Security & Architecture : IDentity Metasystem

Versione RTM di Windows Identity Foundation

mfontana — Thu, 19 Nov 2009 13:30:33 GMT

Durante la prima keynote del PDC 09 Bob Muglia ha annunciato la disponibilità di WIF (Windows Identity Foundation) in versione RTM !!!.

mentre qui Vittorio presenta il corso su Identity Developer Training Course su Channel9.

Forse è stato il passaggio da RC a RTM più veloce della storia del mondo MS :-) solo 11 giorni !!

--Mario

PS: sono di poche parole perchè sto preparando le 3 sessioni dei TechDays, guarda caso su Claims-Based Security e scenari federati ovviamente con WIF & C… presto nuovo materiale…

Le basi per un Common Identity Framework

mfontana — Tue, 09 Jun 2009 12:41:55 GMT

Per chi come me sta lavorando assiduamente sull’inserimento del modello claims-based nelle attuali architetture dei clienti non può perdere il post e relativo documento di Kim Cameron dal titolo :“Proposal fo a Common Identity Framework: A User-Centric Identity Metasystem” scritto da Kim Cameron, Reinhard Posch e Kai Rannenberg tutti nomi molto conosciuti nell’ambito dell’Identity Management (come potrete leggere dal post di Kim). (download : PDF o DOC)!!!

In questo documento vengono esplicitati i principi base su cui si può fondare un Identity Metasystem capace di integrare e razionalizzare la gestione delle identità indipendentemente dagli stack tecnologici utilizzati. Il tutto, ovviamente, in conformità delle principali leggi sulla sicurezza e sorpattutto sulla privacy. Vi assicuro che questo documento è di estrema utilità perchè evidenzia con chiarezza i principali “blocchi” architetturali e relative dipendenze.

Tra l’altro questo documento è stato inserito nel libro The Future of Identity in the Information Society un trattato che raccoglie ricerche effettuate in vari stati europei sull’identificazione dei cittadini, le ID cards, gli impatti delle leggi sulla privacy e tutti gli aspetti di computer forensics legate ai crimini informatici basati sul furto di identità.

Tre sono gli aspetti di questo whitepaper che mi hanno aiutato (più di tutto) a formalizzare meglio alcuni aspetti del lavoro che sto facendo in questo periodo sulla claims-based security: la suddivisione architetturale fatta tramite gli abstract services, la tassonomia dei claims e il concetto di Data Minimization. Con la definizione degli abstract services si riesce ad avere una visione olistica dell’architettura di un Identity Metasystem senza entrare nei tecnicismi che inevitabilmente vengono introdotti quando si lavora con un determinato vendor/prodotto. Nel documento questi servizi vengono presentati come astratti perchè rappresentano le funzioni di base dell’architettura e successivamente i vendor potranno realizzare i propri sistemi reali calando questa visione astratta nei propri modelli.

Stiamo quindi parlando di abstract services come il Primordial Claim Abstract Service, Registration Abstract Service, Claims Provider Abstract Service, Claims Selector Abstract Service, Claims Approver Abstract Service, Resource Matching Abstract Service.

La tassonomia dei claims invece diventa utilissima quando si lavora a livello architetturale alla definizione dei claims gestibili in azienda e relativa suddivisione per applicazione:

Type of Claim	Comment	Examples
Static	What we have traditionally called “properties” and “attributes” of the subject – static within some window of time	National identifiers and employee numbers Date of Birth Name Address
Relationship	Subject is in some relationship with another subject (and open-ended model with multiple sources and viewpoints)	Member of arbitrary group Member of assigned role Relationship to another subject (e.g. Personal Assistant or Parent) Mandate (e.g. trustee) Acting-as / On-behalf-of relationships
Derived	Claims that convey minimum necessary information by deriving it from facts but not releasing the facts	Over 21 or Under 16 University Student Person in Drug Trial Unmarried Female in 20’s
Capability	Authentication and authorization both based on claims transformation. Capabilities are determined by relying party within a defined scope	Can-read-calendar Can-access-write-operation Denied-update-in-given-scope
Contextual Claims	Factors useful in evaluating the security presentation.	Authentication technology, location, time

Infine gli aspetti di Data Minimization ci permettono di focalizzare quali sono gli ambiti in cui è necessario garantire il minor numero di informazioni personali degi utenti come le collezioni, aggregazioni, storage, retention,replication, distribution,linkage…

Un documento quindi che NON si piò NON leggere se si lavora nel campo dell’ Identity Management !!!

--Mario

Geneva Server NON è la soluzione di “Identity Lifecycle Management” !!!

mfontana — Fri, 22 May 2009 11:25:10 GMT

In questi ultimi mesi sto lavorando con alcuni grandi clienti italiani nel disegno e nella realizzazione di infrastrutture Claims-Based utilizzando i vari componenti di Geneva : Geneva Server, Geneva Framework e Geneva CardSpace.

L’equivoco più ricorrente è quello di associare in prima battuta Geneva Server come LA (notare il maiuscolo) soluzione Microsoft per l’ Identity LifeCycle Management (ILM). Non è corretto !!! Al contrario, Geneva Server & CardSpace insieme a Geneva Framework sono un tassello molto importante di una architettura articolata di ILM che comprende però molte aree strategiche non gestite direttamente da Geneva. Nella figura sottostante ho elencato i tre macro layers di una infrastruttura ILM (quelli in rosso) con relative aree di competenza mentre ho evidenziato in giallo le aree coperte anche da Geneva !!!

(cliccare sull’immagine per vederla più grande)

Geneva copre quindi solo alcune parti dell’infrastruttura di ILM. Infatti Geneva è la piattaforma che permette di semplificare la fruibilità alle applicazioni tramite il modello claims-based. Per maggiori info leggete questo mio breve post intitolato : Cosa è Geneva Server in due parole.

Geneva Server quindi ci aiuta a gestire alcuni aspetti (ma non tutti) dell’ ILM soprattuto nel mondo delle Web Applications e dei Web Services, un’area quest’ultima che pone delle sfide interessanti alla disciplina dell’ ILM in quanto per loro natura possono essere “sparsi” all'interno di dipartimenti della stessa azienda, da business partners o “in the clound”.

--Mario

Microsoft e SAML 2.0 Protocol

mfontana — Wed, 20 May 2009 13:15:10 GMT

Forse non è ancora noto a tutti che Microsoft sta lavorando per integrare parte del protocollo SAML 2.0 all’interno dei servizi di Active Directory.

Come presentato durante l’ultimo PDC (Professional Developers Conference) da Kim Cameron la nuova versione di ADFS (Active Directory Federation Services) che per adesso ha il code name Geneva, oltre ad estendere il supporto alle specifiche WS-* (WS-Security, WS-Trust, WS-Federation, ecc.…) sarà in grado di “parlare” SAML 2.0 creando una vera e propria infrastruttura sistemistica ed applicativa capace di semplificare gli aspetti di autenticazione e di Single Sign On. Geneva inoltre è definita una “open platform” perchè permette di realizzare una architettura claims-based basata sui principali protocolli standard (WS-* e SAML 2.0). I componenti della specifica SAML 2.0 implementati sono i seguenti :

Web SSO AuthnRequest : HTTP redirect
Web SSO Response : HTTP POST
Identity Provider Discovery : Cookie
Web SSO Response : HTTP Artifact
Artifact Resolution : SOAP
Single Logout (IdP-initiated) : HTTP redirect
Single Logout (SP-initiated) : HTTP redirect
Enhanced Client/Proxy SSO : PAOS

Infine Geneva per automatizzare al massimo l’amministrazione degli aspetti di federazione utilizzerà il nuovo harmonized federation metadata format basato sui metadata SAML 2.0. (leggete qui la notizia da Don Schmidt)

E questo cosa significa?

Interoperabilità e Single Sign On! Infatti SAML 2.0 è il protocollo di riferimento per le principali architetture Open-Source per lo scambio di informazioni di autenticazione ed autorizzazione tra security domains mentre lo stack di specifiche WS-* (e nello specifico WS-Federation) è lo standard di riferimento utilizzato nei principali prodotti commerciali sempre con l’obiettivo di scambiare informazioni di autenticazione ed autorizzazione.

Queste specifiche hanno molti vantaggi per noi architetti ma anche un grosso svantaggio : mantenere i due mondi nettamente separati!! Questo significa che noi poveri architetti spesso siamo costretti a creare componenti di architetture più o meno custom per poter superare queste diversità. E’ il colmo ! Dover disegnare/scrivere delle soluzioni custom per integrare gli standard !!! (questo è il tipico caso in cui la presenza di standard non sempre aiuta!!).
Con Geneva questa realtà finalmente può cambiare!! Oggi siamo in grado di far interoperare questi due mondi permettendoci di disegnare scenari di Single Sign On per i nostri utenti indipendentemente dallo stack applicativo e sistemistico utilizzato. Finalmente possiamo iniziare a parlare di Interoperabilità con la I maiuscola anche in ambito Identity dove normalmente le varie architetture storicamente erano chiuse, blindate dalla propria tecnologia!

WS-* e SAML 2.0 Protocol. Perchè due stack di specifiche?

Ma allora la domanda nasce spontanea … perchè due stack ?

Cominciamo col dire che le specifiche WS-Trust/Ws-Federation (dello stack WS-*) e il protocollo SAML 2.0 hanno alcune parti in comune ma obiettivi differenti !

WS-Trust/Ws-Federation come tutte le specifiche di WS-* sono pensate prevalentemente per Web Services ovvero scenari “attivi” capaci di “parlare SOAP”. Infatti anche il nome lo dice : WS-* significa Web Services-*, e quindi WS-Trust = Web Services Trust, WS-Federation = Web Services Federation. Quindi lo stack WS-* fin dagli albori (siamo alla fine del 2000 circa) ha lo scopo di fornire un’infrastruttura per il mondo a servizi (da SOA a SaaS, S+S, ecc…). WS-Federation in quello che era chiamato “profilo attivo” rappresenta la naturale evoluzione di WS-Trust e descrive i meccanismi di trust tra Security Domains differenti (Federazioni) con una predilezione e un punto di vista a servizi.

Una architettura di questo tipo che pone tra i propri obiettivi anche il Single Sign-On tra applicazioni e Web Services sarebbe stata monca se non avesse aggiunto anche il supporto ai client Web che non sono in grado di gestire il protocollo SOAP (ovvero i Browser). E’ per questo motivo che WS-Federation ha anche il profilo passivo, ovvero una serie di regole che permettono ai browser di utilizzare i protocolli WS-Trust e WS-Federation tramite HTTP 1.1 e quindi di integrare le anche le Web Applications nel processo di Single Sign On. In questo caso (passivo) abbiamo una sovrapposizione con una parte delle funzionalità espresse da SAML 2.0 protocol !!!

Quindi per rispondere alla domanda “perchè due specifiche” posso dire che WS-Federation nasce come evoluzione di un particolare modello ormai consolidato di sicurezza e di gestione delle identità capace di gestire sia i Web Services che per le Web Application mentre questo doppio supporto non era previsto (almeno inizialmente) dal protocollo SAML 2.0 (nato prevalentemente per gli scenari Web Apps). Infatti, SAML 2.0 nasce dalla convergenza di SAML 1.1, Liberty ID-FF 1.2, e Shibboleth 1.3 con il primario obiettivo di definire uno standard per il Web Single Sign On. Successivamente SAML 2.0 ha aggiunto anche il SAML ECP (Enhanced Client Profile) per l’integrazione di client attivi.

WS-Federation quindi permette a tutti quelli che hanno investito sullo stack WS-* di continuare gli investimenti adottando un unico modello di sviluppo indipendentemente dai sistemi utilizzati - Windows/Linux – e dai linguaggi .NET/Java o altro. Dal canto suo, seguendo anche le innumerevoli (e a mio avviso, giustissime) richieste da parte di clienti da tutto il mondo, parte del protocollo SAML 2.0 è stato integrato in Geneva ponendo il primo tassello verso la realizzazione di un Identity MetaSystem capace di gestire ambienti multi piattaforma e multi player. Per ulteriori informazioni leggete questo post di Don sullo stesso tema!!

Con questo post spero di rispondere a tutti quelli che sostengono che WS-Federation è nato esclusivamente con la volontà di fare una guerra al mondo Open Source e al protocollo SAML 2.0. Personalmente , come Software Architect trovo molto frustrante quando esistono stack di infrastruttura applicativa difficilmente integrabili tra loro perchè non ci permettono di svolgere il nostro lavoro al meglio e accolgo sempre in modo positivo quando questi ostacoli vengono superati dalle infrastrutture di base siano esse Microsoft o altro.

--Mario

Gli scenari nell’ Identity Developer Training Kit

mfontana — Mon, 18 May 2009 15:32:17 GMT

Il buon Vittorio, tra un impegno e l’altro, ha fatto una utilissima lista esaustiva degli scenari presenti nei lab all’interno dell’ Identity Developer Training Kit.

Un utile riferimento per capire se il Kit comprende lo scenario interessato!

--Mario

Identity Developer Training Kit

mfontana — Tue, 12 May 2009 13:03:01 GMT

Ci sono grandi novità in ambito eID tra ieri ed oggi !!!

Con l’uscita della BETA 2 di GENEVA oggi viene presentato anche il nuovo Identity Developer Training Kit ovvero una risorsa per DEV contenente hands- on-labs per sviluppatori creato da una task force composta da persone di DPE (la divisione per cui anch’io lavoro) e dell’ Identity Product Team con l’obiettivo di guidarvi nei meandri della programmazione di Geneva Framework, Geneva Server, Windows Live ID, Microsoft Federation Gateway e del .NET Access Control Service con esempi di applicazioni ASP.NET e WCF.

Questo Kit segue la filosofia dei training kit che (spero) abbiate già sperimentato (Training Kit su Windows Azure, Training Kit su .NET 3.5) dove nel tempo il kit viene arricchito di nuove PPT, source code, scenarios e video.

Buona sperimentazione,

--Mario

E’ arrivata la BETA 2 di Geneva. Quali le novità?

mfontana — Tue, 12 May 2009 12:41:00 GMT

Durante la Keynote di Scott Charney alla RSA Conference di San Francisco è stata annunciata la disponibilità a breve della BETA 2 di Geneva. Si sapeva che l’uscita era in concomitanza con il Tech-ED NA 2009 che è cominciato ieri… ebbene ogni promessa è un debito (mai frase fu più falsa di questa in ambito rilasci di software :-) e quel “a breve” è stato oggi (o meglio quesat notte per noi europei) !!! Infatti da pochissimo sono disponibili in download i bits della BETA 2 di Geneva (Geneva Server, Geneva Workstation, Geneva Cardspace).

Per chi volesse avere una breve overview dei componenti di Geneva la trova in questo mio post “Cosa è Geneva in due parole”

Vediamo quali sono le principali novità:

Geneva Server :

Un nuovo motore per il claims transformation con la possibilità di attingere informazioni (attributes) da (attribute) store come SQL Server e AD LDS (il buon ADAM) e custom oltre che da AD.
Supporto per SAML 2.0 SP-Lite
Proxy per autenticazione di utenti internet verso i Geneva Server nella intranet.
Supporto a PowerShell commandlets
Supporto al Federated RMS.
Provisioning di CardSpace “Geneva” clients via Group Policy.
Supporto alla federazione con il Microsoft Federation Gateway.
Maggiore scalabilità.

Geneva Framework :

Integrazione con VIsual Studio 2008 tramite dei template dedicati per ASP.NET e WCF.
Utility e wizard per aiutare la migrazione di applicazioni esistenti alla claims-based security.
Supporto allo sviluppo di applicazioni claims aware e STS.
Nuova versione di Fedutil.exe per supporto all’offline development.
Supporto a Sharepoint 2007 !!!
Nuove API per l’autorizzazione.
Evoluzione nella struttura dei token handlers e del FAM (Federation Authentication Module).

Geneva CardSpace:

Provisioning di CardSpace “Geneva” clients via Group Policy.
Aggiornamenti alla management UI
Auto provisioning di Information Cards ed estensioni per la gestione da parte gli amministatori.

Su Chanell 9 all’interno della sezione dedicata all’Identity Management “Id Element” oggi sono stati pubblicati 4 video sulla BETA 2 di Geneva.

· Chuck Reeves explores the Geneva Framework structure in depth

· Sesha Mani reports on what’s new with the Geneva Framework

· Jan Alexander describes the new claims transformation language

· Matt Steele discusses what’s new in Geneva Server

--Mario

Cosa è Geneva... in due parole

mfontana — Tue, 12 May 2009 12:35:00 GMT

Nonostante siamo solo alla BETA 2 (da oggi) esistono varie fonti dove trovare documentazione su Geneva. Per questo motivo cercherò di schematizzare in poche righe le peculiarità di Geneva.

Innanzitutto con Geneva si intendono 3 componenti : Geneva Server, Geneva Framework e Geneva Cardspace. Vediamone le caratteristiche:

Geneva Server

Geneva Server è un il code name della versione 2 di ADFS (Active Directory Federation Services) e in questa versione (da oggi disponibile la BETA 2) rappresenta uno dei componenti della piattaforma CBA (Claims based access) di Microsoft. Molte le novità e gli improvements rispetto ad ADFS. Volendo schematizzare Geneva server:

Principalmente Geneva Server è un security token service (STS) che permette di usare Active Directory come Identity Provider del mondo claims-based (Figura 1).
- Identity e Federation provider
Federation Trust Manager
- Automatizza la configurazione e la gestione dei trust via metadata
Basata su standard di mercato
- Supporto all’interoperabilità
- Supporto a scenari WS-Federation passive profile (come ADFS) ovvero per applicazioni Web (via browser)
- Supporto a scenari WS-Federation active profile per integrare nei processi di eID e di Single Sign On anche le applicazioni desktop e i Web Services.
- Supporto (e questa è veramente una grossa novità) a SAML 2.0 Protocol .
  - Web SSO AuthnRequest : HTTP redirect
  - Web SSO Response : HTTP POST
  - Identity Provider Discovery : Cookie
  - Web SSO Response : HTTP Artifact
  - Artifact Resolution : SOAP
  - Single Logout (IdP-initiated) : HTTP redirect
  - Single Logout (SP-initiated) : HTTP redirect
  - Enhanced Client/Proxy SSO : PAOS
- Supporto a token SAML 1.1 e SAML 2.0
Managed Information card-provider per AD
- CardSpace e Identity Selectors di terze parti.

Figura 1: Architettura di Geneva Server

Geneva Framework

Geneva framework è un’insieme di classi che estendono il framework .NET e a sua volta è l’evoluzione di un altro code name : Zermatt.

Classi per rendere le proprie applicaioni claims-based.
Può essere utilizzato sia per le Web Applications che per i Web Services. Quindi sia per ASP.NET e WCF.
Introdotto un nuovo modello claims based.
- Estensione del modello “classico”IIdentity/IPrincipal” con il nuovo “IClaimsIdentity/IClaimsPrincipal”.
- Utilizzo di Thread.CurrentPrincipal al posto di ClaimsPrincipal.Current per un più facile accesso ai claims del chiamante.

Claims e claims types sono tutte strighe.
ClaimsAuthenticationManager per racchiudere tutta la logica di autenticazione in un unico punto.
Uso estensivo dei token Handlers per processare qualsiasi tipo di token (U/P,X509, Kerberos, SCT e HttpCoockies.
Il FAM (Federated Authentication Module) è composto da tre authentication models: SessionAuthenticationModule, WSFederationAuthenticationModel e ClaimsPrincipalHttpModule. In questo modo si semplifica la compatibilità con la Forms Authentication di ASP.NET e i moduli di UrlAuthorization.
Supporto allo sviluppo di custom STS.
GTS : Geneva token Service è un servizio disponibile con il Geneva framework che permette di trasformare token XML (come ad esempio SAML tokens) in Windows Token tramite l’ UPN name (Dietro le quinte utilizza il Kerberos Extension S4U2Prox)
Supporto allo sviluppo di RP (Relying party – ovvero applicazioni claims-aware) con il supporto di CardSpace.
Supporto ASP.NET controls e integrazione con VIsual Studio 2008 tramite dei template dedicati per ASP.NET e WCF.
Nuove API per l’autorizzazione.

Geneva CardSpace

CardSpace “Geneva” rilascia dei security token ai web sites/Web Services sfruttando l’infrastruttura claims-based e i meccasismi basati su WS-Security/WS-Trust e WS-Federation permettendo di mitigare al massimo il problem del phishing e aumentando la privacy degli utenti (è l’utente che piò selezionare quali e quante informazioni dare ad un sito durante la fase di autenticazione). Le informazioni all’utente sono gestite tramite delle Information cards ovver dei documenti XML firmati da un STS.

--Mario

Pubblica la lista di tutte le sessioni del PDC

mfontana — Fri, 24 Oct 2008 11:46:49 GMT

Alla fine la lista delle sessioni del PDC (Professional Developer Conference) è stata resa pubblica anche in versione offline !!

Per quanto riguarda gli aspetti di security (soprattutto Identity) sicuramente da non perdere :

BB11 Identity Roadmap for Software + Services (by Kim Cameron, Bertocci Vittorio)

The security demands on applications continue to grow in the face of compliance, online threats, and cloud- based software. In this session find out how to use Microsoft's portfolio of identity software and services to advantage your connected applications. Learn about the future roadmap for Identity and the claims-based architecture underlying it all, from Windows Live ID to Active Directory, from on-premises software to the cloud, and anchored in industry standard protocols.

BB42 Identity: "Geneva" Server and Framework Overview (by Caleb Baker, Stuart Kwan)

See how to use "Geneva" and the claims-based identity model to enable single sign-on, strong authentication, federation, and the ability to flow user authentication between applications. Find out how to use "Geneva" with ASP.NET, WCF, Active Directory, Windows Live ID, and Windows CardSpace.

BB29 Identity: Connecting Active Directory to Microsoft Services (by Lynn Ayres, Tore Sundelin)

Learn how to augment your existing IT infrastructure with Microsoft Services. Manage and secure end-user access to cloud services using your existing investment in Active Directory. Enable end users to access Microsoft services through existing Active Directory accounts, the same way they access your intranet-hosted software today. Hear how to enable existing software to use new service capabilities without re-writes, and do it all through the use of open and standard protocols

BB43 Identity: "Geneva" Deep Dive (by Jan Alexander)

Examine the architecture of the "Geneva" next generation identity server and framework and how it can be customized and extended for advanced security scenarios. At the center of the discussion is the Security Token Service (STS), a core component that provides authentication and identity services. Many applications will benefit from an embedded STS, and many scenarios will call for an STS that is built on a specialized user store.

BB22 Identity: Live Identity Services Drilldown (by Jorgen Thelin)

Live Identity Services enables developers on any platform to choose the identity integration model that best enables their scenarios, including: web or client authentication, delegated authentication, or federated authentication. Learn how to build seamless, cobranded, and customized sign-up and sign-in experiences.

BB28 .NET Services: Access Control Service Drilldown (by Justin Smith)

This session shows how to use the Access Control Service in your applications. Learn how to secure your application or service using the Access Control service's APIs. We will then drill into the protocols and security patterns the service uses along with explaining some of the service internals.

SYMP05 Services Symposium: Enterprise Grade Cloud Applications (by Eugenio Pace)

Today, hosted applications do not offer many of the features that large enterprises expect related to identity, management, and data. See detailed examples of "enterprise grade" hosted application design. Learn how to implement a federated identity scenario, enable remote application management, and provide richer control of data storage

BB44 Identity: Windows CardSpace "Geneva" Under the Hood (by Rich Randall)

Windows CardSpace provides a consistent, hardened sign-in experience that uses standard protocols and works with both thin and smart client applications. Learn about the features and architecture of the next version of Windows CardSpace.

--Mario

Come funzionano i Security Token Services.

mfontana — Mon, 29 Sep 2008 09:10:01 GMT

Oggi per la serie MSDN Talks siamo in compagnia di Alessio Mannelli - Senior Developer - della divisione Servizi di Microsoft Italia. Con Alessio negli anni passati abbiamo speso insieme parecchio tempo nella definizione e realizzazione di infrastrutture applicative (a partire da WSE 2.0) fino ad arrivare ai giorni più recenti con WCF (WIndows Communicatino Foundation). In questo breve video Alessio ci parlerà dei meccanismi di autenticazione tra servizi nei modelli definiti da WS-Security, WS-Trust e SAML 1.1. Particolare attenzione viene posta al concetto di Authority (detto anche STS - Security Token Service). Questa breve introduzione teorica sull'argomentè essenziale per capire scenari più complessi di Single-Sign-On in architetture SOA. Inoltre, i meccasismi spiegati da Alessio sono i medesimi che troviamo in tecnologie come ADFS (Active Directory Federation Services), CardSpace, nel nuovo Zermatt (di cui parleremo a breve) e nelle future tecnologie che verranno presentati tra poco al PDC.

L’authority gestisce il riconoscimento dei chiamanti e la profilazione degli utenti sui servizi offrendo al sistema un punto centrale per la gestione delle politiche di sicurezza. Il chiamante prima di poter effettuare una richiesta al servizio deve autenticarsi presso l’authority e farsi rilasciare un ticket di accesso al servizio richiesto.

L’autenticazione presso l’authority avviene mediante l’invio dell'identità del servizio client che può essere espressa sotto varie forme: credenziali di rete, credenziali custom, certificati X509 oppure Ticket Granting Ticket (TGT) preventivamente rilasciati dalla stessa authority.

Alessio, ci parlerà prevalentemente del modello di autenticazione di un servizio tramite certificati X509. L’utilizzo di certificati X509 consente di realizzare un’infrastruttura di sicurezza basata su algoritmi asimmetrici che utilizzano chiavi pubbliche e private per firmare e criptare le comunicazioni verso l’authority.

Lo scenario basato sull’utilizzo di certificati X509 richiede la presenza di una Certification Authority (interna o esterna all'azienda) riconosciuta da tutte le entità dell’infrastruttura che rilascia certificati X509 per l’identificazione dei vari attori e per l’utilizzo degli algoritmi di crittografia e firma. Ad ogni componente (chiamante, servizio e authority) è associato uno specifico certificato. La specifica WS-Trust definisce come i servizi in gioco possano autenticarsi tra loro. Riassumento lo scenario descritto da Alessio avremo :

1) il servizio/applicazione chiamante si autentica all'authority via X509. In questo contesto la specifica WS-TRust definisce un tipo di messaggio chiamato RST (Request Security Token).

2) l'authority autentica il servizio/applicazione client, verifica le policy autorizzative e crea un nuovo security token di tipo SAML che descrive l'identity del client ed eventuali informazioni aggiuntive sui ruoli e applicative.In questo contesto la specifica WS-TRust definisce un tipo di messaggio chiamato RSTR (Request Security Token Response).

3) Il chiamante passa il security token di tipo SAML al servizio target che può effettuare la verifica dell' identità del client e procedere all'esecuzione del processo di business.

Buona visione

--Mario

Internet & Identity

mfontana — Wed, 30 Jan 2008 09:24:00 GMT

Per restare in tema identità e di sforzi nel definire un identity metasystem capace di promuovere lo scambio di identità tra architetture diverse è notizia di qualche giorno fa che Microsoft è entrata a far parte del gruppo DataPortability.org, un gruppo che ha come obiettivo quello di promuovere il dibattito sulla sicurezza online, sulla distribuzione dei contenuti e sulla privacy delle persone. Infatti, come dicevo qui, la nuova vera sfida per il futuro è quella di (ri)portare gli utenti ad aver fiducia del sistema internet perchè è proprio sulla centralità dell'esperienza degli utenti che tutta l'IT sta puntando per lanciare una nuova era fatta di "interconnessioni" tra il mondo consumer e quello professionale, tra i pc e i device, tra il software che abbiamo localmente e i servizi che man mano verranno messi disponibili su internet.

--Mario

Understanding Windows Cardspace

mfontana — Tue, 29 Jan 2008 18:54:48 GMT

Finalmente disponibile il primo libro interamente dedicato a Windows Cardspace e più in generale alle problematiche di Identity Management in un ambiente eterogeneo e complesso come quello di Internet.

Ne avevo già accennato molto brevemente qui circa 3 mesi fa quando il libro ancora non era disponibile.

Tre aspetti attirano la mia attenzione già solo dalla copertina :

1) Dei libri della Addison Wesley quelli con l'etichetta David Chappell, Series Editor fanno parte per così dire di un sottogruppo elitario perchè consigliati direttamente da David Chappell che, come sappiamo, nel mondo dell' IT è un'autorità.

2) Il Foreword del libro è stato scritto da Kim Kameron - Chief Architect of Identity - di Microsoft Corporation (che tra l'altro è venuto a trovarci poco tempo fa) , ovvero la persona che può essere considerata il papà dell' Identity Metasystem.

3) L'immagine di un procione! Che nonosante la spiegazione di Vittorio in un suo post non mi ha convinto del tutto :-)

Il libro è suddiviso logicamente in 3 parti : Setting the context, The Technology e Pratical Considerations per facilitare la comprensione di un argomento che non è proprio tra i più facili: L'identity management oggi (e domani).

Nella prima parte (dove mi sembra di riconoscere lo stile di Vittorio :-) ,ma potrei sbagliarmi...) gli autori scattano una fotografia molto realistica della (triste) situazione in cui oggi ci troviamo in ambito identity management su internet. Questa introduzione fa capire a tutti, senza uso di tecnicismi o giri di parole, perchè ci troviamo a combattere contro fenomeni via via sempre più perfezionati e difficili da intercettare come i furti di identità, le frodi online e più in generale il phishing. E' in questa (triste) realtà che si arriva all'introduzione di Windows Cardspace come un tassello molto importante di un concetto molto più vasto che va sotto il nome di Identity Metasystem, ovvero di un "sistema di sistemi" capace di fornire una base di interoperabilità per le identità elettroniche tra i vari sistemi presenti e futuri. A questo proposito mi piace la molto il titolo A world without a center perchè in questa breve sentenza è racchiusa una grande verità : internet non ha un centro e come tale non ha una autorità in grado di governare e controllare le altre; è proprio in questo contesto di collaborazione che prende vita e si articola l' Identity Metasystem.

Nella seconda parte invece si entra subito nei dettagli tecnici vivisezionando Cardspace nei suoi più intimi componenti: Information Cards, la UI di Windows, l'identity selector, il supporto alla federation, integrazione con WCF e per concludere con un sempre gradito excursus (in realtà è un capitolo :-) dedicato al mondo unmanaged dando spazio alle API native in C/C++.

Nella terza ed ultima parte ci spostiamo da un'analisi prettamente tecnologica ad una serie di considerazioni che gli autori fanno grazie anche alla loro esperienza sul campo nel supporto di progetti di vari clienti nel mondo. Ho gradito molto il capitolo e le considerazioni fatte su uno degli aspetti secondo me più controversi e meno chiari oggi: l'identity provider o meglio le implicazioni nel diventare un identity provider su internet.

Perchè mi piace questo libro

Se ci soffermiamo un attimo a considerare i "nuovi" trend architetturali da quelli più consumer come il Web 2.0 a quelli più business oriented come ad esempio OBA (Office Business Applications - ovvero composite applications) fino a fenomeni più vasti come può essere quello di Software Plus Services scopriamo che portano tutti a fattor comune la centralità delle persone e la facilità di veicolare e condividere informazioni giuste al momento giusto. Un trend che Microsoft già da tempo ha sintetizzato in due parole : "People Ready" .

Purtroppo questa visione deve fare i conti con un aspetto molto umano che rischia di frenare in modo consistente la spinta verso il futuro : la sfiducia delle persone verso Internet. Stiamo parlando di percezione a 360 gradi, di sfiducia che gli utenti comuni (non gli esperti di sicurezza informatica) ripongono nelle soluzioni internet. Una sfiducia avvertita grazie e soprattutto alle numerose notizie di frodi informatiche che colpiscono gli ignari utenti di internet dandone una percezione come di un mondo parallelo dove sia difficile se non impossibile essere tutelati. Molte di queste frodi sono possibili perchè di fatto Internet non possiede un sistema di Identity Management integrato che garantisca uno dei principi base della sicurezza : chi siamo.

Ebbene, questo libro pur non essendo ovviamente orientato agli utenti finali (non mi immagino mia madre che usa spesso internet, l'email e word per scrivere i suoi testi, si metta a leggerlo :-) pone però le basi per capire in modo pratico e realistico come operare e cooperare alla realizzazione di un sistema dei sistemi o metasystem per superare l'impasse durato decenni causato dalla mancanza di un sistema di identità. Questo metasystem ha l'obiettivo di trovare dei meccanismi comuni basati su standard capaci di lavorare con più digital identities e security tokens garantendone la creazione e lo scambio. Questo approccio è esattamente l'opposto di quello che quasi tutte le grandi aziende del mondo IT che operano su Internet (Microsoft compresa) hanno cercato di fare negli ultimi decenni ovvero di imporre una particolare tecnologia su tutte...con i risultati che ben sappiamo.

Purtroppo non siamo ancora nella fase di convincimento degli utenti internet, ma piuttosto di dimostrazione agli esterti dell' IT della bontà del disegno di un sistema di identità capace di propagare le identità elettroniche tra ambienti e tecnologie diverse in modo sicuro, intuitivo e trasparente per l'utente. Windows Cardspace è quindi l'implementazione Microsoft di una componente dell' Identity Metasystem (qui sul sito di Kim potete trovarne molte altre anche per sistemi non MIcrosoft) capace di racchiudere tre aspetti fondamentali : Il supporto a qualsiasi Identity System, un uso consistente da parte dell'utente della propria identità ed infine (finalmente) un meccanismo che possa mettere in soffitta l'uso delle password.

Convincere gli esperti significa da un lato dimostrare la bontà dell'architettura (sicurezza, scalabilità, ecc..) e dall'altro evidenziare tutti gli aspetti implementativi e di supporto come nel caso di Windows Cardspace. In entrambi i contesti il libro di Vittorio, Garrett e Caleb è sicuramente la migliore lettura.

Bravo Vittorio ;-)

--Mario

Strategic Architect Forum (SAF): ecco i video e slides

mfontana — Mon, 10 Dec 2007 13:06:18 GMT

Riprendendo il post di Giuseppe sul SAF ieri sono state rese disponibili le slide, i video e i transcript dell'intero evento. Un evento dai contenuti molto interessanti per chi lavora nelle architetture software.

Focalizzandoci sugli aspetti di sicurezza consiglio di scaricare il materiale di Slava Kavsan sull'evoluzione dell' Identity Management in Internet. Ecco l'agenda della sessione:

Pur essendo tutte sessioni molto importanti consiglio assolutamente:

Changing the World with Software and Services - Donald Ferguson
Project Astoria : Data Services for the Web - Pablo Castro
Anatomy of An S+S Application - Eugenio Pace
Composite Application Architectures Using the 2007 Office System - Scott Jamison
Claims-Based Identity Layer for the "New Internet" - Slava Kavsan
User Experience for Architects - Simon Guest

--Mario

Vittorio for President...

mfontana — Sat, 27 Oct 2007 16:46:50 GMT

Come altra "anima della sicurezza" (non è una esclamazione colorita) non posso che associarmi con immensa gioia ai già numerosi cori del Toto-Vittorio :-)

Vittorio Bertocci (qui lo potete vedere direttamente dal suo Identity Selector) è un ex collega di MCS (Microsoft Consulting Services) che tempo fa è emigrato in quel di Redmond e in poco tempo è diventato Mr CardSpace nel mondo. In questi giorni ha ricevuto la nomination per l' ID People Award (super complimenti) e quindi votiamo votiamo votiamo... Vittorio 4 President :-)

Tra l'altro Vittorio è stato anche il primo a scrivere un intero libro sull'argomento !!

--Mario

Mr. Identity Metasystem

mfontana — Sat, 27 Oct 2007 14:56:23 GMT

L'altro giorno Kim Kameron (Architect of Identity and Access in the Connected Systems Division) è venuto a farci visita a Segrate. Kim si può considerare il papà di ADFS, CArdSpace, Identity Integration Services nonchè delle famose 7 leggi dell’identity.

La mattina abbiamo avuto un incontro interno tra i vari software Architects di Microsoft Italia e Kim per confrontarci sul ruolo dell' Identity Management all'interno delle architetture applicative presenti e future mentre nel pomeriggio abbiamo avuto un meeting con alcuni MVP (da sinistra : Raffaele, Giancarlo, Riccardo, Andrea, Lorenzo e Nino) oltre al mitico A_Lead .
Come sempre gli incontri con gli MVP sono pieni di spunti e di sorprese (Raffaele ha dato il meglio di se...).

Ovviamente non poteva mancare la foto con il "gigante" della sicurezza :-)

e alla fine, come sempre nei migliori meetings, dopo confronti e discussioni un aperitivino tutti insieme non fa mai male...

Poi, vista l'ora ci siamo trovati a mangiare e bere seriamente (seriamente è riferito al cibo non ai contenuti delle chiacchiere :-))
Una nota importante riguardo a questa foto: notare i bicchieri di birra ovviamente vuoti, ma soprattutto il coltello tra me e Raffaele che è puramente un caso :-) confermi Raffaele?? :-)

--Mario