lunedì lug 19, 2010

Oracle Community for Security at Security Summit 2010

The last 10th of June (after 10 days since I've been joined at Oracle :) I've presented at Security Summit Rome 2010, where I've delivered a speech about Oracle Identity Management towards Cloud Computing. 

Security Summit is organized by CLUSIT (Italian Information Security Association) which was born based on the experiences of other European Information Security Associations such as CLUSIB (B), CLUSIF (F), CLUSIS (CH), CLUSSIL (L) to be the reference regarding Information Security.

Oracle has participated at the Security Summit (Rome 2010) through the Oracle Community for Security, managed by Alessandro Vallega (Business Development at Oracle), which goal is to create partner community on security to extend competences, and share experiences on security, including Identity Management, Data Protection, Compliance, IT Risk Management, Biometry and Strong Authentication. 

My presentation (Slideshare) has outlined how to leverage existing Identity and Access Management infrastructure, and how to extend Service-Oriented Security and standards-based interactions to successfully secure assets in the cloud.

You can find all conference proceedings here. (Don't forget photos :)

lunedì mag 31, 2010

Kantara UMA Workshop at EIC 2010

Last 4th May, I attended to the Kantara UMA Workshop at European Identity Conference 2010 at Munich. It has been a great occasion to meet in person Eve Maler and other UMAnitarians (Maciej Machulak, Lukasz Moren, Christian Scholz, Hasan Akram). View the workshop photos here.

Enjoy the dinner video interview with Eve on UMA Channel ;)

mercoledì mag 19, 2010

User-Managed Access to Web Resources

As leadership team member at Kantara UMA WG I have served as co-author in the paper "User-Managed Access to Web Resources", published at Newcastle University (School of Computer Science), along with Eve Maler, Maciej Machulak and Aad van Moorsel. Publication (PDF) here.

lunedì feb 15, 2010

Securing Web Service using Secure Token Service

A web service is an application that exposes some type of business or infrastructure functionality though a callable interface that is both language-neutral and platform-independent. The Web Services Security is widely available via two major specifications – WS-Security and Liberty ID-WSF Security. WS-Security specification is developed by the OASIS Security Committee and it is developed along with other WS-\* specifications such as WS-Trust, WS-Policy. Web Services Trust Language (WS-Trust) uses the secure messaging mechanisms of WS-Security to define additional primitives and extensions for security token exchange to enable the issuance and dissemination of credentials within different trust domains.

WS-Trust defines mechanisms for delegating authentication, authorization and user identity mapping/management to an authority called Security Token Service (STS) for a requestor to access a Web Service.

OpenSSO Enterprise implements security for web services as well as a Security Token Service to issue and validate security tokens to any third party clients.

This presentation gives an overview about Web Service Security and OpenSSO STS architecture.

giovedì ott 29, 2009

Identity in the Cloud

Last week I made a speech to the ICT Security Forum at Rome about the "Identity in the Cloud" with the following abstract:

The Internet evolution in the last years can be described using different terms: Web 2.0, Software as a Service (SaaS), Web Service, Cloud computing, ect.. Each of this terms define a fundamental change by which the data is managed and processed. These paradigms have introduced new needs related the security and the privacy of the information. These aspects have impacts on many organizations, developers, and users that must adopt specific and suitable approaches to manage digital identity and access control for distributed services.

The main topics are:

  • Identity needs and trends
  • Introducing The Cube of Identity
  • Introducing OpenSSO
  • Trust Management and Identity Assurance level
  • Conclusion

Download presentation slides here

venerdì ott 16, 2009

The Cube of Identity

Next week there will be the ICT Security Forum at Rome, and I'm preparing a speech for this event about "Identity in the Cloud: what's next trust level", where I'm going to talk about how the new paradigms as Web 2.0, Software as a Service (SaaS) and cloud computing have introduced new needs related the security and the privacy of the information and how digital identity is critical and success factor to manage authentication and authorization complexity in a distributed environment, and what kind of level of assurance can be reached.

With the prospective to give to the audience an harmonized unique graphic view of the most important open identity standard technologies, I've created a Cube.

The idea to use a Cube as representation of open Identity technologies was borne when I've studied the Venn of Identity with the goal to introduce OAuth protocol in the Venn graph. Discussing with Eve Maler about this opportunity, she suggested the need to separate the front-channel from back-channel, she also mentioned that she hadn't found a way to combine OAuth with the original Venn in a way she was happy, as you can see in the her recently publishing a Venn of Identity in web Service. I thought, this can be reachable with the front-face and back-face of a Cube!!  

As you can see in the above cube picture, each front-face have a corresponding back-face (i.e. OpenID->OAuth, SAML->Id-WSF, InfoCard->WS-\*) or if you rotate (imagine) the cube you can have different prospectives (inter-enterprise/SaaS, consumer, ect.).  There are also some other interesting aspects as adjacent property, related to create an hybrid system (See bootstrapping the Identity metasystem), that is, combining or chaining systems and enabling transaction between them (i.e SAML -> OpenID, InfoCard -> ID-WSF, SAML->OAuth). Is this a magic cube of Identity? Comment it ;)

These models/systems could open interesting opportunity for the Italian National Centre for IT in Public Administration (CNIPA) which is involved in defining a National Federated Identity Management system based on SAML2.0, implementing a user-centric mechanism used to authorize and control the access to application services over SPCoop (Public Cooperative System). 

mercoledì apr 22, 2009

ProtectServe: User-driven Access Management

In quest'ultimo anno ho avuto modo di dedicarmi a tecnologie emergenti legate al tema dell'identità digitale in ambito Web 2.0. Proprio questo nuovo paradigma, definito anche con il termine di "Partecipation Age", ha aperto nuove opportunità per creare servizi user-centrici condivisibili e distribuiti. In questo contesto, l'identità gioca un ruolo fondamentale perchè è il cuore di qualsiasi transazione per la condivisione delle informazioni. La particolarità, in questi scenari, è che l'utente è parte stesso del protocollo (User-driven), cioè, i servizi distribuiti agiscono per conto dell'utente (on behalf of) per lo scambio dell'informazioni. Le caratteristiche fondamentali di un modello d'identità User-driven sono: 

  • User consent - si da all'utente l'abilità di consentire (oppure no) lo scambio di informazioni.
  • User control - si riferisce all'abilità di un utente di definire una policy che governa lo scambio ad un livello granulare.
  • User centrism - è riservata ad un particolare classe di utenti in cui lo scambio dell'informazioni è sotto l'assoluto controllo del utente.

In questi mesi ho avuto l'onore e la grande opportunità di partecipare in un gruppo di lavoro internazionale, interno a Sun, coordinato dalla collega Eve Maler (Emerging Technologies Director at Sun Microsystems) con l'obiettivo di analizzare le implicazioni di questi scenari User-driven, rispetto alle tecnologie emergenti sul tema della condivisione dei dati (permissioned data-sharing).

Il primo risultato di questo gruppo di lavoro è stato la definizione di un protocollo, chiamato "ProtectServe" che rappresenta lo strato fondamentale di un sistema più complesso di "Relationship Management" che mirà a realizzare scenari di User-driven Access Management su scala Internet. Enjoy.

domenica dic 07, 2008

Il futuro del Web Access Management: OpenSSO Enterprise 8.0

A circa un mese dal rilascio della nuova componente di Web Access Management, con OpenSSO Enteprise 8.0, Sun ha rivoluzionato il concetto del controllo accessi ai servizi web, introducendo la prima soluzione basata interamente sul progetto open source OpenSSO, altamente performante che unifica le capacità di access management, federation e sicurezza dei Web Services (Web Service Security) per indirizzare le funzionalità di Single Sign-on (SSO).

OpenSSO Enterprise deriva dalla combinazioni delle soluzioni Sun Access Manager e Federation Manager con le seguenti interessanti novità:

  • Fedlet - una modalità semplificata di creare un federazione ed abilitare un service provider di federarsi con un Identity Provider (SAML 2.0).
  • Multi-Protocol Hub - permette alle organizzazioni che sono membri di un circle of trust di comunicare con differenti protocolli di federazione (SAML, Liberity, WS-Federation).
  • Identity Service - Consente d'invocare servizi AAA (Authentication, Authorization, Accounting) usando l'ambiente di sviluppo (IDE) o qualsiasi linguaggio di programmazione (es. Java, .NET, Ruby, PHP, ect).
  • Facilità d'uso - una nuova User Interface per le operazioni relative alla gestione dei processi di federazione.
  • Gestione e configurazione centralizzata degli agent (Policy Enforcement Point).

Ecco i bit:

mercoledì set 17, 2008

Fedlet: la federazione fatta semplice

La Fedlet semplifica il processo di federazione dell'identità digitale. Molto spesso accade che la fase d'inizializzazione di un processo l'identità federata ed in particolare la creazione del Circle-of-Trust (tra l'Identity Provider e il Service Provider) è reso complicato dalle operazioni di installazione delle componenti applicative di federazione, dalla configurazione degli stessi e dai test d'interoperabilità. Per facilitare questo aspetto fondamentale relativo alle operazioni di amministrazione, Sun Microsystems ha inventato la Fedlet che indirizza proprio l'esigenza di semplificazione delle attività di amministrazione in fase di startup e alla creazione del COT.

La Fedlet è un implementazione "lightweight" del protocollo di Single SignOn basato SAML2 (per i Service Provider), integrabile in un'applicazione web Java EE. La Fedlet è un nuova funzione di OpenSSO (Sun Federated Access Manager).

La Fedlet è estremamente leggera, è puo essere integrata all'interno dello strato applicativo del Service Provider, e fa in modo d'interagire con l'Identity provider attraverso la specifica SAML POST profile, con il quale è possibile propagare gli attributi degli utenti che fanno parte della SAML Response del IdP, che l'IdP invia alla Fedlet dopo l'operazione di autenticazione all'Identity Provider.

Per capire quanto è semplice e veloce il processo che realizza la Fedlet vi invito a guardare questo video.

lunedì giu 30, 2008

User-Centric Identity con Liberty

Le implicazioni legate alle iniziative d'identità federata in ambito SPCoop indirizzano l'esigenza d'implementare un modello d'identità user-centrica (il controllo dello scambio dell'informazione è sotto l'assoluto controllo dell'utente). La mia attenzione si è focalizzata sullo stato dell'arte delle tecnologie e standard che consentono l'implementazione di tale modello, a questo proposito, ho trovato divesi spunti che riguardano le specifiche Liberty Alliance Project. Al seguente link trovate un'interessante demo (flash) che simula le caratteristiche del modello user-centrico, attraverso la mediazione di un java applet. L'applet implementa le specifiche Liberty ID-WSF (Identity Web Service Framework) facilitando l'interazione con l'utente, rendendo trasparente il processo di discovery delle informazioni relativi al profilo personale (Personal Profile) e garantendo al Service Provider le informazioni necessarie al processo autorizzativo ed all'erogazione del servizio.

mercoledì giu 04, 2008

Video blogging sperimentale

Questo video (24sec) è una forma sperimentale di video blogging. L'obiettivo è presentare i contenuti del mio Blog sfruttando il movimento dell'immagine ed il suono e naturalmente un nuovo canale di diffusione (youtube). Le immagini sono tratte dal gioco di strategia Civilization IV (The invention of Internet), mentre il suono è tratto dall'album "No man's land" di Hevia.

venerdì mag 16, 2008

ForumPA: LA Rivoluzione dell'Identità Digitale

15 Maggio 2008.  Ho avuto il piacere di partecipare al ForumPA, a rappresentare Sun Microsystems, nell'ambito della tavola rotonda sul tema dell'identità federata per le due principali iniziative che riguardano SPCoop ed ICAR. La tavola rotonda ha avuto l'obiettivo di mettere in evidenza "L'Identità federata vista dal mercato e dalle società in house" ed ha visto la partecipazione, anche, di Andrea Garmignani (IBM), di Lucio Forastieri (Sardegna IT), di Vittorio Gallinella (LAit) e di Oscar Sovani (Regione Lombardia) con il ruolo di moderatore.
Il modello di federazione proposto da ICAR INF-3 è caratterizzato da una architettura  “User-centrica”.  Questa caratteristica è funzionale alla complessità della pubblica amministrazione rispetto alle modalità di erogazione dei servizi, per cui un utente che intende accedere ad un servizio è esso stesso parte del protocollo (in letteratura si definisce “people in the protocol”). La condizione necessaria e sufficiente per indirizzare un modello user-centrico sono il rispetto delle seguenti caratteristiche:

  • User consent - si da all'utente l'abilità di consentire (oppure no) lo scambio di informazioni.
  • User control - si riferisce all'abilità di un utente di definire una policy che governa lo scambio ad un livello granulare.
  • User centrism - è riservata ad un particolare classe di utenti in cui lo scambio dell'informazioni è sotto l'assoluto controllo del utente.

Al link seguente trovate la presentazione relativa mio intervento, dal titolo "Approccio all'identità federata per un modello user-centrico: La soluzione Sun tra Visione ed Innovazione", in cui  s'illustra il modello concettuale proposto da Sun (vedi figura sotto) che attraverso un approccio olistico mira ad indirizzare sia il tema della centralità dell'utente che gli aspetti di governance della gestione del ciclo di vita dell'identità e dei ruoli.

Modello Sun per ICAR-INF3

Come Sun, abbiamo tenuto a precisare che l'elemento fondamentale al successo dell'iniziativa (architettura federata e policentrica) è il rispetto degli standard, in particolare di SAML e che le specifiche d'interazione nel modello ICAR INF-3 devono soddisfare i profili d'interoperabilità definiti dagli standard stessi.

Ulteriormente, si è discusso della necessità di estendere il modello delle interazioni fino ad includere il processo autorizzativo in modo d'aiutare la pubblica amministrazione ad indirizzare le problematiche di accesso ai servizi, in cui le politiche autorizzative sono anch'esse distribuite (almeno per quanto riguarda i ruoli ed i profili), attraverso l'implementazione di standard aperti (OASIS) come XACML (eXtensible Access Control Markup Language).

Ho evidenziato come l'estensione del modello verso device mobili (telefonini) è sicuramente uno degli aspetti più innovativi in cui l'architettura federata può evolversi per l'integrazione di una nuova generazione di servizi di mobile Government (mGovernment). Attraverso l'utilizzo d'informazioni di profilo memorizzati all'interno della SIM si consente, quindi, di sfruttare la pervasività dei device mobile con l'aggiunta alla capacità di strong authentication che questi meccanismi sono in grado di realizzare.
Un possibile scenario può prevede l'interazione tra un utente con telefono cellulare (con SIM abilitata ai servizi di profilo personale) e un ente preposto all'erogazione di servizi (eGov). La richiesta da parte dell'utente di un particolare servizio scatena uno scambio di messaggi tra il device mobile e il server, mediante il quale il server è in grado di richiedere informazioni sul profilo personale (memorizzati all'interno della SIM) ed elaborare, quindi, un servizio personalizzato in base a queste informazioni [SAML PAOS].

lunedì mar 17, 2008

Role Based Access Control

Il concetto di controllo accesso basato sul ruolo (Role Based Access Control - RBAC) è costruito sulla premessa che l'accesso alle risorse aziendali dovrebbe essere controllato e gestito usando un insieme predefinito di ruoli. Il raggruppamento delle identità in un sistema di controllo basato su ruolo riflette i ruoli che gli individui corrispondenti hanno come componente di un'organizzazione che possiede, controlla e/o gestisce il sistema. Le regole e le decisioni di controllo possono, allora, essere assegnate e controllate al livello di ruolo piuttosto che al livello specifico, facilitando notevolmente l'amministrazione ed il controllo dei sistemi.

L'acquisizione da parte di Sun della società Vaau indirizza l'esigenza di completare l'offerta nell'area dell'Identity ed Access Management, introducendo una componente infrastrutturale legata alle funzioni di gestione dei ruoli di business all'interno di un organizzazione. La soluzione RBACx di Vaau (da adesso Sun Role Manager), infatti, fornisce un approccio consistente per la gestione dell'accesso alle risorse critiche basato sul ruolo, migliorando l'efficienza operativa e favorendo un controllo della sicurezza più robusto nell'ottica della gestione delle problematiche associate alle compliance dei regolamenti legislativi come la legge sul risparmio (legge n° 262), la Sarbanes-Oxley (SOX), il Codice sulla Privacy (Dlgs 196/2003), ecc..

Sun Role Manager indirizza tre principali esigenze:

  • Role Engineering - abilita un sofisticato modello per la definzione dei ruoli attraverso un complesso algoritmo di data mining per l'identificazione e la correlazione dei dati di accesso alle principali risorse dell'organizzazione e usa queste informazioni per sviluppare e mappare le regole ed i ruoli a livello aziendale.
  • Identity Certification - abilita le funzionalità di certificazione dei ruoli che permette di stabilire un riferimento per i processi di auditing.
  • Identity Auditing - usa un processo di auditing continuo delle autorizzazioni, delle regole e delle approvazioni per assicurare che i ruoli sottoposti a correzioni da parte del management siano certificati per gli scopi di compliance.

Blogged with Flock

venerdì feb 29, 2008

Iniziative d'Identità Federata

La gestione dell'identità federata rende possibile per un'identità autenticata di essere riconosciuta e prendere parte a servizi personalizzati distribuiti su domini separati. L'identità federata consente di evitare la gestione centralizzata delle credenziali e delle informazioni personali consentendo agli utenti di collegare l'identità tra i vari account distribuiti. La pubblica Amministrazione ha creato la necessità, senza precedenti, di condividere, in maniera sicura, informazioni sensibili tra i vari enti, i governi locali e verso il cittadino e le imprese. Le iniziative di eGovernment come Servizio Pubblico di Connettività (SPC) e il progetto ICAR rappresentano un nuovo concetto di organizzazione della pubblica amministrazione che attraverso la tecnologia digitale fornisce un facile, veloce e trasparente meccanismo di accesso ai servizi resi disponibili sulla rete.

Le principali iniziative di Identità Federata in quest'ambito riguardano:

  • Servizio di Gestione Federata di Identità digitali per il Sistema Pubblico di cooperazione (SPCoop)
  • Sistema Federato Interregionale di Autenticazione per il progetto ICAR (ICAR INF-3)
Il modello proposto dalla due iniziative è concettualmente rappresentabile in un'architettura di identità federata policentrica relativa ad una rete dei servizi di cooperazione federata in cui all'interno di ogni dominio sono presenti degli aggregatori d'identità. Gli obiettivi del modello proposto sono:
  • Decentralizzazione del processo di autenticazione per facilitare la gestione del Single SignOn tra differenti domini applicativi e di rete.
  • Condivisione dell'identità e degli attributi tra gli enti che cooperano per l'erogazione dei servizi basati sull'identità.
  • Creare una rete di entità cooperanti e fidate che consenta di velocizzare la condivisione d'informazioni in modalità sicura.

Sia il servizio di gestione Federata di identità digitale (SPCoop) che le specifiche previste in ICAR INF-3 convergono verso lo standard Security Assertion Markup Language (SAML v2.0), favorendo l'interoperabilità e l'applicazione del modello a domini di SAML. L'architettura SAML, infatti, prevede le funzioni di Authentication Authority (Identity Provider), di Attribute Provider e di gestore delle poliche di autorizzazione, ect. Ulteriormente, lo standard SAML v2 introduce dei profili e use case di utilizzo, con l'obiettivo di specializzare e migliorare l'interazione tra i servizi, molti dei quali sono una derivazione delle specifiche Liberty Alliance Project e Shibboleth. Per favorire il processo di federazione e di interoperabilità, ogni dominio di cooperazione della pubblica amministrazione (Locale e Centrale) dovrà dotarsi di un'architettura di Federated Access Management, per poter svolge le funzioni di garante delle credenziali (Identity Provider) e degli attributi di ruolo (Attribute Authority) per i soggetti.


Blogged with Flock

Tags: , , , ,

sabato feb 09, 2008

What's ahead in Security

Lo scorso 31 Gennaio, il Dipartimento d'Informatica dell'Università La Sapienza ha ospitato Whitfield Diffie per un seminario dal titolo "What's Ahead in Security" nell'ambito del Master in Gestione della Sicurezza. Diffie ha, sostanzialmente, descritto le varie fasi evolutive del concetto di Secure Computing partendo dagli anni 60 fino ai giorni nostri, evidenziando come l'introduzione dei web services cambierà il nostro concetto di sicurezza da come lo intediamo oggi. Durante li seminario c'è stato uno spazio per una sessione di Q&A.

Al termine della seminario, il Prof. Mancini (Università La Sapienza) ha aperto una tavola rotonda dal titolo What computer security for the information society? a cui hanno partecipato oltre che allo stesso Diffie, anche, Giovanni Manca (CNIPA), Corrado Giustozzi (Giornalista scientifico), Andrea Monti (Avvocato) e Luisa Franchina (AIIC).


Tags: , , , ,


Federated Identity Management, Security, Service Oriented Architecture


« dicembre 2016