Info |
---|
Revisione completata |
Warning | ||
---|---|---|
| ||
GSI ( |
...
Governo dei Servizi e dell'Identità |
...
Autenticazione e Single sign-on
- Login page Francesca
- Custom Authentication Module Marco Verrocchio
- Attribute Mapper Marco Verrocchio \Analisi Tecnica\U-GOV INT\UNISERVICE\GOVERNANCE\SSO
Cambio password Francesca (include configurazione del cambio password forzato)
Global logout Angelo (configurazione)
Provisioning
Componenti comuni
Generatore di ID unico > Generatore Mail Francesca
Generatore Username > Generatore Mail Francesca
Generatore Password > Generatore Mail Francesca
Generatore Mail > Generatore Mail Francesca
Data Mapper
Dispatcher Francesca
Interfacce al CUR Francesca
RDI Gara, Gian Luca + Vit, Francesca
Provisioning da U-GOV
Sync-back U-GOV Jacopo, Francesca
- Autorizzazione
- Landing page Francesca
Interfacce per Identity Server e policy di prodotto Angelo, Jacopo, Francesca
- Applicazione di esempio (Mock page)
Registro dei servizi
Interfacce al G.REG
AndreaJacopo (verifica nomi metodi), FrancescaCatalogo dei servizi Gian Luca + Verrocchio, Antonio
Commons
RLOC (Repository della localizzazione) Francesca
Governance
...
) --> PST (Progetti e Servizi Trasversali) MA mantenere il significato di governo dei servizi e delle identità. |
Table of Contents
Premessa
Negli atenei, anche se con rare eccezioni, la direzione sistemi informativi e le singole unità organizzative (dipartimenti, centri, biblioteche, etc.) acquistano o sviluppano in autonomia servizi diretti agli stessi target utente. Inoltre, non si ha una conoscenza diffusa dei servizi disponibili e le diverse strutture raramente analizzano insieme i bisogni degli utenti e pianificano le funzionalità da esporre loro.
L’implementazione delle funzionalità è condotta spesso con tecnologie eterogenee, scelte più in base al know-how interno che per essere le più adatte allo scopo e senza condividere convenzioni di coding e asset. Ad esempio, molte applicazioni hanno una logica a stati, tuttavia sono implementate con linguaggi e framework di tipo funzionale o ad oggetti e non con tecnologie di business process management. Raramente sono condivisi standard internazionali sugli aspetti chiave di interoperabilità dei servizi, autenticazione e autorizzazione degli utenti.
Questo è particolarmente critico perché raramente i gestionali e gli altri sistemi acquistati o sviluppati dall’ateneo diventano la base per lo sviluppo di nuovi servizi: molti utilizzano i dati gestiti da questi sistemi ma sono rari i casi di interoperabilità applicativa e ancora più rari i casi in cui le funzionalità di sistemi diversi danno origine a nuovi servizi chiave e magari a processi complessi.
Per l’ateneo i sistemi gestionali e le applicazioni sono quindi asset il cui costo potrebbe essere non solo ammortizzato, ma anche diventare un valore acceleratore di nuovi sviluppi e limitatore di ulteriori spese; anche gli sviluppatori ne traggono giovamento, perché possono eliminare dallo sviluppo le parti già disponibili diventate asset comuni. Costi e tempi di sviluppo si riducono, così come l'incidenza di errori e i costi di manutenzione che restano a carico dei soli asset condivisi.
L’approvvigionamento di nuovi servizi da fornitori esterni è un altro punto di sofferenza, perché in mancanza di interazione con i servizi asset dell’ateneo, di condivisione di policy di interoperabilità dei servizi, di autenticazione e autorizzazione degli utenti e altre convenzioni aumentano il costo delle forniture e i costi di manutenzione.
Inoltre è frequente che manchi la conoscenza diffusa dei servizi esistenti sotto il dominio della direzione dei sistemi informativi e delle unità organizzative. E che manchi anche un coordinamento di ateneo sulle funzionalità esposte agli utenti, e che alcune esigenze di costoro restino sconosciute e insoddisfatte. Oppure l’opposto, con applicazioni ridondanti, sviluppate in modo simile tra loro.
Un altro punto di attenzione riguarda la continuità di servizio e la qualità percepita dagli utenti. È raro trovare strumenti di monitoraggio dello stato dell’intero parco servizi esposti e strumenti che misurino il cosiddetto sentiment degli utenti.
In questo scenario, la gestione operativa e la pianificazione strategica dei servizi risultano depotenziate, perché i responsabili e gli organi di governo dell’ateneo hanno difficoltà a conoscere gli investimenti che producono risultati apprezzati dagli utenti e dove questi non sono invece più necessari, e questa mancanza di polso della situazione aumenta quanto più i sistemi sono in periferia e lontani dal controllo del management strategico dei sistemi informativi.
Presentazione
La piattaforma tecnologica CINECA PST (Progetti e Servizi Trasversali), integrata nella soluzione U-GOV, risponde al bisogno delle grandi organizzazioni come gli atenei di gestire i propri servizi e l'autorizzazione dinamica degli utenti a quei servizi, ovvero copre le funzionalità di governo dei servizi e delle identità. Una gestione così integrata è indispensabile oggi più che in passato per dominare la complessità crescente, soddisfare esigenze di servizio via via maggiori e indirizzare il budget in modo più mirato.
La soluzione PST contiene un modello di governance dei servizi e gli strumenti di integrazione e controllo per attuarlo:
- web application, web service, processi e dati catalogati come asset
- interoperabilità e integrazione di servizi costruiti con tecnologie eterogenee, tramite standard
- esposizione degli asset in un ambiente organico tramite standard internazionali
- autenticazione e single sign-on (SSO)
- autorizzazione dinamica ai servizi in base allo stato dei servizi e alle variazioni di ruolo dell’utente nella sua carriera
- console di gestione unificata per gli amministratori dei servizi
- report comprensivi dei servizi online e indicatori di performance sul loro stato e gradimento.
La piattaforma è stata sviluppata sulla base di esigenze e modelli tecnologici maturati principalmente insieme all'Università di Torino a partire dal 2007 e proseguiti con Sapienza Università di Roma, Università di Brescia e università europee in incontri EUNIS. La soluzione ha beneficiato del confronto con specialisti di Oracle Corporation, WSO2, Forgerock, Bonitasoft e Gartner.
Prodotti della soluzione
Una tale soluzione di governo dei servizi e delle identità nasce allo scopo di collegare i servizi negli atenei, renderli governabili come sistema integrato e trasformarli in asset, perché le applicazioni e le informazioni in esse veicolate siano riusabili come componenti capaci di dar vita a nuovi servizi. In questo modo si collegano servizi residenti in Ateneo e servizi residenti al CINECA. E si collegano questi ad altri servizi erogati da altri atenei e altri provider di servizi. Ne risulta un modello di aggregazione per innovare e moltiplicare le possibilità di offrire servizi.
La soluzione è idealmente composta da tre aree di prodotto: lifecycle delle persone, lifecycle dei servizi e lifecycle delle relazioni fra persone e servizi; più un’area di servizi di base funzionali alle tre. Il termine lifecycle indica la dinamicità data da un approccio per processi che supera quello tradizionale procedurale.
Lifecycle delle persone: copre le esigenze di gestione dell’identità digitale e i processi di creazione e riconciliazione dei dati a partire dalle fonti che ne certificano l’autenticità. Sono inclusi connettori nativi verso U-GOV e connettori verso sistemi terzi basati su standard internazionali. Comprende tecnologie di autenticazione, single sign-on e federazione di atenei.
Lifecycle dei servizi: copre le esigenze di catalogazione dei servizi con processi di censimento da parte di sviluppatori interni o fornitori esterni all’ateneo. Include strumenti di monitoraggio della distribuzione dei servizi agli utenti e dello stato di funzionamento, di usco e di gradimento da parte degli utenti. Strumenti di governance riservati ai responsabili dei servizi e delle strategie dell’ateneo consentono di valutare in maniera più efficace interventi operativi e distribuzione degli investimenti.
Lifecycle delle relazioni tra persone e servizi: copre l'esigenza di automatizzare l’autorizzazione degli utenti ai servizi in base agli eventi di carriera e comunque in base a regole di business con cui l’ateneo regola l’accesso delle persone ai suoi servizi.
Impatto sull'organizzazione degli atenei
Il risultato è una piattaforma che dà una visione organica dei servizi dell’ateneo e consente di governarne la distribuzione agli utenti, costruire nuovi servizi, attingendo alle proprie applicazioni e dati, come risorse integrate e razionalizzate. Ha come scopo servire utenti finali, amministratori, responsabili e gli sviluppatori dell’ateneo.
La soluzione favorisce una struttura organizzativa più chiara ed efficiente, introducendo i ruoli di:
- responsabile delle identità digitali
- responsabile dei servizi
- sviluppatore di servizi su cloud.
Capability & Maturity model
In base alle condizioni tecniche e organizzative iniziali dell’ateneo e all’orizzonte temporale in cui desidera realizzare il percorso, la soluzione PST può essere adottata secondo un percorso a tappe. L’ateneo potrà fissare i propri obiettivi e l’estensione e la profondità dell’intervento secondo un modello di adozione graduale di tipo Capability & Maturity model.
CAPABILITY | Maturity 1 | Maturity 2 | Maturity 3 | Maturity 4 | Maturity 5 |
Lifecycle delle persone | |||||
---|---|---|---|---|---|
Gestione delle identità | Schema basato su standard internazionali | Directory Service (DS/LDAP) di classe enterprise con funzioni di central user repository (CUR). Servizi self-service: ricordami username; ricordami password; cambio password; cambio profilo. Console amministratori: gestione utenti e gruppi, cambio password; forza cambio password utente; reset smartcard. | Provisioning studenti ESSE3?CUR. Provisioning personale e strutture U-GOV?CUR. Provisioning persone e strutture da fonte locale?CUR. Auto-provisioning (Registrazione) per visitatori e convegnisti. | Auto-provisioning per prospect e imprese. Auto-provisioning per imprese con integrazione database InfoCamere.
|
|
Autenticazione | Identity provider con login page
Attribute mapper.
Adaptive authentication. | Servizi self-service: accesso con smartcard |
|
|
|
Gestione del profilo |
| Servizi self-service: il mio profilo (comprende la pagina pubblica) |
| Servizi self-service: privacy del mio profilo |
|
Lifecycle dei servizi | |||||
Gestione dei servizi | Governance registry (GREG) | Catalogo dei servizi CINECA Service proxy | Rating |
|
|
Lifecycle delle relazioni tra persone e servizi | |||||
Autorizzazione | Interfacce di provisioning delle policy. Interfacce consumer per esporre i servizi autorizzati a portale e applicazioni. Autorizzazione coarse grained ai servizi dell’Ateneo. Splash page per gli utenti. Console amministratori: gestione lifecycle autorizzazioni (con accesso ai descrittori degli utenti e dei servizi per la composizione di regole e alle notifiche di change). | Autorizzazione coarse grained ai servizi CINECA |
|
| Autorizzazione fine grained ai servizi dell’Ateneo |
Single sign-on |
| Custom Authentication Module | Integrazione con la federazione IDEM. Console amministratori: gestione federazioni. |
|
|
Servizi core |
|
|
|
|
|
Dati integrati |
| Repository Dati Integrati (RDI) |
|
|
|
Audit |
| Repository Eventi di Audit (REA) |
|
|
|
Localizzazione |
| Repository di localizzazione (RLOC) |
|
|
|
Modulo di sviluppo servizi |
|
|
|
| Continuous building e deploy al team Cineca. Library di documentazione tecnica. Immagine Virtual machine per sviluppatori. |
Monitoraggio | Sonde e BAM: Identity provider; Governance registry; Console amministratori; servizi di Ateneo; interfacce per provider e consumer; login e splash page.
Stato dei servizi: pagina pubblica. | Sonde e BAM: Directory Service; Servizi self-service; servizi CINECA. | Sonde e BAM Autoprovisioning; rating dei servizi. |
|
|
Portabilità della soluzione
La soluzione PST è stata progettata per gli scopi di organizzazioni di dimensioni diverse che condividono esigenze e alcune complessità, non è specifica per il settore Università in Italia. Ha infatti poche caratteristiche, circoscritte e gestibili come moduli opzionali, disegnate per queste e non ha vincoli di localizzazione su dati, funzionalità e lingua italiana.
Questo perché le università italiane, riguardo ai bisogni di gestione dei servizi e delle identità digitali, non sono molto diverse da organizzazioni in altri settori industriali e altri paesi. La soluzione è quindi predisposta by-design per favorire gli eventuali obiettivi di CINECA in altri settori di mercato anche fuori dai nostri confini nazionali.
Inoltre, la sua natura aggregrante, le deleghe funzionali possibili e le funzionalità di garanzia della privacy sui dati rendono la piattaforma adatta a realizzare gli obiettivi di interoperabilità e federazione da sempre auspicati dal MIUR (Ministero dell'Istruzione, dell'Universita e della Ricerca) e a gestire servizi orientati ai processi, che sono ormai trend internazionali consolidati sui mercati.
...
- Configurazioni comuni ai tenant Angelo
- Università di Torino Angelo e Marco Verrocchio
- Accesso
- Configurazioni
- Componenti per la generazione da Kernel (Jacopo: "da completare una volta implementato il tutto")
- Sapienza Università di Roma Angelo e Marco Verrocchio
- Università di Milano
- Accesso
- Configurazioni
- Componenti specifici per l'esposizione dei dati (Stefania: devo inserire le response)
- Supertenant (CINECA)
- Monitoraggio Angelo
...
- Le farm
- La virtual machine (per sviluppatori)
...