www.federazione.lepida.it

Documentazione Tecnica: Scenario Generale

L’infrastruttura FedERa si compone di alcuni sottosistemi tra loro interagenti, con lo scopo di realizzare le funzionalità di gestione dell’identità digitale degli utenti afferenti a vari domini (es. utenti della Regione Emilia Romagna, utenti di altre regioni, ecc.). In particolare, una delle funzionalità presenti in FedERa consiste nella gestione della fase di autenticazione all’accesso, da parte dei medesimi utenti citati sopra, ai servizi erogati da Service Provider integrati con l’infrastruttura complessiva.

L’autenticazione degli utenti può avvenire sia presso l’Identity Provider realizzato in FedERa, responsabile dell’autenticazione degli utenti dell’Emilia Romagna, presso i vari domini in cui essa si articola, oppure presso uno qualunque degli Identity Provider esistenti sul territorio nazionale, che rispettino il requisito di conformità agli standard di interoperabilità definiti nell’ambito dei progetti ICAR INF-3 e SIRAC-PEOPLE.

Allo stesso modo, sono integrabili con l’infrastruttura FedERa sia Service Provider già precedentemente integrati con un’infrastruttura ICAR INF-3 che altri abilitati all’interazione con sistemi SIRAC-PEOPLE; in generale risulta integrabile qualunque Service Provider rispetti le interfacce esterne definite nell’ambito di tali due progetti.

Per quanto riguarda il progetto ICAR INF-3, sia lato Service Provider che Identity Provider viene fatto uso del protocollo SAML 2.0, laddove i medesimi soggetti che fanno invece riferimento ad ambienti SIRAC-PEOPLE fanno uso della versione precedente, SAML 1.1, del protocollo.

FedERa consente la convivenza di tutti tali sistemi, essendo in grado di adattarsi ai vari protocolli impiegati presso di essi, massimizzando in tal modo il grado di interoperabilità con i servizi e-government disponibili nelle varie realtà in cui i progetti ICAR INF-3 e SIRAC-PEOPLE sono nati e si sono sviluppati.

 

Architettura complessiva di alto livello

Per realizzare le funzionalità indicate, l’architettura del sistema FedERa è costituita da tre macro-componenti principali:

  • Sistema di autenticazione (Identity Provider): eroga il servizio di autenticazione per gli utenti FedERa verificando le credenziali utente e preparando le asserzioni SAML (1.1 o 2.0) che dovranno essere trasmesse agli erogatori dei servizi finali.
  • Gateway Multiprotocollo di autenticazione: svolge la funzione di gateway di dominio e di mediatore fra i servizi di front-end erogati dagli enti sul territorio che richiedono l’autenticazione e gli Identity Provider della federazione (quindi non solo l’Identity Provider Federa). Il Gateway Multiprotocollo è responsabile di supportare le interazioni con i Service Provider ed Identity Provider della federazione utilizzando entrambi i protocolli SAML 1.1 e SAML 2.0.
  • Sistema di gestione di identità digitali (Identity Manager): applicazione per la gestione degli utenti e del relativo ciclo di vita (es. registrazione, attivazione, sospensione, ecc.) con funzionalità per varie tipologie di soggetti (amministratori, utenti finali, ecc.).

Uno schema logico complessivo di tali elementi può essere riassunto nella seguente figura. In tale figura gli elementi introdotti dal progetto FedERa sono evidenziati in colore giallo.

 img.png

 

Come è possibile vedere, per poter interagire con FedERa, i Service Provider con essa integrati devono poter comunicare con il componente Gateway Multiprotocollo che svolge il ruolo di mediatore nella fase di accesso ai servizi ricevendo i messaggi di richiesta di autenticazione, interpellando l’utente su quale Identity Provider deve essere contattato per verificare le credenziali e produrre la relativa attestazione firmata e infine rimandando l’utente al servizio richiesto.
In tale fase, il Gateway ha il compito di svolgere tutte le attività di adattamento tra messaggi scambiati dai soggetti interagenti (Service Provider da un lato e Identity Provider dall’altro), in modo trasparente per l’utente e per i Service Provider, sia relativamente alla struttura di tali messaggi, legata al protocollo impiegato, sia relativamente al contenuto.
Il Gateway, inoltre, mantiene attiva una sessione di Single Sign On (SSO): in caso di ulteriori richieste di autenticazione da altri Service Provider, se la sessione è ancora attiva, inoltra l'esito dell'autenticazione al Service Provider senza rimandare l'utente nuovamente all'Identity Provider.

 

Circle Of Trust (CoT)

Uno degli obiettivi dell’infrastruttura FedERa è di supportare la definizione di Circle of Trust (CoT) fra le entità della federazione.

Più precisamente per Circle-of-Trust (CoT) si intende un insieme di SP e IdP omogenei rispetto a:

  • Livello minimo di affidabilità dell’identità digitale ad essi associato.
  • Livello minimo di password policy dell'identità digitale ad essa associato.

Un generico Service Provider integrato con FedERa può essere associato a uno e un solo CoT: mediante tale associazione, esso indica qual'è il livello minimo di affidabilità dell'identità e il livello minimo di password policy degli utenti che intendono accedere ai servizi erogati.

Ad un CoT possono essere associati più Service Provider, cioè tutti quelli che presentano i medesimi requisiti. Tra tutti i Service Provider associati ad un CoT, il Gateway Multiprotocollo FedERa abilita la funzionalità di Single Sign On, per consentire agli utenti di immettere una sola volta le credenziali di accesso, e riutilizzarle in caso di accesso ad un diverso Service Provider appartenente al medesimo CoT.

  

Affidabilità

L'affidabilità rappresenta il grado di attendibilità delle identità digitale, e varia in base alla modalità con cui l'utente è identificato presso il proprio gestore delle Identità.

All'interno dell'Identity Provider FedERa, l'affidabilità è distinta in tre livelli:

  • Bassa:
    • Utenti non identificati.
      Sono gli utenti che si registrano online presso il gestore delle identità.
  • Media:
    • Utenti identificati in maniera debole/indiretta tramite SIM/USIM.
      Sono gli utenti che si registrano online presso il gestore delle identità, inserendo e confermando il proprio numero di telefono cellulare.
  • Alta:
    • Utenti identificati "de visu" da un operatore del gestore delle identità.
    • Utenti identificati tramite smartcard CIE/CNS.
    • Utenti identificati tramite invio di documentazione firmata digitalmente.

 

Password Policy

La Password Policy è un set di regole sulla robustezza dell'account e della password dell'utente, che si applica agli utenti con livello di affidabilità Alto. 

Valgono i seguenti elementi costituenti la policy:

  • Lunghezza minima
  • History: numero minimo di password precedenti da cui la nuova password deve essere diversa
  • Composizione caratteri:
    • Numero minimo di caratteri alfabetici
    • Numero minimo di caratteri numerici
    • Numero minimo di caratteri "extra alfanumerici", scelti tra ? , . - + = * _ : ; ! % ( )
  • Scadenza password
  • Scadenza account

All'interno dell'Identity Provider FedERa, le password policy sono identificate in tre livelli:

  • Bassa:
    • Lunghezza minima: 6 caratteri
    • Nessuna policy sull'account
  • Media (Dati Personali):
    • Lunghezza minima: 8 caratteri
    • History: 3
    • Composizione: 4 alfabetici, 2 numerici, 1 extra alfanumerico
    • Scadenza password: 6 mesi
    • Scadenza account: 6 mesi dall'ultimo login
  • Alta (Dati Sensibili):
    • Lunghezza minima: 8 caratteri
    • History: 3
    • Composizione: 4 alfabetici, 2 numerici, 1 extra alfanumerico
    • Scadenza password: 3 mesi
    • Scadenza account: 6 mesi dall'ultimo login

 

Attributi

Gli attributi identificativi degli utenti sono univoci all'interno dell'intera federazione: di conseguenza vengono seguite delle regole semantiche e sintattiche sulla definizione del loro nome e del loro significato.

Nel momento in cui un Service Provider viene integrato in FedERa , viene comunicato il set minimo di attributi utente strettamente necessari al funzionamento del servizio applicativo.

Oltre al set minimo di attributi richiesti, a valle dell'autenticazione il Gateway trasmette al Service Provider tutti gli altri attributi utente restituiti dall'Identity Provider. Questi ulteriori attributi che giungono al Service Provider sono variabili in funzione del gestore delle identità della federazione presso cui l'utente esegue l'autenticazione.

Qui puoi trovare la lista completa degli attributi che vengono utilizzati all'interno della federazione FedERa.

 

Sei un cittadino?

Non Registrato?
Registrati!
Già Registrato?
Accedi!

Sei un Ente?

Partecipa
a FedERa!