Versions Compared

Key

  • This line was added.
  • This line was removed.
  • Formatting was changed.
Info

Revisione completata

Warning
titleCAMBIO NOME

GSI (

...

Governo dei Servizi e dell'Identità

...

  1. Autenticazione e Single sign-on

    1. Login page Francesca
    2. Custom Authentication Module Marco Verrocchio
    3. Authentication Mapper Marco Verrocchio 
    4. Cambio password Francesca (include configurazione del cambio password forzato)

    5. Global logout Angelo (configurazione)

  2. Provisioning

    1. Componenti di base

      1. Generatore di ID unico

      2. Trasformazioni

      3. Data Mapper

      4. Servizi di generazione Francesca

      5. Dispatcher Francesca

      6. Interfacce al CUR Francesca

      7. RDI Gara, Gian Luca + Vit, Francesca

    2. Provisioning da U-GOV

      1.  

      2. Sync-back U-GOV Jacopo, Francesca

  3. Autorizzazione
    1. Landing page Francesca
    2. Applicazione di esempio (Mock page)
  4. Registro dei servizi

    1. Interfacce al G.REG Andrea Jacopo (verifica nomi metodi), Francesca

    2. Interfacce per Identity Server e policy di prodotto Angelo, Jacopo, Francesca

    3. Catalogo dei servizi Gian Luca + Verrocchio, Antonio

  5. Commons

    1. RLOC (Repository della localizzazione) Francesca

  6. Governance

    1. Audit

...

) --> PST (Progetti e Servizi Trasversali) MA mantenere il significato di governo dei servizi e delle identità.

Table of Contents


Premessa

Negli atenei, anche se con rare eccezioni, la direzione sistemi informativi e le singole unità organizzative (dipartimenti, centri, biblioteche, etc.) acquistano o sviluppano in autonomia servizi diretti agli stessi target utente. Inoltre, non si ha una conoscenza diffusa dei servizi disponibili e le diverse strutture raramente analizzano insieme i bisogni degli utenti e pianificano le funzionalità da esporre loro.

L’implementazione delle funzionalità è condotta spesso con tecnologie eterogenee, scelte più in base al know-how interno che per essere le più adatte allo scopo e senza condividere convenzioni di coding e asset. Ad esempio, molte applicazioni hanno una logica a stati, tuttavia sono implementate con linguaggi e framework di tipo funzionale o ad oggetti e non con tecnologie di business process management. Raramente sono condivisi standard internazionali sugli aspetti chiave di interoperabilità dei servizi, autenticazione e autorizzazione degli utenti.

Questo è particolarmente critico perché raramente i gestionali e gli altri sistemi acquistati o sviluppati dall’ateneo diventano la base per lo sviluppo di nuovi servizi: molti utilizzano i dati gestiti da questi sistemi ma sono rari i casi di interoperabilità applicativa e ancora più rari i casi in cui le funzionalità di sistemi diversi danno origine a nuovi servizi chiave e magari a processi complessi. 

Per l’ateneo i sistemi gestionali e le applicazioni sono quindi asset il cui costo potrebbe essere non solo ammortizzato, ma anche diventare un valore acceleratore di nuovi sviluppi e limitatore di ulteriori spese; anche gli sviluppatori ne traggono giovamento, perché possono eliminare dallo sviluppo le parti già disponibili diventate asset comuni. Costi e tempi di sviluppo si riducono, così come l'incidenza di errori e i costi di manutenzione che restano a carico dei soli asset condivisi.

L’approvvigionamento di nuovi servizi da fornitori esterni è un altro punto di sofferenza, perché in mancanza di interazione con i servizi asset dell’ateneo, di condivisione di policy di interoperabilità dei servizi, di autenticazione e autorizzazione degli utenti e altre convenzioni aumentano il costo delle forniture e i costi di manutenzione.

Inoltre è frequente che manchi la conoscenza diffusa dei servizi esistenti sotto il dominio della direzione dei sistemi informativi e delle unità organizzative. E che manchi anche un coordinamento di ateneo sulle funzionalità esposte agli utenti, e che alcune esigenze di costoro restino sconosciute e insoddisfatte. Oppure l’opposto, con applicazioni ridondanti, sviluppate in modo simile tra loro. 

Un altro punto di attenzione riguarda la continuità di servizio e la qualità percepita dagli utenti. È raro trovare strumenti di monitoraggio dello stato dell’intero parco servizi esposti e strumenti che misurino il cosiddetto sentiment degli utenti.

In questo scenario, la gestione operativa e la pianificazione strategica dei servizi risultano depotenziate, perché i responsabili e gli organi di governo dell’ateneo hanno difficoltà a conoscere gli investimenti che producono risultati apprezzati dagli utenti e dove questi non sono invece più necessari, e questa mancanza di polso della situazione aumenta quanto più i sistemi sono in periferia e lontani dal controllo del management strategico dei sistemi informativi.

Presentazione

La piattaforma tecnologica CINECA PST (Progetti e Servizi Trasversali), integrata nella soluzione U-GOVrisponde al bisogno delle grandi organizzazioni come gli atenei di gestire i propri servizi e l'autorizzazione dinamica degli utenti a quei servizi, ovvero copre le funzionalità di governo dei servizi e delle identità. Una gestione così integrata è indispensabile oggi più che in passato per dominare la complessità crescente, soddisfare esigenze di servizio via via maggiori e indirizzare il budget in modo più mirato.

La soluzione PST contiene un modello di governance dei servizi e gli strumenti di integrazione e controllo per attuarlo:

  • web application, web service, processi e dati catalogati come asset
  • interoperabilità e integrazione di servizi costruiti con tecnologie eterogenee, tramite standard
  • esposizione degli asset in un ambiente organico tramite standard internazionali
  • autenticazione e single sign-on (SSO)
  • autorizzazione dinamica ai servizi in base allo stato dei servizi e alle variazioni di ruolo dell’utente nella sua carriera
  • console di gestione unificata per gli amministratori dei servizi
  • report comprensivi dei servizi online e indicatori di performance sul loro stato e gradimento.

La piattaforma è stata sviluppata sulla base di esigenze e modelli tecnologici maturati principalmente insieme all'Università di Torino a partire dal 2007 e proseguiti con Sapienza Università di Roma, Università di Brescia e università europee in incontri EUNIS. La soluzione ha beneficiato del confronto con specialisti di Oracle Corporation, WSO2, Forgerock, Bonitasoft e Gartner.

Prodotti della soluzione

Una tale soluzione di governo dei servizi e delle identità nasce allo scopo di collegare i servizi negli atenei, renderli governabili come sistema integrato e trasformarli in asset, perché le applicazioni e le informazioni in esse veicolate siano riusabili come componenti capaci di dar vita a nuovi servizi. In questo modo si collegano servizi residenti in Ateneo e servizi residenti al CINECA. E si collegano questi ad altri servizi erogati da altri atenei e altri provider di servizi. Ne risulta un modello di aggregazione per innovare e moltiplicare le possibilità di offrire servizi.

La soluzione è idealmente composta da tre aree di prodotto: lifecycle delle persone, lifecycle dei servizi e lifecycle delle relazioni fra persone e servizi; più un’area di servizi di base funzionali alle tre. Il termine lifecycle indica la dinamicità data da un approccio per processi che supera quello tradizionale procedurale.

Lifecycle delle persone: copre le esigenze di gestione dell’identità digitale e i processi di creazione e riconciliazione dei dati a partire dalle fonti che ne certificano l’autenticità. Sono inclusi connettori nativi verso U-GOV e connettori verso sistemi terzi basati su standard internazionali. Comprende tecnologie di autenticazione, single sign-on e federazione di atenei.

Lifecycle dei servizi: copre le esigenze di catalogazione dei servizi con processi di censimento da parte di sviluppatori interni o fornitori esterni all’ateneo. Include strumenti di monitoraggio della distribuzione dei servizi agli utenti e dello stato di funzionamento, di usco e di gradimento da parte degli utenti. Strumenti di governance riservati ai responsabili dei servizi e delle strategie dell’ateneo consentono di valutare in maniera più efficace interventi operativi e distribuzione degli investimenti.

Lifecycle delle relazioni tra persone e servizi: copre l'esigenza di automatizzare l’autorizzazione degli utenti ai servizi in base agli eventi di carriera e comunque in base a regole di business con cui l’ateneo regola l’accesso delle persone ai suoi servizi.

Impatto sull'organizzazione degli atenei

Il risultato è una piattaforma che dà una visione organica dei servizi dell’ateneo e consente di governarne la distribuzione agli utenti, costruire nuovi servizi, attingendo alle proprie applicazioni e dati, come risorse integrate e razionalizzate. Ha come scopo servire utenti finali, amministratori, responsabili e gli sviluppatori dell’ateneo.

La soluzione favorisce una struttura organizzativa più chiara ed efficiente, introducendo i ruoli di:

  • responsabile delle identità digitali
  • responsabile dei servizi
  • sviluppatore di servizi su cloud.

Capability & Maturity model

In base alle condizioni tecniche e organizzative iniziali dell’ateneo e all’orizzonte temporale in cui desidera realizzare il percorso, la soluzione PST può essere adottata secondo un percorso a tappe. L’ateneo potrà fissare i propri obiettivi e l’estensione e la profondità dell’intervento secondo un modello di adozione graduale di tipo Capability & Maturity model.

 CAPABILITY

Maturity 1

Maturity 2

Maturity 3

Maturity 4

Maturity 5

Lifecycle delle persone

Gestione delle identità

Schema basato su standard internazionali

Directory Service (DS/LDAP) di classe enterprise con funzioni di central user repository (CUR).

Servizi self-service: ricordami username; ricordami password; cambio password; cambio profilo.

Console amministratori: gestione utenti e gruppi, cambio password; forza cambio password utente; reset smartcard.

Provisioning studenti ESSE3?CUR.

Provisioning personale e strutture U-GOV?CUR.

Provisioning persone e strutture da fonte locale?CUR.

Auto-provisioning (Registrazione) per visitatori e convegnisti.

Auto-provisioning per prospect e imprese.

Auto-provisioning per imprese con integrazione database InfoCamere.

 

 

 

Autenticazione

Identity provider con login page

 

Attribute mapper.

 

Adaptive authentication.

Servizi self-service: accesso con smartcard

 

 

 

Gestione del profilo

 

Servizi self-service: il mio profilo (comprende la pagina pubblica)

 

Servizi self-service: privacy del mio profilo

 

Lifecycle dei servizi

Gestione dei servizi

Governance registry (GREG)
Interfacce di provisioning provider (GREG)
Catalogo dei servizi dell’Ateneo
Console amministratori per gestione servizi

Catalogo dei servizi CINECA

Service proxy

Rating

 

 

Lifecycle delle relazioni tra persone e servizi

Autorizzazione

Interfacce di provisioning delle policy.

Interfacce consumer per esporre i servizi autorizzati a portale e applicazioni.

Autorizzazione coarse grained ai servizi dell’Ateneo.

Splash page per gli utenti.

Console amministratori: gestione lifecycle autorizzazioni (con accesso ai descrittori degli utenti e dei servizi per la composizione di regole e alle notifiche di change).

Autorizzazione coarse grained ai servizi CINECA

 

 

Autorizzazione fine grained ai servizi dell’Ateneo

Single sign-on

 

Custom Authentication Module
Applicazioni CINECA in single sign-on
Applicazioni dell’ateneo in single sign-on
Console amministratori: gestione single sign-on.

Integrazione con la federazione IDEM.

Console amministratori: gestione federazioni.

 

 

Servizi core

 

 

 

 

 

Dati integrati

 

Repository Dati Integrati (RDI)
Provisioning entità U-GOV?RDI
Provisioning entità ESSE3?RDI
Interfacce consumer per esporre i dati RDI a portale e applicazioni

 

 

 

Audit

 

Repository Eventi di Audit (REA)
Interfacce di provisioning dello stato di servizi
Interfacce consumer per esporre i dati REA a BAM e applicazioni

 

 

 

Localizzazione

 

Repository di localizzazione (RLOC)
Interfacce di provisioning di etichette, descrizioni e messaggi
Console amministratori: localizzazione

 

 

 

Modulo di sviluppo servizi

 

 

 

 

Continuous building e deploy al team Cineca.

Library di documentazione tecnica.

Immagine Virtual machine per sviluppatori.

Monitoraggio

Sonde e BAM: Identity provider; Governance registry; Console amministratori; servizi di Ateneo; interfacce per provider e consumer; login e splash page.

 

Stato dei servizi: pagina pubblica.

Sonde e BAM: Directory Service; Servizi self-service; servizi CINECA.

Sonde e BAM Autoprovisioning; rating dei servizi.

 

 

 

Portabilità della soluzione

La soluzione PST è stata progettata per gli scopi di organizzazioni di dimensioni diverse che condividono esigenze e alcune complessità, non è specifica per il settore Università in Italia. Ha infatti poche caratteristiche, circoscritte e gestibili come moduli opzionali, disegnate per queste e non ha vincoli di localizzazione su dati, funzionalità e lingua italiana.

Questo perché le università italiane, riguardo ai bisogni di gestione dei servizi e delle identità digitali, non sono molto diverse da organizzazioni in altri settori industriali e altri paesi. La soluzione è quindi predisposta by-design per favorire gli eventuali obiettivi di CINECA in altri settori di mercato anche fuori dai nostri confini nazionali.

Inoltre, la sua natura aggregrante, le deleghe funzionali possibili e le funzionalità di garanzia della privacy sui dati rendono la piattaforma adatta a realizzare gli obiettivi di interoperabilità e federazione da sempre auspicati dal MIUR (Ministero dell'Istruzione, dell'Universita e della Ricerca) e a gestire servizi orientati ai processi, che sono ormai trend internazionali consolidati sui mercati.

...

  1. Configurazioni comuni ai tenant Angelo
  2. Università di Torino  Angelo e Marco Verrocchio
    1. Accesso
    2. Configurazioni
    3. Componenti per la generazione da Kernel (Jacopo: "da completare una volta implementato il tutto")
  3. Sapienza Università di Roma  Angelo e Marco Verrocchio
    1. Accesso
    2. Configurazioni
    3. Componenti per la generazione da U-GOV AC
  4. Università di Milano
    1. Accesso
    2. Configurazioni
    3. Componenti specifici per l'esposizione dei dati (Stefania: devo inserire le response)
  5. Supertenant (CINECA)
    1. Accesso al BAM
    2. Accesso all'ESB
    3. Accesso al G.REG (Registro dei Servizi)
  6. Monitoraggio Angelo 

...

  1. Le farm 
    1. Introduzione
    2. Ambiente di sviluppo (DEV) Gian Luca
    3. Ambiente di quality assurance (QA) Gian Luca
    4. Ambiente di pre-produzione
    5. Ambiente di produzione
  2. La virtual machine (per sviluppatori)
     

...