Security & Architecture : CardSpace

Understanding Windows Cardspace

mfontana — Tue, 29 Jan 2008 18:54:48 GMT

Finalmente disponibile il primo libro interamente dedicato a Windows Cardspace e più in generale alle problematiche di Identity Management in un ambiente eterogeneo e complesso come quello di Internet.

Ne avevo già accennato molto brevemente qui circa 3 mesi fa quando il libro ancora non era disponibile.

Tre aspetti attirano la mia attenzione già solo dalla copertina :

1) Dei libri della Addison Wesley quelli con l'etichetta David Chappell, Series Editor fanno parte per così dire di un sottogruppo elitario perchè consigliati direttamente da David Chappell che, come sappiamo, nel mondo dell' IT è un'autorità.

2) Il Foreword del libro è stato scritto da Kim Kameron - Chief Architect of Identity - di Microsoft Corporation (che tra l'altro è venuto a trovarci poco tempo fa) , ovvero la persona che può essere considerata il papà dell' Identity Metasystem.

3) L'immagine di un procione! Che nonosante la spiegazione di Vittorio in un suo post non mi ha convinto del tutto :-)

Il libro è suddiviso logicamente in 3 parti : Setting the context, The Technology e Pratical Considerations per facilitare la comprensione di un argomento che non è proprio tra i più facili: L'identity management oggi (e domani).

Nella prima parte (dove mi sembra di riconoscere lo stile di Vittorio :-) ,ma potrei sbagliarmi...) gli autori scattano una fotografia molto realistica della (triste) situazione in cui oggi ci troviamo in ambito identity management su internet. Questa introduzione fa capire a tutti, senza uso di tecnicismi o giri di parole, perchè ci troviamo a combattere contro fenomeni via via sempre più perfezionati e difficili da intercettare come i furti di identità, le frodi online e più in generale il phishing. E' in questa (triste) realtà che si arriva all'introduzione di Windows Cardspace come un tassello molto importante di un concetto molto più vasto che va sotto il nome di Identity Metasystem, ovvero di un "sistema di sistemi" capace di fornire una base di interoperabilità per le identità elettroniche tra i vari sistemi presenti e futuri. A questo proposito mi piace la molto il titolo A world without a center perchè in questa breve sentenza è racchiusa una grande verità : internet non ha un centro e come tale non ha una autorità in grado di governare e controllare le altre; è proprio in questo contesto di collaborazione che prende vita e si articola l' Identity Metasystem.

Nella seconda parte invece si entra subito nei dettagli tecnici vivisezionando Cardspace nei suoi più intimi componenti: Information Cards, la UI di Windows, l'identity selector, il supporto alla federation, integrazione con WCF e per concludere con un sempre gradito excursus (in realtà è un capitolo :-) dedicato al mondo unmanaged dando spazio alle API native in C/C++.

Nella terza ed ultima parte ci spostiamo da un'analisi prettamente tecnologica ad una serie di considerazioni che gli autori fanno grazie anche alla loro esperienza sul campo nel supporto di progetti di vari clienti nel mondo. Ho gradito molto il capitolo e le considerazioni fatte su uno degli aspetti secondo me più controversi e meno chiari oggi: l'identity provider o meglio le implicazioni nel diventare un identity provider su internet.

Perchè mi piace questo libro

Se ci soffermiamo un attimo a considerare i "nuovi" trend architetturali da quelli più consumer come il Web 2.0 a quelli più business oriented come ad esempio OBA (Office Business Applications - ovvero composite applications) fino a fenomeni più vasti come può essere quello di Software Plus Services scopriamo che portano tutti a fattor comune la centralità delle persone e la facilità di veicolare e condividere informazioni giuste al momento giusto. Un trend che Microsoft già da tempo ha sintetizzato in due parole : "People Ready" .

Purtroppo questa visione deve fare i conti con un aspetto molto umano che rischia di frenare in modo consistente la spinta verso il futuro : la sfiducia delle persone verso Internet. Stiamo parlando di percezione a 360 gradi, di sfiducia che gli utenti comuni (non gli esperti di sicurezza informatica) ripongono nelle soluzioni internet. Una sfiducia avvertita grazie e soprattutto alle numerose notizie di frodi informatiche che colpiscono gli ignari utenti di internet dandone una percezione come di un mondo parallelo dove sia difficile se non impossibile essere tutelati. Molte di queste frodi sono possibili perchè di fatto Internet non possiede un sistema di Identity Management integrato che garantisca uno dei principi base della sicurezza : chi siamo.

Ebbene, questo libro pur non essendo ovviamente orientato agli utenti finali (non mi immagino mia madre che usa spesso internet, l'email e word per scrivere i suoi testi, si metta a leggerlo :-) pone però le basi per capire in modo pratico e realistico come operare e cooperare alla realizzazione di un sistema dei sistemi o metasystem per superare l'impasse durato decenni causato dalla mancanza di un sistema di identità. Questo metasystem ha l'obiettivo di trovare dei meccanismi comuni basati su standard capaci di lavorare con più digital identities e security tokens garantendone la creazione e lo scambio. Questo approccio è esattamente l'opposto di quello che quasi tutte le grandi aziende del mondo IT che operano su Internet (Microsoft compresa) hanno cercato di fare negli ultimi decenni ovvero di imporre una particolare tecnologia su tutte...con i risultati che ben sappiamo.

Purtroppo non siamo ancora nella fase di convincimento degli utenti internet, ma piuttosto di dimostrazione agli esterti dell' IT della bontà del disegno di un sistema di identità capace di propagare le identità elettroniche tra ambienti e tecnologie diverse in modo sicuro, intuitivo e trasparente per l'utente. Windows Cardspace è quindi l'implementazione Microsoft di una componente dell' Identity Metasystem (qui sul sito di Kim potete trovarne molte altre anche per sistemi non MIcrosoft) capace di racchiudere tre aspetti fondamentali : Il supporto a qualsiasi Identity System, un uso consistente da parte dell'utente della propria identità ed infine (finalmente) un meccanismo che possa mettere in soffitta l'uso delle password.

Convincere gli esperti significa da un lato dimostrare la bontà dell'architettura (sicurezza, scalabilità, ecc..) e dall'altro evidenziare tutti gli aspetti implementativi e di supporto come nel caso di Windows Cardspace. In entrambi i contesti il libro di Vittorio, Garrett e Caleb è sicuramente la migliore lettura.

Bravo Vittorio ;-)

--Mario

Vittorio for President...

mfontana — Sat, 27 Oct 2007 16:46:50 GMT

Come altra "anima della sicurezza" (non è una esclamazione colorita) non posso che associarmi con immensa gioia ai già numerosi cori del Toto-Vittorio :-)

Vittorio Bertocci (qui lo potete vedere direttamente dal suo Identity Selector) è un ex collega di MCS (Microsoft Consulting Services) che tempo fa è emigrato in quel di Redmond e in poco tempo è diventato Mr CardSpace nel mondo. In questi giorni ha ricevuto la nomination per l' ID People Award (super complimenti) e quindi votiamo votiamo votiamo... Vittorio 4 President :-)

Tra l'altro Vittorio è stato anche il primo a scrivere un intero libro sull'argomento !!

--Mario

Mr. Identity Metasystem

mfontana — Sat, 27 Oct 2007 14:56:23 GMT

L'altro giorno Kim Kameron (Architect of Identity and Access in the Connected Systems Division) è venuto a farci visita a Segrate. Kim si può considerare il papà di ADFS, CArdSpace, Identity Integration Services nonchè delle famose 7 leggi dell’identity.

La mattina abbiamo avuto un incontro interno tra i vari software Architects di Microsoft Italia e Kim per confrontarci sul ruolo dell' Identity Management all'interno delle architetture applicative presenti e future mentre nel pomeriggio abbiamo avuto un meeting con alcuni MVP (da sinistra : Raffaele, Giancarlo, Riccardo, Andrea, Lorenzo e Nino) oltre al mitico A_Lead .
Come sempre gli incontri con gli MVP sono pieni di spunti e di sorprese (Raffaele ha dato il meglio di se...).

Ovviamente non poteva mancare la foto con il "gigante" della sicurezza :-)

e alla fine, come sempre nei migliori meetings, dopo confronti e discussioni un aperitivino tutti insieme non fa mai male...

Poi, vista l'ora ci siamo trovati a mangiare e bere seriamente (seriamente è riferito al cibo non ai contenuti delle chiacchiere :-))
Una nota importante riguardo a questa foto: notare i bicchieri di birra ovviamente vuoti, ma soprattutto il coltello tra me e Raffaele che è puramente un caso :-) confermi Raffaele?? :-)

--Mario

Slides del Panel Sicurezza a WPC 2007

mfontana — Sat, 27 Oct 2007 12:42:56 GMT

Qui potete trovare le slides che ho utilizzato per il Panel Sicurezza : "SOA e Sicurezza Applicativa. Le sfide di oggi e di domani".

Durante i giorni del WPC ho avuto modo di parlare con molte persone interessate alle problematiche di sicurezza in SOA e ho raccolto e "consolidato" una serie di aree tematiche di interesse comune sulle quali farò dei post di approfondimento.

--Mario

Panel Security al WPC 2007 : SOA e Sicurezza Applicativa. Le sfide di oggi e di domani.

mfontana — Fri, 19 Oct 2007 17:37:14 GMT

Per chi di voi sarà al WPC 2007 spero di incontrarvi al panel sulla sicurezza "SOA e Sicurezza Applicativa. Le sfide di oggi e di domani" che terrò martedi 23 Ottobre dalle 19.15 alle 20.00. Come orario un po' tardino... a mo' di aperativo prima della cena :-)

Il formato del panel è pensato apposta per sessioni interattive... poche slides (tanto per inquadrare i punti chiavi) e poi via con le domande e un confronto tra noi e le nostre esperienze sui progetti...
E per chi non ne avesse abbastanza la sera dopo cena, questa volta a mo' di digestivo, sarò nell'area "Technical Afterhour" per fare quattro chiacchiere...

--Mario

Agenda del WebCast sull' Identity & Access Management

mfontana — Thu, 27 Sep 2007 01:11:51 GMT

Questa è la versione definitiva dell'agenda del Webcast che ho fatto sull' Identity & Access Management presentato qui.

Agenda

Identity & Access Management Overview.
Cosa intendiamo per Digital Identity.
Identity Design Patterns.
Scenari architetturali.
Identity MetaSystem.
Identity LifeCycle Management.

Potete scaricare le slides mentre l'intero WebCast è disponibile per il download qui.

--Mario