cittadino e crs - risorsecomuni.it · servizio di gestione dell’identità digitale (identity...
TRANSCRIPT
Palazzo delle Stelline – Milano 27 novembre ore 10,00 – 13,00
ATTI DEL SEMINARIO
Sistemi di identificazione del cittadino on line con la CRS (a cura di Lombardia Informatica)
Regione Lombardia e Lombardia Informatica S.p.A. presentano il servizio di gestione dell’identità digitale (Identity Provider del Cittadino, IdPC) a disposizione degli EELL lombardi per autenticare i cittadini dotati di CRS/CNS (ed in futuro di CIE). Verrà illustrato il posizionamento della soluzione nel più ampio contesto degli standard europei e dei progetti nazionali. Il convegno illustrerà inoltre lo stato di avanzamento dell’utilizzo della Carta Regionale dei Servizi con particolare focalizzazione sui servizi realizzati dagli Enti Locali del territorio Lombardo. Sarà presentato anche ELDY Lombardia, una risposta concreta al problema del Digital Divide culturale per l’accesso ai servizi online.
Regione Lombardia ed EELL:l’IdPC una proposta strategica
10:00 – 10:15 “Lombardia Informatica e il suo impegno per l’ e-GOV”Alberto Daprà, Presidente Lombardia Informatica S.p.A.
10:15 – 10:45 “La CRS dalla sanità regionale agli EELL: oggi e domani”Antonio Lasi, Vice Direttore Generale Lombardia Informatica S.p.A.
10:45 – 11:00 “Il digital divide culturale. Eldy in Lombardia:una risposta concreta”Anna Bianco, Presidente di ELDY
11:00 – 11:20 “I sistemi di Identity Management – Standard e Progetti”Massimiliano Pianciamore, CEFRIEL
11:20 - 11:45 “Regione Lombardia ed EELL: l’IdPC una proposta strategica”Ferdinando Ferrari, Regione Lombardia
11:45 – 12:15 “IdPC – Come funziona, come si integra”Alberto Zanini, Lombardia Integrata S.p.A.
12:15 – 12:30 Domande e Risposte12.30 – 12.45 Chiusura dei lavori e saluto
AGENDA
1
La “carta” vincente di
Regione Lombardia
2
Mission
Lombardia Informatica, società di servizi a capitale pubblico, nasce nel dicembre 1981 su iniziativa della Regione Lombardia.
“La mission del Gruppo consiste nell'operare, attraverso l'utilizzo delle tecnologie informatiche e telematiche più
avanzate, per il miglioramento del rapporto tra le Istituzioni Pubbliche e la Società Civile.“
3
Attività
Progettare e realizzare il Sistema Informativo Regionale
Garantire la qualità delle soluzioni tecnologiche adottate dalSistema Regione
Realizzare il Progetto Carta Regionale dei Servizi – SistemaInformativo Socio-Sanitario
Partner della Regione Lombardia per I progetti di eGovernment e diinnovazione dei servizi
4
Le Società del Gruppo
(Giugno 2004)Progettazione e Gestione
Sistema Informativo Regionale
(Ottobre 1999) Realizzazione
Carta Regionale dei Servizi
(Marzo 2004) Contact Center
Carta Regionale dei Servizi
5
Dati significativi di Gruppo (Bilancio 2006)
RICAVI Gruppo Lombardia InformaticaTot. 188,4 mln di euro
Personale Totale Gruppo Lombardia Informatica762 dipendenti
6
Progetti principali
CRS-SISS: il sistema informativo socio-sanitario lombardo
Sistema informativo territoriale: con accesso condiviso ai dati territoriali
ESRA: per la condivisione e gestione dei dati fondamentali di Regione Lombardia
Sistema dei Tributi: verso il federalismo fiscale
7
Lombardia Informatica – RisorseComuni 2007
GRAZIE!
Alberto DapràPresidente
Gruppo Lombardia Informatica
Regione Lombardia ed EELL:l’IdPC una proposta strategica
Ferdinando Germano Ferrari
Sistemi Informativi e ICTE-Government e reti - Innovazioni e sviluppo della CRS
Risorse Comuni - 27 Novembre 2007
Di cosa parleremo ...
Un po’ di storia …Gli obiettivi di RegioneIdentity Provider del CittadinoFuturo
Un po’ di storia ....
1999 – Nasce il progetto CRS-SISS2001 – Sperimentazione SISS in Prov. di Lecco2002 - Inizia diffusione SISS a tutta la Regione2002 – Io Avviso di eGovernment (CNS)2003 - Bando SISCoTEL 2003 (CRS)2004 - Bando SISCoTEL 2004 (CRS)2004 – DPR 117 – CNS2004 – Inizia diffusione CRS/CNS a tutta la Regione2005 - Bando SISCoTEL 2005 (CRS)2005 – Codice Amministrazione Digitale
Codice Amministrazione Digitale
Art . 64. Modalità di accesso ai servizi erogati in rete dalle pubbliche amministrazioni.
1. La carta d’identità elettronica e la carta nazionale dei servizi costituiscono strumenti per l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni per i quali sia necessaria l’autenticazione informatica.
2. .....3. ....., è fissata la data, comunque non successiva al 31
dicembre 2007, a decorrere dalla quale non è piùconsentito l’accesso ai servizi erogati in rete dalle pubbliche amministrazioni, con strumenti diversi dalla carta d’identità elettronica e dalla carta nazionale dei servizi.
Per abilitare un significativo incremento nell’utilizzo complessivo dei servizi di e-government le azioni che l’Amministrazione Regionale promuove sono duplici:
favorire l’utilizzo della CRS da parte dei cittadini quale strumento personale per l’accesso ai servizifacilitare il compito dei diversi entinell’erogazione di servizi supportandoli, dal punto di vista infrastrutturale, per le tematiche legate alla gestione delle credenziali digitali.
Contesto
Regione Lombardia mette a disposizione degli enti sul territorio lombardo
una infrastruttura omogenea e standardizzata
per supportare l’identificazione degli utenti
al momento della richiesta di accesso ai servizi.
Identity Provider del Cittadino
IdPC
Ente esterno(Comune 1)
Servizi aicittadini
Ente esterno(Comune N)
Servizi aicittadini
Ente esterno(…)
Servizi aicittadini
Ente esternoPA non lombarda)
Servizi aicittadini
Ente Regione
IdentityProviderCittadini
Servizi aicittadini
Consente ai singoli enti di delegare ad un servizio esterno regionale la verifica delle credenziali di un utente in possesso di una smart card (CRS/CNS/CIE).
Consente di uniformare i processi di autenticazione dei cittadini.
Consente economia di scala
Consente agli enti di concentrarsi sull’erogazione del servizio
Benefici
Futuro
L’IdPC è aperto verso sistemi di autenticazione ed erogatori di servizi terzi rispetto alla RegioneE’ possibile interoperare con la comunità PEOPLESi integrerà con analoghi servizi di altre Regioni, laddove compatibile (in corso analisi tecniche del sistema ARPA di Regione Toscana) A tendere, evolverà in conformità al progetto per l’interoperabilità interregionale ICAR, attualmente in corso di definizione e sviluppo.
Integrazione con altri IdP
Ente esterno(PA non lombarda)
Servizi aicittadini
Ente esterno(p.e. Comune)
Servizi aicittadini
Ente Regione
IdentityProviderCittadini
Servizi aicittadini
p.e. altra Regione
AltroIdP
p.e. Postecom
AltroIdP
…….
AltroIdP
WAYF
IDP registry
Grazie
Ferdinando Germano [email protected]
La Carta Regionale dei Servizi
e i suoi molteplici usi, dalla Sanità ai servizi degli Enti Locali
Milano 27 novembre 2007
Un importante ed innovativo “strumento di dialogo”
con la Pubblica Amministrazione.
La Carta Regionale dei Servizi, nuova chiave di accesso del cittadino ai servizi offerti dalla
Pubblica Amministrazione Lombarda.
Carta Regionale dei Servizi
Tessera Sanitaria NazionaleCarta Nazionale dei ServiziTessera Europea di Assicurazione MalattiaTesserino del Codice Fiscale Sostituisce il tesserino sanitario cartaceoE’ abilitabile a carta di pagamentoAccorda l'accesso al Sistema Informativo Socio-Sanitario regionalePermette di usufruire dei servizi della Regione Lombardia e della Pubblica AmministrazioneConsente l'autenticazione digitale del cittadino in rete e la firma elettronica
Dati anagraficiDati anagrafici
Dati amministrativiDati amministrativi
Dati sanitari di emergenzaDati sanitari di emergenza(accessibili solo da Medici autorizzati)(accessibili solo da Medici autorizzati)
66 KbKb per servizi privatiper servizi privati
Tutto il resto è sulla rete
CRS : Aspetti generali
Sono state inviate ai cittadini circa 9.350.000CRS coprendo la quasi totalità (99%) della popolazione lombarda
Sono in corso di emissione circa 50.000 CRS, risultato delle operazioni di bonifica dell’anagrafe regionale con l’anagrafe tributaria
La diffusione è un processo sempre attivo in quanto coinvolge nuove emissioni e riemissioni
Fonte: Lombardia Informatica – aggiornamento al 05 maggio 2006
CRS : La diffusione
CRS : Attivazione come CNS
La Carta Regionale dei servizi è distribuita a tutti i cittadini assistiti in Lombardia
È attivata come Carta Nazionale dei Servizi fornendo il codice PIN a fronte del riconoscimento dei cittadini
Riconoscimento e consegna del PIN avvengono tramite un servizio erogato con la collaborazione di Poste Italiane
Attualmente sono state attivate circa 4.730.000 carte
La CRS per i servizi on-line della Regione
Servizi rilasciati dalla Sanità (progetto SISS)a fronte dell’autenticazione dei cittadini tramite CRS/CNS:
Visualizzazione delle informazioni al Cittadino (VIC), consente di accedere al Fascicolo Sanitario Elettronico per:
Visualizzare informazioni anagrafiche e amministrativeVisualizzare i dettagli relativi agli eventi sanitariConsultazione referti (progressivamente)
Scelta e Revoca del Medico di Medicina Generale e del Pediatra di Libera SceltaPrenotazione delle prestazioni
Patrocinio Cultura
Buono Scuola e Assegni di studio
Portale Tributi
La CRS per i servizi on-line della Regione
Patrocinio Industria
Carta Sconto Metano/GPL
Sconto Eventi Culturali
La CRS per i servizi on-line della Regione
La CRS per i servizi on-line delle PAL lombarde
La CRS per i servizi on-line delle PAL lombarde
E altri arriveranno presto …
Più di 300 comuni
Più di 3.600.000 di abitanti
Portale Nazionale Imprese
CRS: valore comune
La CRS è uno strumento comune, con alti potenziali di utilizzo a disposizione della societàlombardaI vantaggi di usare la CRS sono :
non occorre emettere e gestire altre carte
la CRS contiene un’identificativo univoco (CodFisc) certificato da Agenzia delle Entrate
il CodFisc si può leggere dalla banda magnetica, dal barcode, dal microchip e a vista
SEMPLIFICA LA VITA AL CITTADINO
CRS: utilizzi offline
Accesso alle piattaforme ecologicheAccesso ai servizi bibliotecariPagamento mensa scolasticaGestione sfollati in caso di alluvioneIscrizione a corsi di nuoto
Strategie di sviluppo
Favorire l’utilizzo della CRS significa accelerare lo sviluppo dei servizi al cittadino agendo
su tre “direttrici di sviluppo”:
Eliminare le barriere culturali-tecniche-economicheAccelerare l’offerta di serviziInformare i cittadini e promuovere i servizi
Rendere più “corta” la catena tra carta e rete
Fornitura lettore
Meccanismi di distribuzione PIN
Rendere la PDL piùsemplice e fruibile
Ente esterno(Comune 1)
Servizi aicittadini
Ente esterno(Comune 1)
Servizi aicittadini
Ente esterno(Comune)
Servizi aicittadini
Gestore identità
cittadino
Servizi ai
cittadini
Ente Regione
2
Fornire un servizio di gestione dell’identitàconforme agli standard di mercato
3Ridurre il digital divide
Eliminare le barriere
1
4
5
OBIETTIVO
Distribuire il PIN per l’identificazione online a tutti i
potenziali utenti.
STATUS Già distribuiti circa 4,7 milioni di PINRichiesta agli sportelli degli Uffici Postali e invio a casaRilascio PIN immediato presso gli sportelli ASL
IN CORSO DI VALUTAZIONE (fattibilità)
Distribuzione presso gli sportelli comunali
Distribuzione PIN
OBIETTIVO
Distribuire il lettore CRS a tutti i potenziali utenti
STATUS
Finalizzata gara per l’acquisto di 1 milione di lettori USB
Prezzo finale al cittadino intorno agli 8 Euro
Canali di distribuzione: Poste e Farmacie (accordi in
corso)
Piano di comunicazione sul territorio con azioni
congiunte e sincronizzate con gli EELL
Distribuzione lettori
La Postazione Cittadino
STATUS
Il progetto CRS-SISS ha sviluppato un modulo software, liberamente scaricabile dal sito www.crs.lombardia.it che consente:
Mutua autenticazione tramite il protocollo SSLv3 con le applicazioni web che espongono servizi in Internet per i cittadiniLettura di dati contenuti nella CRS/CNSApposizione della firma elettronica tramite chiave e certificato di autenticazione
La Postazione Cittadino è realizzata per l’ambiente MS Windows+IE
SVILUPPOSono previste realizzazioni per Firefox e per i S.O. MacOS e Linux
CRS Manager
OBIETTIVO : Ridurre il digital divide culturale.Aumentare i fruitori di servizi di eGovernment:
Il Lombardia il 56% non usa InternetDai 45 ai 64 anni il 63% non usa InternetOltre i 55 anni, l’88% non sa usare un computer
ELDY:Iniziativa NO PROFIT e OpenSource (www.eldy.org)Contiene : browser, email, chat, notepad, visualizzatore immaginiStudiato con e per gli anziani
ELDY
Servizio centralizzato di gestione dell’identitàdigitale e dei profili
Identificazione/autenticazione tramite CRS/CNS (Utilizzo del codice fiscale garantito dalla Agenzia delle Entrate)Asserzioni di identità e di profilo di base rilasciate secondo le specifiche del progetto People e SAML 1.1Disponibile da Aprile 2007
IdPC - Identity Provider dei Cittadini
Obiettivo: Promuovere l’uso dei servizi che adottano la CRS
Target: cittadini, imprese, mediatori di consenso, associazioni...
Iniziative: partecipazione a eventi, fiere, camper itinerante..
Media: tradizionali (articoli e inserzioni su edizioni locali, cartelloni...) e innovativi (siti web, email- newsletter, banner, motori di ricerca…)
Valenza territoriale: integrazione/condivisione tra gli interessi generali (Regione) e quelli locali (Comune/Provincia)
Sincronizzazione tra il piano di comunicazione sul territorio e la disponibilità dei servizi e dei lettori
Formalizzazione di accordi ufficiali con comuni e province
Piani di comunicazione
Identity Provider Regione Lombardia (IdPC-RL)
Come funziona, come si integra
Alberto Zanini, LISIT SpA (gruppo Lombardia Informatica)
Milano, 27 novembre 2007
2
Servizio che gestisce completamente la fase di autenticazione degli utenti di servizi webL’autenticazione è di tipo “forte”, ed avviene tramite smartcard dotata di certificato di autenticazione in rete (CRS/CNS di Regione Lombardia, altra CNS, CIE)Liberamente accessibile ed utilizzabile su Internet dall’Aprile 2007
IdPCCenni preliminari
3
Lettore di smartcard, smartcard e relativo PINInstallazione del software libero “Postazione di Lavoro del Cittadino” (sito www.crs.lombardia.it)
Sistemi operativi supportati (ad oggi…): Windows 2000, XP e VistaBrowser utilizzabili: Internet Explorer (6.x e 7.x), Firefox (1.x e 2.x).
IdPCPrerequisiti per l’utenza finale dei
servizi
4
Delegare la fase di autenticazione ad IdPC, seguendo interfacce definite (documento SIAU#76 su sito CRS)Come “agganciare” IdPC ? Due modalità alternative:I. installando le componenti già predisposte in Java e .NET (documento SIAU#77, software e codici sorgenti SIAU#78 e #79 su sito CRS), oppureII. sviluppando ex-novo le componenti di aggancio in accordo a documento SIAU#76
IdPCCompiti dell’erogatore dei servizi
5
I passi fondamentali:1) l’utente cerca di accedere ad un servizio web che richiede autenticazione ;2) il servizio web intercetta la chiamata del browser dell’utente e ne redirige la navigazione su IdPC ;3) IdPC instaura un canale SSL v3 con il browser dell’utente (mutua autenticazione) ;4) IdPC verifica il certificato di autenticazione della smartcard ;
IdPCCome funziona / 1
6
I passi fondamentali (continua):5) IdPC raccoglie i dati (attributi di identità) dell’utente, leggendo la smartcard (ad oggi…) ;6) IdPC inoltra questi dati - previa consenso dell’utente - all’erogatore dei servizi, in modalitàstandard (SAML), autenticata (firma) e cifrata (SSL) ;7) l’erogatore dei servizi web verifica l’asserzione prodotta da IdPC ed ha accesso agli attributi di identità dell’utente, che può trattare in accordo alle proprie regole di business.
IdPCCome funziona / 2
7
IdPCIl processo di autenticazione
dell’utente
Ente Regione
Identity Provider Cittadino
B R O W S E R C I T T A D I N O
Interfaccia di accesso ai servizi
IntersiteTransferService
AuthenticationAuthorityAssertion
Consumer
1: richiestaServizio 1
2: redirect conTARGET=Servizio 1
4: credenziali
7: POST su A.C. con asserzione
5: forward/POST a ITS
6: creazioneasserzione
Ente erogatore di servizi
Access check
8: forward/POST conTARGET=Servizio 1 edati di autenticazione
3: richiesta credenziali (CRS) su SSLv3
Servizio 1 2 3 N…
ResponseReceiver10: forward a
Servizio 1
9: redirect su Servizio1
Ente Regione
Identity Provider Cittadino
B R O W S E R C I T T A D I N O
Interfaccia di accesso ai servizi
IntersiteTransferService
AuthenticationAuthorityAssertion
Consumer
1: richiestaServizio 1
2: redirect conTARGET=Servizio 1
4: credenziali
7: POST su A.C. con asserzione
5: forward/POST a ITS
6: creazioneasserzione
Ente erogatore di servizi
Access check
8: forward/POST conTARGET=Servizio 1 edati di autenticazione
3: richiesta credenziali (CRS) su SSLv3
Servizio 1 2 3 N…
ResponseReceiver10: forward a
Servizio 1
9: redirect su Servizio1
8
IdPCL’esperienza utente
9
IdPCL’esperienza utente
10
IdPCL’esperienza utente
11
IdPCL’esperienza utente
12
IdPCL’esperienza utente
13
IdPCL’esperienza utente
14
IdPCL’esperienza utente
15
Il componente AccessCheck, che intercetta la navigazione utente, è un filtro web ;AccessCheck e ResponseReceiver devono operare nello stesso contesto (visibilità della sessione utente) ;AssertionConsumer è una servlet, anche delocalizzatarispetto al portale erogatore dei servizi ;Attributi di identità dell’utente sono asserzioni in formato SAML 1.1, e firmati digitalmente da IdPC, che ne garantisce la correttezza ;IdPC ha certificato SSL server rilasciato da una Certification Authority Omniroot (massimi standard di sicurezza).
IdPCQualche dettaglio tecnico…
16
Possibilità per l’erogatore dei servizi web di far scegliere all’utente l’Identity Provider che lo “riconosce” (quello di Regione Lombardia potrebbe non essere l’unico esistente) ;Si realizza facendo puntare il componente AccessCheck all’indice degli Identity Provider(WAYF – Where Are You From) piuttosto che direttamente all’Identity Provider di Regione Lombardia ;L’esempio mostrato indirizza direttamente l’Identity Provider di Regione Lombardia.
IdPCIndice degli Identity Provider
17
Per i servizi web che aderiscono a SiRAC People, un’eventuale migrazione ad IdPC è immediata (stesse interfacce) ; L’asserzione SAML prodotta da IdPC è più ricca di quella prevista da SiRAC People, ma interoperabile ;Indirizzo e-mail unico dato utente potenzialmente conservato sui sistemi informatici di Regione Lombardia (codice fiscale è chiave primaria per IdPC).
IdPCCompatibilità con SiRAC People
18
Dati di asserzione utente recuperati da un’anagrafe centrale per gli assistiti in Lombardia – non più necessario leggere la smartcard (che mantiene fini di autenticazione), quindi: assenza di codice attivo nel browser ; esperienza utente più snella ;soluzione potenzialmente multipiattaforma.
Possibilità per i servizi web di specificare ad IdPC di quali dati utente necessitano.
IdPCProssime funzionalità
© 2007 - CEFRIEL FOR DISCUSSION PURPOSES ONLY: ANY OTHER USE OF THIS PRESENTATION - INCLUDING REPRODUCTION FOR PURPOSES OTHER THAN NOTED ABOVE, MODIFICATION OR DISTRIBUTION - WITHOUT THE PRIOR WRITTEN PERMISSION OF CEFRIEL IS PROHIBITED
Identity Management Identity Management e accesso a servizi OnLinee accesso a servizi OnLine
stato dellstato dell’’arte, iniziative e prospettivearte, iniziative e prospettive
Risorse Comuni, 27 novembre 2007
Massimiliano [email protected]
© 2007 - CEFRIEL
DefinizioniDefinizioni
Identità (digitale)L’insieme delle caratteristiche essenziali e uniche di un soggetto che ne permettono l’identificazione
Identity managementL’insieme di procedure, protocolli, standard e apparati che permettono di gestire la complessità legata all’identità digitale
complessità legata alla definizione di quali siano tali caratteristiche
uniche ed essenziali
le componenti dell’identità digitale sono tante e distribuite in maniera non correlata e talvolta
inconsistente
Non avere il controllo dell’identità digitale può comportare rischi e costi non sostenibili
2
© 2007 - CEFRIEL
Identity management Identity management e Servizi di ee Servizi di e--GovernmentGovernment
La gestione dell’identità digitale riveste un ruolo chiave nelle infrastrutture software per l’e-Government
Servizi della PA a disposizione dei cittadiniAccesso “trasparente”, che non richieda all’utente autenticazione multipla (SSO)Gestione dell’accesso ai servizi online di diverse tipologie di utenti, per es.
utenti esterni (cittadini)utenti interni (operatori, amministratori)
Creazione di meccanismi per stabilire relazioni di trust tra domini diversi dislocati sul territorioImpraticabilità di un approccio centralizzato ai controlli di sicurezzaScambio sicuro di informazioni tra le entità interagenti
3
© 2007 - CEFRIEL
IdentitIdentitàà digitale in Italia: frammentazionedigitale in Italia: frammentazione
La prima fase dei progetti di e-Gov ha visto in prevalenza la creazione di sistemi di identity management su base territoriale
La prima fase ha consentito la creazione dei servizi, ma ha portato alla proliferazione di “silos di identità”
Le persone, tuttavia, non agiscono in un ambito esclusivamente territoriale
i cittadini si spostano e usufruiscono di servizi differenti, situati in realtàdiversegli intermediari che partecipano all’erogazione di un servizio online possono rappresentare persone fisiche o giuridiche in diversi ambiti
4
5
Identity Management: Identity Management: Cambia il punto di vistaCambia il punto di vista
Le organizzazioni sono quindi abituate a gestire le identitàdigitali dei propri membri…
…e a considerare l’intero tema dell’identità digitale come un fatto interno
La situazione è cambiata a partire dal 2002: le organizzazioni hanno visto aumentare in modo prima non prevedibile le necessità di lasciare “uscire” ed “entrare” le identità digitali attraverso i confini proprio dominio
6
LL’’identitidentitàà digitale federatadigitale federata
La “identità digitale federata” è il nuovo paradigma che nasce dall’accettazione di questi fatti:
le persone si “spostano” attraverso i confini di diversi ambiti di responsabilità in modo sempre più frequente, e continuerà ad essere così in futuronon è probabile che si possa giungere ad una identità digitale unificata, in qualunque ambito che non possa essere identificato con un solo dominio di responsabilità
Nel white paper “Federated Identity Management”, A.Durand e E.Norlin forniscono una delle prime definizioni di “gestione federata dell’identità”:
“Federated Identity Managment… [is] the management of identities between corporate boundaries”
7
Suddivisione dei ruoli in una infrastruttura Suddivisione dei ruoli in una infrastruttura federatafederata
Il paradigma federato costringe a ripensare i ruoli delle organizzazioni nella catena del servizio:
se prima fornitori di servizio e di identità erano la stessa organizzazione, ora appartengono a organizzazioni diverse
I fornitori di servizio (“Service Provider”, SP) presidiano l’offerta di funzionalità applicativeI fornitori di identità (“Identity Provider”, IdP) si specializzano nella gestione delle identità digitaliPilastri della federazione:
Interoperabilità: far sì che i “linguaggi” di due diversi sistemi di identity management siano mutuamente interoperabili (non necessariamente identici)Ambito fiduciario comune: dall’interoperabilità si ottiene un reale valore aggiunto se si dispone anche di un modello tecnico-organizzativo in grado di supportare la fiducia tra le parti
SPSP
IdPIdP
APAP
8
Suddivisione dei ruoli in una infrastruttura Suddivisione dei ruoli in una infrastruttura federatafederata
Identity Provider e Service Provider possono cooperare secondo diversi “profili”, ciascuno dei quali definisce l’ambito fiduciario e contrattuale che lega le due tipologie di entità
IdP
SP
SP
SP
SPSP
SP
Profilo Profilo ““SP HubSP Hub”” Profilo Profilo ““IdP HubIdP Hub””
Profilo Profilo ““Multi ProviderMulti Provider””
Identity Management in EuropaIdentity Management in Europa
L’indirizzo attuale è di non proporre uno “European eID system” a sé stante, bensì di promuovere l’interoperabilità tra le soluzioni esistenti a livello nazionaleAmbiti
eGovernmenteCommerceeHealtheLearning…
TrendsFederated trust modelUser-centric IdM, personal data ownershipSingle Sign-OnStrong authenticationStandards & regulations compliance…
© 2007 - CEFRIEL9
Identity Management in EuropaIdentity Management in Europa
Obiettivo: 2010“By 2010 European citizens and businesses shall be able to benefit from secure means of electronic identification that maximise user convenience while respecting data protection regulations. Such means shall be made available under the responsibility of the Member States but recognised across the EU” […]
© 2007 - CEFRIEL10
Tecnologie e prodottiTecnologie e prodottiEsistono diverse tecnologie e iniziative a supporto della gestione dell’identità digitale (e, in generale, dei meccanismi di autenticazione, autorizzazione e federazione)
SAMLXACML
Liberty AllianceOpenIDCardSpaceWS-Federation…
Molte di queste tecnologie sono già diventate standard consolidati e diffusi, utilizzati da diversi prodotti di mercato
IBM Tivoli Federated Identity ManagerBEA WebLogicOracle Identity ManagerSun Java System Access ManagerNovell Access Manager...
© 2007 - CEFRIEL
complessità legata all’interoperabilitàtra standard diversi e tra versioni
diverse dello stesso standard
11
© 2007 - CEFRIEL
Infrastrutture vs. strumentiInfrastrutture vs. strumenti
È indispensabile tenere separate le problematiche relative a infrastrutture e strumenti a supporto dell’identità digitale:
Infrastrutturecostituiscono l’“ossatura” su cui si basa il sistemadefiniscono il modello concettuale e architetturale del sistema (es.
componenti, relazioni, dipendenze, protocolli)possono operare a livelli diversi (es. rete, applicativo)
Strumentirappresentano modalità diverse per rappresentare o veicolare una certa
informazione (es. credenziali utente a fini di autenticazione)sono ortogonali rispetto all’infrastruttura
N.B. su entrambi possono insistere vincoli normativi, tecnologici, organizzativi e di usabilità
12
© 2007 - CEFRIEL
IdentitIdentitàà digitale in Italia: strumentidigitale in Italia: strumenti
L’attuale assetto dell’e-Gov vede coesistere diverse soluzioni di identity management tra loro sovrapposte e parzialmente incompatibili (“silos di identità”)Sul territorio nazionale sono distribuiti e in corso di distribuzione ai cittadini strumenti di autenticazione forte conformi alla normativa (CIE/CNS)
In particolare la Carta Regionale dei Servizi di Regione Lombardia è stata distribuita capillarmente sul territorio a tutti i cittadini lombardi
Occorre una infrastruttura che consenta a un ente di utilizzare in “outsourcing” un servizio di Identity Provider a cui delegare la fase di autenticazione e che sia facilmente integrabile con i servizi applicativi degli enti erogatori dei servizi
13
© 2007 - CEFRIEL
Identity Management Federato: Identity Management Federato: Iniziative rilevanti in ambito nazionaleIniziative rilevanti in ambito nazionale
Alcuni progetti di rilevanza nazionale focalizzati sulle tematiche legate alla gestione dell’identità digitale federata
PEOPLE (Progetto Enti On-line Portali Locali E-government)Definizione di un modello federato per la gestione dell’identità digitale dei
cittadini fruitori dei servizi di e-Government erogati dagli Enti partecipanti al progetto
ICAR (Interoperabilità e Cooperazione Applicativa tra le Regioni)Definizione di una infrastruttura interregionale federata a supporto di
meccanismi di autenticazione e autorizzazione dell’accesso dei cittadini ai servizi applicativi erogati dalle Regioni
Entrambi i progetti adottano standard tecnologici consolidati e operano nel pieno rispetto del quadro normativo corrente e delle altre iniziative in corso
14
Vantaggi dellVantaggi dell’’adozione di una infrastruttura adozione di una infrastruttura federatafederata
Punto di vista del cittadinoPossibilità di utilizzo di una singola credenziale spendibile su diversi erogatori di servizi
Punto di vista dell’Ente erogatore dei serviziPossibilità di demandare la gestione dell’identità, ed in particolare il rilascio e la verifica di validità delle credenzali digitali, ad una infrastruttura centrale condivisa per tutti gli enti coinvoltiLa realizzazione dei singoli servizi continua a focalizzarsi sugli aspetti specifici (autorizzazione, business logic, etc.)
Punto di vista infrastrutturale Adozione di un processo e una infrastruttura di gestione dell’identitàdigitale condivisi fra diversi soggetti erogatori dei servizi finali
15
Il ruolo dellIl ruolo dell’’Identity Provider Identity Provider nellnell’’infrastruttura federatainfrastruttura federata
Rilevanza del ruolo dell’IdP all’interno dell’infrastrutturaIn una infrastruttura federata il ruolo dell’Identity Provider diventa centrale poichè entra in gioco (almeno concettualmente) ad ogni richiesta di accesso ai servizi da parte degli utenti finali
Chi può giocare il ruolo di IdPNon è opportuno che siano i singoli comuni a mettere in campo iniziative ad hocE’ anche una questione di fiducia dei Service Provider nei confronti di chi ambisce a svolgere il ruolo di Identity Provider
E’ fondamentale che il processo di emissione e verifica delle credenziali sia rigoroso e sicuro
© 2007 - CEFRIEL16
In Regione LombardiaLa CRS è già distribuita su larga scala
Credenziale forte, unificata, distribuita a tutti e conforme alla normativa esistenteCome favorirne l’utilizzo nella fase di accesso ai
servizi?L’Identity Provider del Cittadino (IdPc)
E’ una iniziativa che consente agli Enti erogatori di servizi di ‘delegare’le problematiche di autenticazione a un soggetto esterno che mette a disposizione una infrastruttura standardizzata e compatibile con le iniziative progettuali in essere in ambito nazionale
IdPc di Regione Lombardia: IdPc di Regione Lombardia: un passo concreto verso una infrastruttura federataun passo concreto verso una infrastruttura federata
© 2007 - CEFRIEL17