Cohesion Info

Framework di Autenticazione Cohesion

La Regione Marche ha da anni adottato un framework di autenticazione denominato Cohesion SSO. 
Il framework permette di verificare la corretta identità degli utenti (persone fisiche munite di codice fiscale) che accedono a servizi online opportunamente integrati, gestendo il processo di autenticazione e demandando il processo di autorizzazione/profilatura utente all’applicazione chiamante.
Cohesion supporta due livelli di autenticazione sicura: Forte e Debole. 

L’autenticazione forte è principalmente basata sull’utilizzo di smart-card che possono essere di tipo CIE (Carta d’Identità Elettronica) o CNS (Carta Nazionale dei Servizi), ed in particolar modo focalizza l’attenzione sull’utilizzo della CNS regionale ovvero la Carta Raffaello (http://www.cartaraffaello.it). 
Un’altra metodologia di autenticazione forte, denominata PIN Raffaello, si basa sulla possibilità per l’utente di inserire user e password con l’aggiunta del PIN (rilasciato sulla base delle stesse modalità, previste per la carta Raffaello, di riconoscimento e censimento nell’LDAP regionale), senza che sia necessario l’inserimento di una smart card. Per gli utenti interni al dominio della Regione Marche è, inoltre, presente un’altra modalità di autenticazione sicura (grazie al riallineamento effettuato tra i dati nell’LDAP regionale Cohesion e le entries nell’active directory degli utenti regionali) che si basa sulle credenziali utilizzate per l’accesso al dominio regionale dalla propria postazione di lavoro. L’autenticazione debole si ha, invece, in tutti quei casi in cui l’utente si logga usando solo le credenziali user e password in quanto queste si possono ottenere a seguito della procedura di auto registrazione.

L’autenticazione, se andata a buon fine, restituisce un token XML contenente, oltre al livello di sicurezza, i principali dati dell’utente contenuti nell’LDAP dell’identity provider regionale. A seguito dell’autenticazione il sistema effettua un redirect automatico verso l’applicazione web chiamante trasmettendogli il token, tuttavia l’autenticazione persiste sia a livello di server regionale sia a livello di browser web client (cookie), al fine di realizzare un meccanismo di Single Sign On. In ogni caso le applicazioni sensibili, per motivi di sicurezza, possono ogni volta forzare la richiesta di autenticazione bypassando il meccanismo di SSO.

Il sistema è già in esercizio su numerosi sistemi informativi regionali chiamanti:
  • Autovalutazione – Gestione del processo di autovalutazione dei musei delle Marche, 
  • COMarche – Comunicazioni Obbligatorie dei datori di lavoro, 
  • DODIBOX – gestione compilazione modulistica online e inoltro dei flussi applicativi risultanti, 
  • GIUSTO – Gestione dei giustificativi digitali dei dipendenti regionali, 
  • Posta Raffaello Emarche – Interfacce di consultazione della Posta Elettronica Certificata, 
  • SIAGI – Sistema integrato per la gestione delle risorse finanziarie, umane e strumentali, 
  • SIAR – Sistema Informativo Agricolo Regionale, 
  • SIGFRIDO – monitoraggio e rendicontazione fondi POR FESR e PAR FAS 2007-2013

Lo sviluppo tecnologico e organizzativo che la Regione Marche sta affrontando, quale soggetto abilitante la comunità regionale in ottica interregionale, ha evidenziato la necessità di re-ingegnerizzazione del framework Cohesion al fine di renderlo compatibile con gli standard adottati a livello interregionale nell’ambito del progetto ICAR/INF3-GFID - quali SAML 2.0. L’implementazione dello standard SAML 2.0 consente la federazione del sistema con altri sistemi nazionali e locali di autenticazione basati sullo stesso protocollo SAML2.0.

 

La versione 1.0 di Cohesion non si basa, infatti, su questo standard di autenticazione, ma garantisce il Single Sign On mediante un flusso ad hoc, reso comunque sicuro da tecnologie all’avanguardia ai tempi dello sviluppo, quali Microsoft Web Services Enhancement e l’attuale XMLSign. Essendo stato Cohesion oggetto di sostanziosi investimenti, economici e non solo, oltre che essere standard di riferimento per l’autenticazione nella Regione Marche la scelta di re-ingegnerizzazione è prevalsa sulla possibilità di migrazione ad altri sistemi SAML 2.0 compatibili, quali ad esempio Shibboleth. E’ importante, inoltre, sottolineare come per l’upgrade a SAML2.0 non si sia fatto affidamento a soluzioni commerciali preesistenti di supporto del protocollo, ma si siano realizzate le apposite funzionalità da zero, partendo dagli schemi XSD ufficiali del protocollo SAML 2.0.

 

 

In questo lavoro si vuole quindi presentare l’esperienza di re-ingegnerizzazione del framework regionale d’autenticazione dalla versione 1.0 alla 2.0 quest’ultima SAML 2.0 compatibile. Prima di questo verranno mostrati gli aggiornamenti preliminari effettuati sulla versione 1.0 di Cohesion necessari e propedeutici al passaggio alla nuova versione 2.0. Ciò si contestualizza nelle attività dell’accordo di programma quadro tra l’Università degli Studi di Camerino e la Regione Marche per la progettazione e lo sviluppo di attività di cooperazione nell’e-government.