Maggiore flessibilità; • Possibilità di delegare alcune funzioni di gestione ai gruppi applicativi.

  13. Fase 5 (2005) Introduzione meccanismi di autenticazione multilivello Risultati e benefici: • Possibilità di autenticarsi tramite “smart card” e certificato digitale; • Possibilità di introdurre nel futuro ed a costi relativamente limitati, ulteriori meccanismi di autenticazione (es. “one-time-password”, etc.); • Maggiore flessibilità nel disegno delle applicazioni.

  14. Fase 6 (2007) Nuova Infrastruttura Hardware

  15. Qualche numero • 52 applicazioni in SSO, su tutte le principali tecnologie (oltre ovviamente ad Oracle, Java, .NET, FileNet, Business Object, etc.); • Autenticazione tramite Username/Password e/o certificato digitale di tutte le CA ufficialmente riconosciute; • LDAP con 6 rami e 60.100 utenti, destinati a raddoppiare entro 12/2007; • 600.000 operazioni di login al mese (3.000 tramite Smart Card e certificato digitale); • 18.000 utenti distinti al mese.

  16. I passi futuri Introduzione verifica CRL su OCSP Risultati e benefici: • Elimina la necessità di scaricare e analizzare le liste di revoca; • Provvede ad un migliore utilizzo della banda, dal momento che un messaggio OCSP ha una dimensione trascurabile rispetto alle CRL; • La ricerca tramite protocollo OCSP è più efficiente rispetto alla verifica sequenziale delle CRL, quindi scala in modo migliore.

  17. I passi futuri Identity Federation

  18. I passi futuri Introduzione Identity management. Risultati e benefici: • Minori oneri gestionali grazie a funzionalità di Provisioning; • Sincronizzazione utenze e password sui vari reporitory (Posta, domini, SSO, etc); • Meta repository centralizzato.

  19. Q&A

More Related