Info |
---|
Revisione completata |
Warning | ||
---|---|---|
| ||
GSI ( |
...
Governo dei Servizi e dell'Identità |
...
Autenticazione e SSO Angelo
- Login page
- Custom Authentication Module Angelo FATTO
- Attribute Mapper Angelo + Marcucci FATTO \Analisi Tecnica\U-GOV INT\UNISERVICE\GOVERNANCE\SSO
Cambio Password Angelo FATTO (include configurazione del cambio password forzato)
Global Logout Angelo FATTO (configurazione)
Provisioning
Componenti comuni
Generatore IdSidp Marcucci per gli endpoint
Generatore Username Marcucci per gli endpoint
Generatore Password Marcucci per gli endpoint
Generatore Mail Marcucci per gli endpoint
Data Mapper Marcucci per gli endpoint
Dispatcher Marcucci per gli endpoint
Interfacce al CUR STEFANIA SOAP + Marcucci per gli endpoint
Repository Dati Integrati (RDI) STEFANIA SOAP + Marcucci per gli endpoint + Gara per metodi in scrittura
Provisioning da U-GOV
Processo di provisioning da U-GOV Marcucci per gli endpoint
Sync-back U-GOV Marcucci per la verifica del nome dell'endpoint
Provisioning da Kernel
Processo di provisioning da Kernel Marcucci per gli endpoint
- Autorizzazione
- Landing page
Interfacce per Identity Server e policy di prodotto Angelo intro,
- Applicazione di esempio (Mock page) STEFANIA
Registro dei servizi
Interfacce al G.REG Andrea (verifica nomi metodi), Francesca
Catalogo dei servizi MARCUCCI
Commons
Governance
...
) --> PST (Progetti e Servizi Trasversali) MA mantenere il significato di governo dei servizi e delle identità. |
Table of Contents
Premessa
Negli atenei, anche se con rare eccezioni, la direzione sistemi informativi e le singole unità organizzative (dipartimenti, centri, biblioteche, etc.) acquistano o sviluppano in autonomia servizi diretti agli stessi target utente. Inoltre, non si ha una conoscenza diffusa dei servizi disponibili e le diverse strutture raramente analizzano insieme i bisogni degli utenti e pianificano le funzionalità da esporre loro.
L’implementazione delle funzionalità è condotta spesso con tecnologie eterogenee, scelte più in base al know-how interno che per essere le più adatte allo scopo e senza condividere convenzioni di coding e asset. Ad esempio, molte applicazioni hanno una logica a stati, tuttavia sono implementate con linguaggi e framework di tipo funzionale o ad oggetti e non con tecnologie di business process management. Raramente sono condivisi standard internazionali sugli aspetti chiave di interoperabilità dei servizi, autenticazione e autorizzazione degli utenti.
Questo è particolarmente critico perché raramente i gestionali e gli altri sistemi acquistati o sviluppati dall’ateneo diventano la base per lo sviluppo di nuovi servizi: molti utilizzano i dati gestiti da questi sistemi ma sono rari i casi di interoperabilità applicativa e ancora più rari i casi in cui le funzionalità di sistemi diversi danno origine a nuovi servizi chiave e magari a processi complessi.
Per l’ateneo i sistemi gestionali e le applicazioni sono quindi asset il cui costo potrebbe essere non solo ammortizzato, ma anche diventare un valore acceleratore di nuovi sviluppi e limitatore di ulteriori spese; anche gli sviluppatori ne traggono giovamento, perché possono eliminare dallo sviluppo le parti già disponibili diventate asset comuni. Costi e tempi di sviluppo si riducono, così come l'incidenza di errori e i costi di manutenzione che restano a carico dei soli asset condivisi.
L’approvvigionamento di nuovi servizi da fornitori esterni è un altro punto di sofferenza, perché in mancanza di interazione con i servizi asset dell’ateneo, di condivisione di policy di interoperabilità dei servizi, di autenticazione e autorizzazione degli utenti e altre convenzioni aumentano il costo delle forniture e i costi di manutenzione.
Inoltre è frequente che manchi la conoscenza diffusa dei servizi esistenti sotto il dominio della direzione dei sistemi informativi e delle unità organizzative. E che manchi anche un coordinamento di ateneo sulle funzionalità esposte agli utenti, e che alcune esigenze di costoro restino sconosciute e insoddisfatte. Oppure l’opposto, con applicazioni ridondanti, sviluppate in modo simile tra loro.
Un altro punto di attenzione riguarda la continuità di servizio e la qualità percepita dagli utenti. È raro trovare strumenti di monitoraggio dello stato dell’intero parco servizi esposti e strumenti che misurino il cosiddetto sentiment degli utenti.
In questo scenario, la gestione operativa e la pianificazione strategica dei servizi risultano depotenziate, perché i responsabili e gli organi di governo dell’ateneo hanno difficoltà a conoscere gli investimenti che producono risultati apprezzati dagli utenti e dove questi non sono invece più necessari, e questa mancanza di polso della situazione aumenta quanto più i sistemi sono in periferia e lontani dal controllo del management strategico dei sistemi informativi.
Presentazione
La piattaforma tecnologica CINECA PST (Progetti e Servizi Trasversali), integrata nella soluzione U-GOV, risponde al bisogno delle grandi organizzazioni come gli atenei di gestire i propri servizi e l'autorizzazione dinamica degli utenti a quei servizi, ovvero copre le funzionalità di governo dei servizi e delle identità. Una gestione così integrata è indispensabile oggi più che in passato per dominare la complessità crescente, soddisfare esigenze di servizio via via maggiori e indirizzare il budget in modo più mirato.
La soluzione PST contiene un modello di governance dei servizi e gli strumenti di integrazione e controllo per attuarlo:
- web application, web service, processi e dati catalogati come asset
- interoperabilità e integrazione di servizi costruiti con tecnologie eterogenee, tramite standard
- esposizione degli asset in un ambiente organico tramite standard internazionali
- autenticazione e single sign-on (SSO)
- autorizzazione dinamica ai servizi in base allo stato dei servizi e alle variazioni di ruolo dell’utente nella sua carriera
- console di gestione unificata per gli amministratori dei servizi
- report comprensivi dei servizi online e indicatori di performance sul loro stato e gradimento.
La piattaforma è stata sviluppata sulla base di esigenze e modelli tecnologici maturati principalmente insieme all'Università di Torino a partire dal 2007 e proseguiti con Sapienza Università di Roma, Università di Brescia e università europee in incontri EUNIS. La soluzione ha beneficiato del confronto con specialisti di Oracle Corporation, WSO2, Forgerock, Bonitasoft e Gartner.
Prodotti della soluzione
Una tale soluzione di governo dei servizi e delle identità nasce allo scopo di collegare i servizi negli atenei, renderli governabili come sistema integrato e trasformarli in asset, perché le applicazioni e le informazioni in esse veicolate siano riusabili come componenti capaci di dar vita a nuovi servizi. In questo modo si collegano servizi residenti in Ateneo e servizi residenti al CINECA. E si collegano questi ad altri servizi erogati da altri atenei e altri provider di servizi. Ne risulta un modello di aggregazione per innovare e moltiplicare le possibilità di offrire servizi.
La soluzione è idealmente composta da tre aree di prodotto: lifecycle delle persone, lifecycle dei servizi e lifecycle delle relazioni fra persone e servizi; più un’area di servizi di base funzionali alle tre. Il termine lifecycle indica la dinamicità data da un approccio per processi che supera quello tradizionale procedurale.
Lifecycle delle persone: copre le esigenze di gestione dell’identità digitale e i processi di creazione e riconciliazione dei dati a partire dalle fonti che ne certificano l’autenticità. Sono inclusi connettori nativi verso U-GOV e connettori verso sistemi terzi basati su standard internazionali. Comprende tecnologie di autenticazione, single sign-on e federazione di atenei.
Lifecycle dei servizi: copre le esigenze di catalogazione dei servizi con processi di censimento da parte di sviluppatori interni o fornitori esterni all’ateneo. Include strumenti di monitoraggio della distribuzione dei servizi agli utenti e dello stato di funzionamento, di usco e di gradimento da parte degli utenti. Strumenti di governance riservati ai responsabili dei servizi e delle strategie dell’ateneo consentono di valutare in maniera più efficace interventi operativi e distribuzione degli investimenti.
Lifecycle delle relazioni tra persone e servizi: copre l'esigenza di automatizzare l’autorizzazione degli utenti ai servizi in base agli eventi di carriera e comunque in base a regole di business con cui l’ateneo regola l’accesso delle persone ai suoi servizi.
Impatto sull'organizzazione degli atenei
Il risultato è una piattaforma che dà una visione organica dei servizi dell’ateneo e consente di governarne la distribuzione agli utenti, costruire nuovi servizi, attingendo alle proprie applicazioni e dati, come risorse integrate e razionalizzate. Ha come scopo servire utenti finali, amministratori, responsabili e gli sviluppatori dell’ateneo.
La soluzione favorisce una struttura organizzativa più chiara ed efficiente, introducendo i ruoli di:
- responsabile delle identità digitali
- responsabile dei servizi
- sviluppatore di servizi su cloud.
Capability & Maturity model
In base alle condizioni tecniche e organizzative iniziali dell’ateneo e all’orizzonte temporale in cui desidera realizzare il percorso, la soluzione PST può essere adottata secondo un percorso a tappe. L’ateneo potrà fissare i propri obiettivi e l’estensione e la profondità dell’intervento secondo un modello di adozione graduale di tipo Capability & Maturity model.
CAPABILITY | Maturity 1 | Maturity 2 | Maturity 3 | Maturity 4 | Maturity 5 |
Lifecycle delle persone | |||||
---|---|---|---|---|---|
Gestione delle identità | Schema basato su standard internazionali | Directory Service (DS/LDAP) di classe enterprise con funzioni di central user repository (CUR). Servizi self-service: ricordami username; ricordami password; cambio password; cambio profilo. Console amministratori: gestione utenti e gruppi, cambio password; forza cambio password utente; reset smartcard. | Provisioning studenti ESSE3?CUR. Provisioning personale e strutture U-GOV?CUR. Provisioning persone e strutture da fonte locale?CUR. Auto-provisioning (Registrazione) per visitatori e convegnisti. | Auto-provisioning per prospect e imprese. Auto-provisioning per imprese con integrazione database InfoCamere.
|
|
Autenticazione | Identity provider con login page
Attribute mapper.
Adaptive authentication. | Servizi self-service: accesso con smartcard |
|
|
|
Gestione del profilo |
| Servizi self-service: il mio profilo (comprende la pagina pubblica) |
| Servizi self-service: privacy del mio profilo |
|
Lifecycle dei servizi | |||||
Gestione dei servizi | Governance registry (GREG) | Catalogo dei servizi CINECA Service proxy | Rating |
|
|
Lifecycle delle relazioni tra persone e servizi | |||||
Autorizzazione | Interfacce di provisioning delle policy. Interfacce consumer per esporre i servizi autorizzati a portale e applicazioni. Autorizzazione coarse grained ai servizi dell’Ateneo. Splash page per gli utenti. Console amministratori: gestione lifecycle autorizzazioni (con accesso ai descrittori degli utenti e dei servizi per la composizione di regole e alle notifiche di change). | Autorizzazione coarse grained ai servizi CINECA |
|
| Autorizzazione fine grained ai servizi dell’Ateneo |
Single sign-on |
| Custom Authentication Module | Integrazione con la federazione IDEM. Console amministratori: gestione federazioni. |
|
|
Servizi core |
|
|
|
|
|
Dati integrati |
| Repository Dati Integrati (RDI) |
|
|
|
Audit |
| Repository Eventi di Audit (REA) |
|
|
|
Localizzazione |
| Repository di localizzazione (RLOC) |
|
|
|
Modulo di sviluppo servizi |
|
|
|
| Continuous building e deploy al team Cineca. Library di documentazione tecnica. Immagine Virtual machine per sviluppatori. |
Monitoraggio | Sonde e BAM: Identity provider; Governance registry; Console amministratori; servizi di Ateneo; interfacce per provider e consumer; login e splash page.
Stato dei servizi: pagina pubblica. | Sonde e BAM: Directory Service; Servizi self-service; servizi CINECA. | Sonde e BAM Autoprovisioning; rating dei servizi. |
|
|
Portabilità della soluzione
La soluzione PST è stata progettata per gli scopi di organizzazioni di dimensioni diverse che condividono esigenze e alcune complessità, non è specifica per il settore Università in Italia. Ha infatti poche caratteristiche, circoscritte e gestibili come moduli opzionali, disegnate per queste e non ha vincoli di localizzazione su dati, funzionalità e lingua italiana.
Questo perché le università italiane, riguardo ai bisogni di gestione dei servizi e delle identità digitali, non sono molto diverse da organizzazioni in altri settori industriali e altri paesi. La soluzione è quindi predisposta by-design per favorire gli eventuali obiettivi di CINECA in altri settori di mercato anche fuori dai nostri confini nazionali.
Inoltre, la sua natura aggregrante, le deleghe funzionali possibili e le funzionalità di garanzia della privacy sui dati rendono la piattaforma adatta a realizzare gli obiettivi di interoperabilità e federazione da sempre auspicati dal MIUR (Ministero dell'Istruzione, dell'Universita e della Ricerca) e a gestire servizi orientati ai processi, che sono ormai trend internazionali consolidati sui mercati.
...
- Università di Torino Angelo FATTO OpenAM PP
- Sapienza Università di Roma Angelo FATTO OpenAM PP
- Università di Milano Angelo
- Supertenant (CINECA) Angelo
- Monitoraggio Angelo FATTO
...
- Le farm
- Introduzione Angelo FATTO
- Ambiente di sviluppo (DEV) Angelo FATTO
- Ambiente di quality assurance (QA) Angelo FATTO
- Ambiente di pre-produzione
- Ambiente di produzione
- La virtual machine (per sviluppatori)
...