PROCEDURA APERTA
REGIONE BASILICATA
PROCEDURA APERTA
(AI SENSI DEL D.LGS.163/2006 E S.M.I.)
PER L'ACQUISIZIONE DEL SERVIZIO EVOLUTIVO E DI ASSISTENZA SPECIALISTICA DEL SISTEMA INFORMATIVO LAVORO BASIL DELLA REGIONE BASILICATA
P.O. FSE Basilicata 2007-2013
Community Network Regione Basilicata
ALLEGATO C/2
C e n t r o T e c n i c o R e g i o n a l e – R e g i o n e B a s i l i c a t a
Versione 00_05 | GigaRupar - Documentazione - geertini |
Progetto
“la continuazione, l’ampliamento e l’innovazione dei servizi di connettività della Rete Unitaria della Pubblica Amministrazione a livello Regionale
e dei relativi servizi di base” (categoria 7 – cpc 84)
Community Network Regione Basilicata
Versione 00_05 | GigaRupar - Documentazione - geertini |
Approvazione per rilascio
Nome | Data | Firma | |
Redatto da | Xxxxxxx Xxxxxx Xxxxxxxxx Xxxxxxxxx Xxxxxxx Xxxxxx Xxxxxxxx De Palma | 11/07/08 | |
Revisionato da (Capo Progetto) | Xxxxxxxxxx Xxxxxxxxxx | ||
Approvato da (Responsabile del Contratto) | Xxxxxxxxx Xxxxxxxxx |
Stato delle revisioni
Versione | Data | Autore | Descrizione | Paragrafi modificati |
00_00 | 11/07/08 | Xxxxxxx Xxxxxx | Prima versione | Tutti |
00_01 | 16/10/08 | Xxxxxxx Xxxxxx | Revisione | Tutti |
00_02 | 18/02/09 | Xxxxxxx Xxxxxx Xxxxxxx Xxxxxx | Revisione | 2.2 4 4.1 |
00_03 | 14/01/10 | Xxxxxxx Xxxxxx | Stesura | 4, 4.1, 4.2 |
00_04 | 15/01/10 | Xxxxxxx Xxxxxx | Stesura | 4.3 |
00_05 | 19/01/10 | Xxxxxxxx Xxxxxxxx Xxxxxxx Xxxxxx | Stesura | 5, 6, 7 |
Distribuzione
Questo documento e’ per uso del personale della Regione Basilicata ed eventuali consulenti esterni coinvolti nel progetto. Il documento, o parti di esso, non devono essere passate o comunicate ad ogni altro individuo o organizzazione senza il permesso scritto del proprietario.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Il file per questo documento e’ archiviato come: Community Network Regione Basilicata.doc
Descrizione Acronimi
Acronimo | Descrizione |
CN | Community Network |
CTR | Centro Tecnico Regionale |
SPC | Sistema pubblico di connettività |
Versione 00_05 | GigaRupar - Documentazione - geertini |
Indice
Pagina n.
Approvazione per rilascio 3
Stato delle revisioni 3
Distribuzione 3
Descrizione Acronimi 4
1 Introduzione 6
1.1 Scopo 6
1.2 Documentazione di riferimento e specifiche 6
2 Infrastruttura di trasporto 7
2.1 Introduzione 7
2.2 Backbone regionale ottico 9
2.2.1 L’infrastruttura regionale di Ethernet Routing Switch 12
2.2.2 Servizi di connettività al territorio 15
2.2.3 Connettività CN Regione Basilicata verso Internet e XXX 00
2.2.4 Connettività Infranet XXX 00
3 I servizi della CN Regione Basilicata 21
3.1 Servizi di connettività al territorio 24
3.2 Servizi di sicurezza 24
3.3 Servizi di interoperabilità di base e servizi applicativi 24
3.4 Servizi di supporto 25
4 Il Data Center 26
4.1 Infrastruttura di interoperabilità 26
4.2 Infrastruttura di interoperabilità UNICA 27
4.2.1 Specifiche generali 27
4.3 Infrastruttura ICAR e SPC-coop 29
4.3.1 INF-1 29
4.3.2 INF-2 31
4.3.3 INF-3 32
4.3.4 Architettura attuale della Regione Basilicata 34
5 Basilicatanet 2009 37
5.1 Obiettivi 37
5.2 Target 37
5.3 Struttura servizi e contenuti 38
5.3.1 Aree e contenuti 38
5.3.2 Cittadino 39
5.3.3 Impresa 39
5.3.4 Enti 40
6 Circolarità anagrafica 41
7 Identity management 43
7.1 SAML Web Single Sign On 43
8 Standard tecnologi presenti 45
Versione 00_05 | GigaRupar - Documentazione - geertini |
1 Introduzione
1.1 Scopo
Lo scopo del presente documento è di illustrare, in maniera sintetica anche se non esaustiva, lo stato dell’arte dell’infrastruttura di trasporto e dei servizi erogati dalla community network della Regione Basilicata, realizzata mediante l’attuazione del progetto GIGARupar.
1.2 Documentazione di riferimento e specifiche
▪ Progetto GIGARupar: Offerta_Tecnica_Completa.pdf
▪ CNIPA quaderno n°5:
xxxx://xxx.xxxxx.xxx.xx/xxxx/_xxxxxxxxxxxx/00000000/0000000_xxxxx_xxxxxxxx
_n5_2004.pdf
▪ Capitolato Tecnico SPC
▪ Servizi di sicurezza qualificati (SPC,Tec,I,S,34,0,72.doc)
▪ Qualità e prestazione dei servizi SPC (SPC,Qualità prestazioni,Q,3.0.doc)
▪ Sistema Pubblico di Connettività Community Networks (SPC,Community Networks,Q,1.0.doc)
▪ Livelli di servizio per il sistema pubblico di connettività SPC
▪ INF-1 xxxx://xxxx.xxxxx.xx:0000/xxxx/XXXX%00xxxx/xxx-0/Xxxxxxxxx%00XXX-0/
▪ INF-2 xxxx://xxxx.xxxxx.xx:0000/xxxx/XXXX%00xxxx/xxx-0/Xxxxxxxxx%00XXX-0/
▪ INF-3 xxxx://xxxx.xxxxx.xx:0000/xxxx/XXXX%00xxxx/xxx-0/Xxxxxxxxx%00XXX-0/
▪ AP-1 xxxx://xxxx.xxxxx.xx:0000/xxxx/XXXX%00xxxx/xx-0/Xxxxxxxxx%00XX-0/
Versione 00_05 | GigaRupar - Documentazione - geertini |
2 Infrastruttura di trasporto
2.1 Introduzione
La rete GIGARupar (vedi figura 2.1) è stata disegnata ponendo particolare attenzione agli aspetti di trasporto dei servizi ed alle applicazioni erogate dalle pubbliche amministrazioni aderenti al progetto.
La soluzione realizzata è una rete multilivello integrata nei servizi e nell’infrastruttura che:
▪ ha permesso un processo di migrazione ottima nel passaggio dalla vecchia rete RUPAR all’innovativa rete GIGARupar
▪ assicura servizi di trasmissione dati Multimediali, di telefonia analogica, digitale, ed IP
▪ consente di avere prestazioni di rete adeguate alle necessità attuali e del prossimo futuro grazie alla facile evoluzione della rete verso altissime capacità di banda su singola coppia di fibre e con supporto multiservizio
▪ implementa un sistema di gestione semplice ed efficiente
Inoltre particolare attenzione è stata posta agli aspetti di continuità del servizio. Infatti, tutte le piattaforme offerte rendono disponibili efficaci meccanismi di protezione e di affidabilità.
Dal punto di vista architetturale la rete è organizzata a più livelli:
▪ back-bone regionale ottico;
▪ back-bone regionale Ethernet Routing Switching e reti metropolitan;
▪ connettività GIGARupar verso Internet;
▪ piattaforma per i servizi di IP-telephony e Multimediali;
▪ Servizi di connettività al territorio;
Le modalità di connessione delle pubbliche amministrazioni locali alla community network della Regione Basilicata sono le seguenti:
• Tramite collegamento in fibra all’anello ottico regionale;
• Tramite collegamento HDSL/ADSL che converge sull’anello ottico Regionale;
• Tramite collegamento WiFi che converge sull’anello ottico Regionale;
• Tramite collegamento con accesso dialup (ISDN) che converge sull’anello ottico Regionale;
Versione 00_05 | GigaRupar - Documentazione - geertini |
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 2.1: la GIGARupar e il territorio
2.2 Backbone regionale ottico
Dal punto di vista architetturale e topologico la soluzione di rete ottica consiste in un anello ottico multiservizio DWDM (figura 2.2) costituito da 7 siti primari della rete della Regione Basilicata e da una derivazione periferica rispetto all’anello (collegamento punto-punto DWDM tra le sedi di Potenza e Melfi), per una copertura totale degli 8 siti di seguito elencati:
▪ Potenza Sede Regionale di Via Anzio;
▪ Tricarico ospedale;
▪ Matera ospedale;
▪ Bernalda sede regionale Isca Pantanello (Agrobios);
▪ Policoro ospedale;
▪ Lagonegro ospedale;
▪ Villa d’Agri ospedale;
▪ Melfi ospedale;
Figura 2.2: Xxxxxx topologico della rete (core-backbone ottico)
Versione 00_05 | GigaRupar - Documentazione - geertini |
Il trasporto del traffico sulla nuova rete ottica è stato realizzato in tecnologia DWDM (Dense Wavelenght Division Multiplexing) e si basa sul portafoglio di prodotti e soluzioni Nortel Optical Metro 5000, in particolare sulla piattaforma DWDM Nortel Optical Metro 5200, completa di interfacce di servizio, multiplatori ottici passivi (Optical Multiplexer) e amplificatori di linea (Optical Line Amplifier), progettata per inserire e veicolare con efficacia le varie tipologie di segnale richieste su di un’unica coppia di fibre ottiche.
Figura 2.3: Topologia completa dei collegamenti core-backbone ottico
L’architettura logica della dorsale ottica prevede una distribuzione dei collegamenti GigabitEthernet concentrata sulla sede della Regione di Potenza-Via Anzio: ognuno dei siti sopra elencati ha la disponibilità di un canale protetto a 2,5Gbps (lambda) verso Potenza con un espandibilità fino a 64Gbps ( 32 lamba) sull’anello.
Le trunk ATM tra i nodi Passport che costituivano il backbone della vecchia Rupar, sono state, tramite opportune integrazioni e collegamenti, mantenute in servizio ampliandole a velocità 155Mbps, mappate su un unico canale a 2,5Gbps (lambda) messo a disposizione sul core-backbone ottico e realizzato come una sequenza di link WDM punto-punto tra i nodi di Melfi, Potenza, Matera, Policoro e Lagonegro.
Versione 00_05 | GigaRupar - Documentazione - geertini |
La tecnologia utilizzata garantisce meccanismi di protezione mediante l’uso di apparati e link in fibra duplicati ad alta affidabilità.
Versione 00_05 | GigaRupar - Documentazione - geertini |
2.2.1 L’infrastruttura regionale di Ethernet Routing Switch
L’infrastruttura di Ethernet Routing Switch, ovvero i Servizi di Trasporto IP per accessi permanenti (aventi funzioni di switching L2-L3) degli utenti della Regione Basilicata, è stata realizzata con dei nodi di Core, Distribuzione ed Accesso, posti presso le sedi della Regione e gli ospedali raggiunti dalla Fibra Ottica.
La rete d’accesso per i servizi IP (figura 2.4), si articola su una architettura a tre livelli:
▪ Livello di accesso (ERS5510-24T): costituisce il punto al quale si connettono i PC utente o i server dipartimentali. A questo livello si effettua il routing e switching tra utenti locali e la gestione dei due link 1000Base(SX, LX, CWDM) utilizzati per la connessione al nodo di Distribuzione.
▪ Livello di Distribuzione (ERS8610): costituisce il punto al quale sono connessi i link in FO provenienti dal livello d’Accesso e quelli destinati al livello di Core. A questo livello si effettua il Routing del traffico IP tra i diversi nodi di Accesso.
▪ Livello di Core (ERS8610): costituisce il punto di concentrazione di tutto il traffico destinato al Centro Servizi di Potenza.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 2.4: Struttura logica di accesso ai servizi IP permanente della Regione Basilicata
L’innovazione nei servizi di connettività della rete realizzata, è rappresentata dall’utilizzo di un unico protocollo IP, istradato su Fibra Ottica dallo switch d’Accesso d’utente, fino alla Server Farm di Potenza.
L’affidabilità dei servizi IP, nel suo complesso, è nettamente migliorativa, poiché:
▪ sono diminuiti gli apparati e le funzioni esistenti, tra utente ed i Server Applicativi, permettendo analisi ed interventi più rapidi in caso di fault.
▪ Le MAN sono realizzate mediante dei ring protetti (Est-Ovest), o mediante dei collegamenti Punto-Punto
▪ Ogni apparato attivo della rete IP di Distribuzione e Core, è provvisto di elementi modulari, ridondati in alimentazione, CPU, e moduli di connettività alla rete WAN/MAN
▪ Ogni flusso Informativo IP, è riprotetto su diversi instradamenti fisici e/o logici,
Versione 00_05 | GigaRupar - Documentazione - geertini |
▪ Ogni flusso ed apparato sono gestiti direttamente dal centro servizi della Regione Basilicata (C.T.R.)
Versione 00_05 | GigaRupar - Documentazione - geertini |
2.2.2 Servizi di connettività al territorio
Come precedentemente annunciato le modalità di connessione delle pubbliche amministrazioni locali alla CN della Regione Basilicata, quando non connesse direttamente con link all’anello ottico, sono le seguenti:
• Collegamento HDSL/ADSL che converge sull’anello ottico Regionale;
• Collegamento WiFi che converge sull’anello ottico Regionale;
• Collegamento con accesso dialup (ISDN) che converge sull’anello ottico Regionale;
Internet
WiFi
DMZ
Regione Basilicata
Ospedale Venosa 000.00.00.000/00
Crob rionero 000.00.00.000/00
000.00.00.00/00
Proxy
Firewall DMZ
ISDN
000.00.00.00/00
XXX-Xxxxx 000.00.00.0/00
000.00.00.0/00
Max-Potenza 000.00.00.00/00
BackBone Ottico
ERS_8610 Melfi
000.00.00.00/00
ADSL/HDSL
000.00.00.00/00
Università Xxxxxxxx Xxxxx IP da assegnare
WiFi
Università Macchia Romana
ISDN
172.20.22.41/24
XX xx xxxxxxxxx
000.00.00.000/00
Xxxxxxxx Xxxxxxxxx 000.00.000.000/00
000.00.00.0/00
ERS_8610
Potenza
Comune Potenza IP da Assegnare
000.00.00.00/00
ISDN
Xxx-Xxxxxxxxx 000.00.000.000/00
000.00.00.00/00
000.00.00.00/00
ERS_8610 Matera 000.00.000.000/00
Ospedale San Carlo 000.00.00.00/00
Ospedale Policoro 000.00.000.000/00
BackBone Ottico
000.00.00.00/00
Ospedale VillaD’agri 000.00.00.0/00
Xxxxxxxx Xxxxxxxx 172.16.200.254
Xxxxxxxx Xxxxxxxxx 000.00.00.0
Xxxxxxx Xxxxxxxxxx Xxxxxx 000.00.00.0/00
ISDN
ISDN
XXX-XxxxxX’Agri 000.00.00.000/00
MAX-Matera
Figura 2.5: Servizi di connettività al territorio
Versione 00_05 | GigaRupar - Documentazione - geertini |
2.2.3 Connettività CN Regione Basilicata verso Internet e SPC
ATM/0.1
Link Internet
Link Infranet SPC
I servizi di connessione ad Internet sono offerti mediante il Backbone Internet Nazionale di Telecom Italia identificata dall’Autonomous System (AS 3269) e della rete GARR identificata dall’Autonomous System (AS 137) (figura 2.6). A destra della stessa figura possiamo notare il collegamento Infranet ad SPC che permetterà alla CN Regione Basilicata l’accesso al QXN.
Figura 2.6: Connettività CN Regione Basilicata verso Big Internet e SPC
La rete IP di Telecom Italia è la più grande rete Internet italiana, direttamente collegata alle reti di altri ISP (Internet Service Provider) tramite peering privati (o diretti) e/o con peering pubblici (IXP o NAP) realizzati presso uno dei punti neutri di interconnessione italiani presenti a Roma (NAMEX), a Milano (MIX), a Torino (TOPIX) ed in Toscana (TIX).
La connettività verso la Big Internet (per le destinazioni che non siano interne oppure coperte dai Peering) avviene attraverso il Backbone Internazionale di SEABONE (figura 2.8).
Versione 00_05 | GigaRupar - Documentazione - geertini |
Telecom Italia/P.A.thNet fornisce un accesso, attestato alla Sede Centrale della Regione Basilicata, sita a Xxxxxxx, xxx xxxxx Xxxxxxx Xxxxxxxxxx 0, con profilo BMA pari a 100Mb/100Mb e Banda Fisica uguale, terminato su un router Cisco 7206. La rete offerta è del tipo Always On.
Gli assegnamenti degli indirizzi IP pubblici della LIR BASILICATANET appartengono alla network 78.40.168.0/21.
2.2.4 Connettività Infranet SPC
La connettività a SPC è realizzata mediante un collegamento a 2Mbps effettivi in bilanciamento, con livello di servizio L4, tipologia TR high performance e best effort SPC Infranet, senza finestra di erogazione estesa.
I servizi di sicurezza per questo accesso, così come concordato con il CNIPA, sono gestiti dall’Amministrazione Regionale.
Le Classi di indirizzi ip da ruotare sono le seguenti:
• Network Infranet (Pool A) : Assente
• Network Internet + Infranet (Pool B) :00.00.000.0/00 e 78.40.170.0/23 .
• Network Client Nat (Pool C) : 00.00.000.0/00.
• Autonomomus System 35110.
• Network AS 35110 78.40.168.0/22 (address plan Ente)
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 2.7: Piano di indirizzamento SPC
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 2.8: Albero AS Regione Basilicata
La Rete della Basilicata è interconnessa anche alla rete GARR con una connessione a 155 Mb secondo lo schema seguente:
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 2.9: connettività GIGARupar verso GARR
Versione 00_05 | GigaRupar - Documentazione - geertini |
3 I servizi della CN Regione Basilicata
L’elenco dei servizi sottostante è da intendersi a livello indicativo e non esaustivo, ricordiamo inoltre che i servizi della CN della Regione Basilicata sono gestiti dal Centro Tecnico Regionale che per far fronte alle diverse problematiche, ed in base allo skill tecnico del personale, è suddiviso per aree di interesse.
In coerenza con il contesto descritto la struttura organizzativa prevista per il CTR si articola secondo le seguenti aree tecnico funzionali come di seguito riportate:
• area “Trasporto dell’Informazione”
• area “Interoperabilità e Integrazione dei servizi”
• area “Front-office centrale”
• area “Security Team”
Tali aree sono coordinate e controllate dalla funzione di “Project Management” a cui è conferita la responsabilità complessiva del Centro Tecnico Regionale e il compito di interfacciarsi con i soggetti coinvolti come la Direzione dell’Ufficio SISI ed il Comitato Paritetico della gara RUPAR+, nonché il Team complessivo del progetto RUPAR+.
Di seguito si riporta l’organigramma funzionale di riferimento con l’indicazione anche delle diverse sottoaree in cui si articolano le aree precedentemente indicate.
Figura 3.1: Organigramma CTR
Il Project Manager del CTR ha la responsabilità del corretto svolgimento del servizio nel suo complesso e del relativo controllo e monitoraggio, interfacciandosi con le relative
Versione 00_05 | GigaRupar - Documentazione - geertini |
funzioni di controllo della Regione Basilicata e con il Team di progetto RUPAR+ nel suo complesso.
Sono previste inoltre una o più risorse specialistiche nei settori della gestione amministrativa e della progettazione ICT identificati in termini di profilo professionale come:
• Specialista amministrativo
• Specialista di progettazione
Per ciascuna delle altre area è previsto un responsabile identificati in termini di profilo professionale rispettivamente come:
• Specialista senior area rete
• Specialista senior area Interoperabilità
• Specialista senior area Web
• Specialista senior area Security
All’intermo delle aree sono inserite diverse risorse identificate in termini di profilo professionale come:
• Specialista junior area rete
• Specialista junior area Interoperabilità
• Specialista junior area web
• Specialista junior area Help Desk
• Specialista junior area Security
Il modello organizzativo adottato, al fine di essere il più flessibile possibile in termini di impegno delle risorse, prevede che i profili professionali di riferimento non sono strettamente legati all’area funzionale in cui vengono impegnati, ma a seconda degli ambiti tecnologici e dei progetti che devono essere gestiti alcuni profili professionali vengono impiegati in più aree funzionali.
Di seguito si riporta una matrice di corrispondenza tra le aree funzionali e i profili professionali di riferimento che esplicita quanto detto.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Figura 3.2: Griglia profili professionali/aree funzionali
Versione 00_05 | GigaRupar - Documentazione - geertini |
3.1 Servizi di connettività al territorio
L’area Trasporto dell’Informazione del Centro Tecnico Regionale si occupa dei servizi di connettività al territorio. In particolare, le porte di rete del GIGARuapr sono in grado, in funzione delle specifiche esigenze di ciascuna amministrazione utente del servizio:
▪ di fornire il servizio di tipo best effort tipico dei protocolli IP nativi, soggetto ai livelli minimi di qualità di servizio;
▪ di erogare servizi con QoS garantita per la fruizione del voip e dei servizi multimediali dei nuova generazione;
▪ di consentire la realizzazione di VPN Ipsec site-to-site all’interno dei domini delle Amministrazioni;
▪ le reti sono realizzate utilizzando apparati IPv4, tale implementazione potrà essere facilmente migrata ad IPv6 data la compatibilità degli apparati utilizzati nella realizzazione del progetto GIGARupar;
La connettività IP è assicurata attraverso varie tipologie di accesso fisico, quali:
▪ Accessi permanenti;
▪ Accessi commutati; (RAS ISDN)
▪ Accessi xDSL; (connettività MPLS)
▪ Accessi SDH; (progetto Infratel)
▪ CDN;
▪ Fibra Ottica;
▪ Wireless;
3.2 Servizi di sicurezza
I’area Security Team del Centro Tecnico Regionale si occupa in particolare:
• della gestione di reti private virtuali, site-to-site e client-to-site basate su protocollo IPSec;
• di apparati firewall perimetrali e centralizzati;
• di un sistema di log centralizzato;
• di un sistema antivirus per i pc client della Regione Basilicata, con distribuzione delle firme per mezzo di un server di distribuzione delle stesse;
• di un sistema di gateway di posta antivirus ed antispam;
• di un sistema di intrusion detection per la gestione e la prevenzione degli attacchi e degli abusi;
3.3 Servizi di interoperabilità di base e servizi applicativi
L’area Interoperabilità e Integrazione dei servizi del Centro Tecnico Regionale si occupa:
• dell’hosting e dell’housing dei servizi della CN;
• del collegamento a Internet, proxy server;
• del servizio di posta elettronica;
• del servizio di accesso alla rete con smartcard;
• del servizio di risoluzione nomi DNS primario e secondario autoritativo;
• del servizio di temporizzazione di rete NTP;
Versione 00_05 | GigaRupar - Documentazione - geertini |
• del servizio di trasferimento di file FTP;
• del collegamento a banche dati;
• del web hosting per le pubbliche amministrazioni afferenti;
• degli internet social point;
• della posta certificata;
• della firma digitale;
3.4 Servizi di supporto
L’area Front-office centrale del Centro Tecnico Regionale si occupa:
• del network management;
• del call center;
• del controllo prestazioni;
• della formazione per il personale tecnico dell’Amministrazione;
Versione 00_05 | GigaRupar - Documentazione - geertini |
4 Il Data Center
Il data center della Regione Basilicata è stato realizzato e progettato su una architettura capace di ottimizzare i flussi dati provenienti dai diversi enti e classificarli in percorsi ottimali a seconda del servizio da erogare.
Il data center offre i servizi elencati nel paragrafo precedente alla rete di Campus Regionale ed agli enti presenti sul territorio della Basilicata facente parte della Community Network Regione Basilicata.
Gli alti standard di qualità dell’infrastruttura, realizzata con il progetto RUPAR+, hanno permesso di migliorare l’affidabilità dell’intero sistema sfruttando apparati ridondati, ed una maggiore sicurezza è stata ottenuta con l’aggiunta di nuovi firewalls in posizioni critiche e la sostituzione di apparati obsoleti con altri che offrono prestazioni superiori.
Il data center è disposto su due locali uno al piano terra ed uno al piano -1 del palazzo della Giunta Regionale, attualmente sono utilizzati circa 30 armadi rack da 42U e disponiamo di spazio a sufficienza per ospitare almeno altri 15 armadi rack da 42U.
Inoltre i due locali dispongono di pavimenti galleggianti, sistemi di climatizzazione, sistemi di sicurezza e controllo conformi agli standard.
4.1 Infrastruttura di interoperabilità
Nel data center della Regione Basilicata sono ospitati dispositivi hardware eterogenei, possiamo contare su 185 server dei maggiori vendor (IBM, HP, DELL, INTEL), un data storage della EMC2, due IBM SAN Storage e qualche sistema NAS.
Molte architetture di servizio dispongono di server ad essi dedicati come quelle dei progetti: Basilicatanet, Hosting Comuni, DNS Primario e Secondario, Bas2009, BasAnag, ICAR, MS Exchange Server 2007, BasRefer, PolBas, TriBas, etc…
Anche per quanto riguarda i database server e gli application server disponiamo di un ambiente eterogeneo e proveniente dai maggiori leader tecnologici del settore.
Infatti abbiamo database server delle seguenti tecnologie:
• MySQL Server;
• Microsoft SQL Server;
• Oracle;
Ed application server delle seguenti tecnologie:
• Microsoft IIS;
• Apache Server;
• Tomcat;
• JBoss;
• Java Platform;
Va aggiunta all’infrastruttura di data center la nuova architettura di virtualizzazione basata su:
Versione 00_05 | GigaRupar - Documentazione - geertini |
• Microsoft Hyper-V in alta affidabilità su di un cluster a quattro server fisici e su san storage da 3TB.
• Open-Xen su sistema operativo CentOS 5.3 ed in configurazione stand-alone. Questa architettura di virtualizzazione ci ha permesso di consolidare, tutti quei servizi applicativi che erano ospitati su hardware obsoleto e fuori assistenza, in un ambiente tecnologico scalabile ed in alta affidabilità.
Da quanto detto, si capisce l’esigenza di regolamentare gli standard infrastrutturali/applicativi che ha motivato la progettazione di un’unica infrastruttura atta ad ospitare le applicazioni regionali orientata ai paradigmi SOA e SOE che descriviamo nel paragrafo seguente.
4.2 Infrastruttura di interoperabilità UNICA
Come già anticipato, abbiamo pensato di realizzare un'unica infrastruttura applicativa in alta affidabilità per assolvere alle esigenze degli attuali progetti applicativi regionali, con l’ambizione di poterla rendere scalabile al punto da poter accogliere anche le possibili esigenze applicative future.
L’infrastruttura prevede la ridondanza di ogni elemento hardware sia ai fini dell’affidabilità che del carico di lavoro. L’architettura che ne risulta è quindi facilmente espandibile nel caso in cui esigenze future lo dovessero richiedere senza alterare il disegno complessivo della soluzione.
4.2.1 Specifiche generali
Questa architettura multilivello, basata su tecnologia Red Hat Enterprise Linux 5, riesce a fornirci alta affidabilità e scalabilità in tutti i suoi livelli logici di servizio.
In particolare riesce ad astrarre i seguenti livelli logici:
• Bilanciamento di sessioni: due nodi fisici espongono uno o più LVS che in round xxxxx distribuiscono e bilanciano le richieste di sessioni ai front-end;
• Front-end: due nodi fisici con il servizio Apache2 prendono in carico le sessioni, gestiscono eventuali virtual host e passano eventuali richieste lato applicativo ai middleware;
• Middleware: quattro nodi fisici su cui è possibile istanziare n Tomcat, inoltre sfruttando il clustering tomcat si riescono a gestire le n chiamate interagendo con il database server di back-end;
• Back-end: due nodi fisici espongono il servizio Mysql in configurazione Red Hat clustering attivo/passivo. Gli stessi nodi espongono in cluster anche il servizio NFS che permetterà ai Middleware di usare un'unica area su SAN per le Webapp;
Versione 00_05 | GigaRupar - Documentazione - geertini |
• Virtualizzazione: due nodi fisici gestiscono il servizio di virtualizzazione di Red Hat, questo permetterà di realizzare sia la parte applicativa delle porte di dominio regionali che quelle dedicate agli enti;
• SAN: Storage Area Network in fibra con controller e switch ad alta affidabilità da 4Gb/s, con 12 HD da 1TB cadauno in configurazione raid 5. Con questa configurazione abbiamo 10TB di storage disponibili.
L’architettura che ne risulta è rappresentata dallo schema seguente:
Versione 00_05 | GigaRupar - Documentazione - geertini |
4.3 Infrastruttura ICAR e SPC-coop
4.3.1 INF-1
Il task INF-1 parte dal presupposto dell’esistenza di insiemi di enti che, per ragioni organizzative, hanno realizzato un sistema di cooperazione conforme alle specifiche SPCoop, nel seguito indicato con il termine “Rete Privata SPCoop di Enti Cooperanti”, o più brevemente Rete Privata SPCoop.
In questo contesto, nasce quindi la necessità di interconnettere tra loro varie Reti Private SPCoop, rispettando comunque le specifiche SPCoop non solo tra soggetti all’interno delle reti private stesse, ma anche nelle interconnessioni tra soggetti appartenenti a reti diverse.
INF-1 propone per la prima volta il dispiegamento dello standard SPCoop su una struttura articolata e complessa come quella interregionale, dove appare abbastanza evidente l’esigenza di organizzare una topologia dell’infrastruttura di cooperazione in cui due enti afferenti a diverse regioni possano cooperare tra loro senza bisogno di un collegamento fisico punto punto diretto.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Al fine di realizzare l’interconnessione, il task INF-1 realizza un insieme di componenti SPCoop detto Nodo di Interconnessione per la Cooperazione Applicativa (indicato con l’acronimo NICA) come unico punto di ingresso/uscita della “Rete Privata SPCoop di Enti Cooperanti”.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Il principale componente del NICA è una porta di dominio chiamata PdD SPCoop-ICAR. Nel seguito del documento con il termine PdD SPCoop-ICAR si intende una porta di dominio conforme alle specifiche SPCoop ma estesa con alcune funzionalità e in cui sono state prese decisioni di livello implementativo.
Il NICA ospitari servizi a valore aggiunto previsti nella specifica SPCoop, come un registro SICA di secondo livello dei servizi erogati dagli enti regionali, e un Gestore Eventi in grado di supportare comunicazioni di tipo EDA a livello regionale ed interregionale.
Il risultato ottenuto è la realizzazione di un NICA (ossia un insieme di componenti software per la tra cui Porta di Dominio, Registro dei Servizi e Gestore degli Eventi) pronto per la soluzione delle problematiche Interregionali raggiungendo così pienamente gli obiettivi del task INF-1.
4.3.2 INF-2
I componenti architetturali di pertinenza del Task infrastrutturale INF-2 si articolano lungo tre linee di intervento: specifica dei livelli di servizio negli accordi di servizio, sistema di tracciatura e sistema di monitoraggio.
Versione 00_05 | GigaRupar - Documentazione - geertini |
4.3.3 INF-3
Di seguito sono mostrate le entità coinvolte nell’erogazione dei servizi di autenticazione federata INF-3 e le relative interfacce
Versione 00_05 | GigaRupar - Documentazione - geertini |
<<component>>
User Agent
SP Interface
<<component>>
Service Provider
<<component>>
Layer INF-1
SP User Interface INF-1 Interface
LP Interface
LP User Interface
<<component>>
Local Proxy
<<component>>
Authority Registry
AR Interface
PA Interface
<<component>>
Profile Authority
PA User Interface
INF-3
IdP User Interface
AA Interface
<<component>>
Identity Provider
<<component>>
Attribute Authority
Figura 1. Vista architetturale d’insieme del sistema federato di autenticazione
Si fornisce qui di seguito una sintetica descrizione di ciascun componente e delle interfacce offerte. Lo User Agent è un client web (per esempio un web browser) usato dall’utente per accedere ai servizi offerti dai Service Provider. Allo User Agent si richiede di supportare i protocolli HTTP e HTTPS con scambio mutuo di certificati tra client e server.
Il Service Provider è il fornitore dei servizi applicativi. Il Service Provider espone due interfacce:
• SP User Interface: permette agli utenti l’accesso via web tramite User Agent ai servizi offerti;
• SP Interface: permette l’interazione con altri Service Provider in modalità di cooperazione applicativa.
Il Local Proxy è il componente che, dal punto di vista del Service Provider, si comporta da proxy verso l’infrastruttura di autenticazione federata. Il componente espone due interfacce:
• LP User Interface: l’interfaccia utente per l’interazione con l’utente tramite User Agent
• LP Interface: l’interfaccia applicativa per l’interazione con altri componenti architetturali, per esempio il Service Provider.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Si notino le dipendenze d’uso esistenti tra il Local Proxy e la Profile Authority, e tra quest’ultima e l’Identity Provider.
L’Authority Registry è il componente che permette di recuperare gli URI e altre informazioni relative alle authority in base al loro nome logico. Esso espone un’interfaccia:
• AR Interface: l’interfaccia applicativa che supporta le operazioni di interrogazione del registro.
L’Identity Provider è il componente responsabile della certificazione dell’identità degli utenti. Esso espone un’interfaccia:
• IdP User Interface: l’interfaccia web destinata all’immissione delle credenziali di autenticazione da parte dell’utente.
La Profile Authority è il componente che svolge il ruolo di repository dei profili utente e che si occupa di interagire con l’Identity Provider quando l’utente si deve autenticare. Esso espone due interfacce:
• PA Interface: l’interfaccia applicativa che supporta le operazioni di interrogazione dei profili utente.
• PA User Interface: l’interfaccia web per l’interazione con l’utente (creazione e gestione dei profili utente, scelta dell’Identity Provider, selezione del profilo, ecc.).
In casi particolari questo componente può agire da Attribute Authority. La Attribute Authority è il componente in grado di certificare gli attributi presenti in un profilo utente. Esso espone un’interfaccia:
• AA Interface: l’interfaccia applicativa che supporta le operazioni di interrogazione per la validazione degli attributi utente.
Infine, il layer INF-1 permette l’interazione applicativa inter-dominio offrendo ai componenti di INF-3 (in particolare ai Service Provider) un’opportuna interfaccia:
• INF-1 Interface: l’interfaccia applicativa offerta ai Service Provider per la fruizione di altri servizi in cooperazione applicativa.
4.3.4 Architettura attuale della Regione Basilicata
Negli schemi che seguono riportiamo la logica dell’architettura della Regione Basilicata che è strata realizzata secondo le specifiche descritte nella documentazione in elenco al paragrafo 1.2.
Versione 00_05 | GigaRupar - Documentazione - geertini |
INTERNET
Firewall internet
PD
NICA
Figura 2: Architettura attuale Regione Basilicata
SPECIFICHE SERVER NICA | |
NOME SERVER (FQDN) | xxxx.xxxxxxx.xxxxxxxxxx.xx |
MARCA/MODELLO | Server IBM Xseries x3650 |
SERIALE | KDHWAWZ |
UBICAZIONE | Sala Server piano -1 |
FUNZIONE OPERATIVA | Progetto ICAR |
CPU | 2 x Intel(R) Xeon(R) 2.66GHz |
RAM | 3GB |
CONFIGURAZIONE DISCHI | 263GB raid5 |
S.O. | Centos 5.2 (Final) 32 bit |
DBMS | mysql-5.0.22-2.1 |
JAVA VM | JAVA 2 STANDARD EDITION DEVELOPMENT KIT 5.0 |
Application server j2ee | xxxxx-0.0.0.XX |
Piattaforma Interoperqabilità | Icar 1.2 |
Ruolo | NICA (Nodo di Interconnessione per la Cooperazione Applicativa) |
Versione 00_05 | GigaRupar - Documentazione - geertini |
SPECIFICHE SERVER PD | |
NOME SERVER (FQDN) | xxxx.xxxxxxx.xxxxxxxxxx.xx |
MARCA/MODELLO | Server IBM Xseries x3650 |
SERIALE | KDHWAWZ |
UBICAZIONE | Sala Server piano -1 |
FUNZIONE OPERATIVA | Progetto ICAR |
CPU | 2 x Intel(R) Xeon(R) 2.66GHz |
RAM | 3GB |
CONFIGURAZIONE DISCHI | 263GB raid5 |
S.O. | Centos 5.2 (Final) 32 bit |
DBMS | mysql-5.0.22-2.1 |
JAVA VM | JAVA 2 STANDARD EDITION DEVELOPMENT KIT 5.0 |
Application server j2ee | xxxxx-0.0.0.XX |
Piattaforma Interoperqabilità | Icar 1.2 |
Ruolo | PD (porta di dominio) |
Versione 00_05 | GigaRupar - Documentazione - geertini |
5 Basilicatanet 2009
Il progetto Basilicatanet è un sistema che è espressione delle intelligenze e dei valori umani, sociali e economici della regione. Uno strumento da utilizzare per promuovere l’intero territorio e per informare i cittadini, le imprese e gli enti preposti al governo territoriale dei servizi offerti.
L’area dedicata alla promozione del territorio presenta informazioni ben strutturate che riguardano l’arte e la cultura, la tradizione (storia), la cucina tipica, i suoli della regione Basilicata. In questa area è previsto anche il riferimento al sito del turismo della regione (xxxx://xxx.xxxxxxxxxxxxx.xx/).
5.1 Obiettivi
Di seguito vengono elencati e poi descritti una serie di aspetti che rappresentano alcuni degli obiettivi primari di Basilicatanet:
a) connettere e coordinare, in un sistema coerente e completo, i servizi già esistenti;
b) creare ex novo reti specifiche di servizi e scambi;
c) costituire un volano efficace per l’economia locale;
d) valorizzare le realtà sociali e economiche esistenti;
La natura promozionale del progetto si rafforza poi con l’aiuto dei supporti tecnici presenti:
• attraverso la progettazione/sponsorizzazione di newsletter “targettizzate” è possibile raggiungere un numero elevato di utenti potenzialmente interessati alle tematiche di natura sociale (eventi culturali, mostre, festival,…) o di natura economica (fiere);
• l’attivazione di forum e community centrate su date tematiche consente l’aggregazione dei visitatori con interessi specifici e la diffusione dei contenuti veicolati dal portale;
• l’utilizzo dell’area “slideshow” per la sponsorizzazione di eventi culturali/sportivi/sociali permette di veicolare a un numero elevato di visitatori il nome delle aziende locali.
Obiettivo del progetto è quindi arrivare alla creazione di un “oggetto intelligente” a alta qualità che sia luogo per la comunicazione, le attività e le relazioni tra i cittadini, le aziende e gli enti.
5.2 Target
Gli attori primari (stakeholder) attivi nel portale regionale sono così riassumibili:
a) La galassia degli enti pubblici
• province, comuni, consorzi, ASL, agenzie pubbliche per i servizi
Versione 00_05 | GigaRupar - Documentazione - geertini |
• agenzie pubbliche per il controllo e gli interventi sul territorio
• organismi areali pubblico-privati
b) il sistema delle imprese
• tutte le realtà regionali appartenenti ai settori economico-produttivi dei servizi del terzo settore
c) privati
• utenti residenti nel territorio regionale
• utenti residenti nel territorio nazionale
• utenti “resto del mondo”
5.3 Struttura servizi e contenuti
La complessità del progetto viene risolta attraverso una struttura che organizza i contenuti e i servizi interni e esterni al sito in macroaree con relative sottosezioni.
I contenuti sono costituiti dalle teoricamente quasi illimitate categorie di argomenti che rimandano ai contenuti editoriali (recensioni, rubriche, articoli, documenti) che appartengono al portale grazie al lavoro di una redazione dedicata, ma anche alle risorse della rete.
I servizi sono rappresentati da quei dispositivi grafici che propongono un aggregato di tutte le funzionalità di supporto alla navigazione (search, contatti, accessi semplificati,
…).
5.3.1 Aree e contenuti
Uno dei fini fondamentali del portale è creare un sistema di organizzazione e connessione dei contenuti, offrendo informazioni di qualità rilevante e contemporaneamente smistando nelle direzioni più corrette il flusso dei visitatori.
Si deve quindi rappresentare il più fedelmente possibile e riflettere la complessità e la ricchezza del territorio offrendo simultaneamente all’utente vie d’accesso alle informazioni le più semplici e rapide possibili. A questo scopo il sistema di catalogazione delle informazioni in macroaree facilmente identificabili è il primo degli step progettuali.
a) Area istituzionale. Un’area organizzata, snella e non sarà quella istituzionale, dato che questa componente esercita anche la funzione di garante delle informazioni presenti nel portale.
b) Area editoriale. L’area editoriale è uno dei principali elementi di relazione con il pubblico. Essa consente in modo immediato di garantire l’attualità del portale, ovvero sostenerne l’autorità nel dare visibilità e valore alle realtà del territorio. In questo senso prevedere una serie di “recensioni” organizzate per affrontare i vari aspetti del territorio (cultura, spettacolo, enogastronomia,…) rafforza la natura del portale come strumento di sviluppo per il territorio.
c) Gli eventi della vita. I contenuti sono organizzati secondo una logica molto vicina all’esperienza quotidiana, dalla nascita alla pensione. Con questa metafora
Versione 00_05 | GigaRupar - Documentazione - geertini |
le informazioni non vengono solo presentate in funzione della struttura di competenza (modalità che presuppone una conoscenza dell'organizzazione dell'ente da parte dell'utente), ma, declinate per il cittadino e per l’impresa, sono raggruppate in base alle principali situazioni che si verificano nella vita di ognuno. In questa sezione la classificazione dei servizi erogati è organizzata nell'ottica del cittadino/impresa, quindi in funzione degli eventi che richiedono necessariamente una interazione con l’ente pubblico e/o altri attori.
d) Aree tematiche. I contenuti sono organizzati per argomenti, in ordine alfabetico. Ogni singola categoria comprenderà svariate altre sottocategorie, a loro volta suddivisibili, in modo tale da guidare l’utente nella direzione dell’informazione ricercata, attraverso una selezione progressivamente sempre più precisa. Ovviamente nulla vieta che ogni singolo contenuto sia raggiungibile da molteplici e differenti punti di partenza (per esempio, dagli Eventi della vita) o che venga classificato sotto molte categorie diverse.
e) Risorse di rete. Sono rappresentate da tutti i siti e i progetti privati e pubblici presenti nel web e relativi alla regione. L’accesso è strutturato come un classico catalogo sistematici delle risorse. Come per i contenuti degli Eventi della vita e delle Aree tematiche il singolo link può essere raggiungibile da altri punti e classificato secondo più categorie.
5.3.2 Cittadino
La sezione dedicata ai cittadini comprende un’area per le news, un’area dedicata al sociale (come per esempio Servizio civile, comitato antiusura, etc), un’area con oggetti a portata di mano come meteo, biglietteria on line, dove dormire, dove mangiare, cinema, etc. e un area dedicata alle informazioni e ai servizi definiti con la metafora degli eventi della vita. Ogni evento della vita contiene un’area descrittiva della sezione con le informazioni da sapere rispetto al tema considerato, la lista dei servizi disponibili con eventuali link al sito di fruizione del servizio stesso.
5.3.3 Impresa
L’area dedicata alle informazioni e ai servizi individuati per le imprese utilizza anch’essa la metafora degli eventi della vita contestualizzati rispetto a questa categoria:
❖ Aprire una nuova attività
❖ Gestire l’attività
❖ Gestire il personale
❖ Importare e esportare
❖ Pagare le tasse
❖ Partecipare a bandi di gara e appalti
❖ Salvaguardare l’ambiente
❖ Segnala la tua Impresa
❖ Modifica dati della tua Impresa
❖ Gestisci Offerte di Lavoro
❖ Ricerca Curriculum Vitae
Versione 00_05 | GigaRupar - Documentazione - geertini |
La sezione riporterà anche un’area dedicata alle news del mondo delle imprese e una lista di link utili come “INPS” ed opportunità da conoscere come “Agevolazioni alle imprese”.
5.3.4 Enti
La sezione dedicata agli enti contine un insieme di news, un insieme di link che rimandano agli enti come la provincia di Potenza, di Matera, organismi regionali, comunità montana, aziende sanitarie locali, etc.
Versione 00_05 | GigaRupar - Documentazione - geertini |
6 Circolarità anagrafica
La Regione Basilicata, avendo aderito alla convenzione con Il Ministero degli Interni per lo sviluppo della Circolarità Anagrafica, entra nel novero delle Regioni Sperimentatrici e si impegna attraverso il progetto BAS-ANAG a portare avanti le progettualità necessarie per “ereditare” dal Gruppo Tecnico Nazionale lo stato dell’arte, le competenze, i sorgenti software e tutto quanto è necessario per portare a termine le sperimentazioni in ambito regionale.
Il fine ultimo del progetto è quella dell’erogazione dei servizi di Anagrafe attraverso il Sistema Informativo.
Questo presuppone la disponibilità di molte informazioni, necessariamente validate, e quindi di banche dati certificanti l’identità anagrafica dei cittadini; tra queste assumono un rilievo assoluto quelle della anagrafe dei cittadini e dell’anagrafe delle imprese, di cui sono titolari, rispettivamente, il Ministero dell’Interno e la società Infocamere scrl.
Tra i servizi di Anagrafe disponibili ci sono:
1. Pubblicazione delle variazioni - le Amministrazioni Comunali detentrici delle informazioni anagrafiche e attori della registrazione delle variazioni anagrafiche potranno standardizzare e limitare la proliferazione dei flussi di comunicazione dei dati in uscita dalla Amministrazione per il tramite delle reti regionali;
2. Sottoscrizione delle variazioni - Le Amministrazioni regionali potranno disporre quotidianamente delle variazioni anagrafiche certificate dal Ministero dell’Interno per la sincronizzazione dei propri basamenti informativi;
3. Consultazione INA e servizi SAIA - Le Amministrazioni regionali potranno accedere all’Indice Nazionale delle Anagrafi ed agli altri servizi SAIA;
4. Gestione richieste certificazioni - Le Amministrazioni regionali potranno inoltrare richieste di certificazione anagrafica.
Visto che la Regione Basilicata già da diversi anni si è dotata del collegamento con la banca dati delle imprese, si ritiene di primaria importanza l’avvio del progetto per la realizzazione della Circolarità Anagrafica Regionale.
Il progetto di “Circolarità Anagrafica Regionale” consente:
1. il potenziamento delle infrastrutture tecnologiche delle amministrazioni comunali per il collegamento con l’INA – Indice Nazionale delle Anagrafi – del Ministero dell’Interno;
2. l’accesso da parte della Regione Basilicata e degli enti territoriali della Basilicata ai dati anagrafici certificati dal Ministero dell’Interno;
3. il raggiungimento della validazione, da parte del sistema INA/SAIA del Ministero dell’Interno (CNSD), del 100% dei dati anagrafici delle 131 amministrazioni comunali della Basilicata;
4. la definizione, l’implementazione e la messa in esercizio di almeno tre accordi di servizio nei domini individuati.
Versione 00_05 | GigaRupar - Documentazione - geertini |
Ministero dell’Interno
Regione
Comune
Strutture Regionali
Enti Territoriali
Figura 3: Schema logico circolarità anagrafica
Versione 00_05 | GigaRupar - Documentazione - geertini |
7 Identity management
L’ Identity Management della Regione Basilicata mira a fornire:
• un sistema centralizzato di gestione delle identità;
• un sistema scalabile, sia in termini di numero di utenze che di numero delle applicazioni che possono agganciarsi a esso per la gestione delle utenze
• un sistema pienamente compatibile con gli standard più diffusi, SAML v.2.0, XACLM 2.0, SOAP 2.0, e sviluppato completamente in Java Enterprise Edition (Java EE o Java J2EE). La maggior parte delle specifiche, per quanto riguarda le caratteristiche dell’ IMS in ambito federato, derivano da quelle emesse in seno al progetto ICAR
• un sistema che garantisca la massima sicurezza, mediante il ricorso a protocolli di comunicazione sicuri (https) e opportune politiche, ampiamente configurabili, di accesso e visibilità dei dati.
Il sistema IMS certifica l’utente e lo abilita ad interfacciarsi ai servizi esposti dall’ente, per questo motivo si rende necessario garantire al massimo la sicurezza della fase di autenticazione che potrà avvenire tramite smart card con certificato d’identità valido (controllo con CA riconosciuta) e/o sistema di verifica di codici per l’accesso con username e password.
L’immagine che segue presenta una visione complessiva del modello dell’ IMS, con la descrizione delle interazioni delle principali componenti del sistema.
Figura 4: Schema logico IM
7.1 SAML Web Single Sign On
In questa implementazione dell’ IMS si è scelto di abbracciare lo standard SAML 2.0 per la gestione del Web Single Sign-On (SSO). Tre sono i profili (per usare la terminologia SAML) che sono stati attualmente implementati i seguenti:
• Web Browser SSO Profile;
Versione 00_05 | GigaRupar - Documentazione - geertini |
• Single Logout Profile;
• Assertion Query/Request Profile: che permette di interrogare l'IdMS per ottenere informazioni (attributi) su un utente.
E due sono i profili di Binding:
• Http Redirect Binding;
• Http Post Binding.
Nel linguaggio SAML si identificano l'Identity Provider, che certifica l'identità di un utente, e i Service Providers, ovvero i siti web a cui un utente vuole accedere per ottenere un servizio. Gli scenari di accesso sono di due tipi: SP-initiated e IP-initiated.
Il primo caso, il più frequente, si ha quando un utente accede direttamente al SP per richiedere un servizio. Nel secondo caso invece l'utente accede prima all'IP, si autentica, e da qui accede ad uno dei vari SP disponibili.
Descriviamo nel dettaglio il primo caso.
Figura 5: Schema logico accesso agli SP
• Al passo 1 l'utente accede al SP. Il SP si accorge (secondo una sua logica personale, indipendente da SAML) che l'utente non si è autenticato.
• (passo 2) Genera allora una ridirezione HTTP (HTTP Status 302 o 303) al servizio di login dell'IP secondo le specifiche SAML. In particolare sarà specificata la richiesta di autenticazione (AuthnRequest) e verrà indicata la URL di ritorno (attributo RelayState).
• (passo 3) L'utente si autentica all'IP secondo varie logiche (ad esempio invio login/password su sessione HTTPS). L'IP, riconosciuto l'utente, produce (specifiche SAML) una pagina che contiene un form HTTP con associata un'azione POST verso il SP.
• (passo 4) L'utente accede al SP, che verifica la Response SAML ricevuta via POST e fa accedere l'utente.
Versione 00_05 | GigaRupar - Documentazione - geertini |
8 Standard tecnologi presenti
Componente/Tecnologia | Soluzio | ne | Richiesta | Data Center | Versione |
• Java | Presente | --- | |||
Linguaggi | • Xx.Xxx | Presente | --- | ||
• Oracle Developer 10G | Presente | 10.1.2.0.2 | |||
Web Server | Apache http/Https | Presente | 2.0.X | ||
JDK | Java Development Kit | Presente | 1.4.2 , 1.5 .x, 1.6.x | ||
Framework .Net | Framework .Net | 2.0, 3.0 | |||
Application Server | • Jboss • Tomcat • IIS • IAS Oracle 10G Enterprise Edition | Presente Presente Presente Presente | 4.0.4 5.0, 5.5, 6.0 6.0, 7.0 10.1.2.0.2 | ||
Directory Server | • OpenLDAP | Presente | 2.0.27, 2.3.43 | ||
• MS Active Directory | Presente | 5.2.3790.1830 | |||
• MySQL (Open Source) • Postgre SQL (Open Source) • MS SQL Server • Oracle RAC 10G | Presente Presente | 4.x, 5.x 8.x | |||
RDBMS | |||||
Presente Presente | 2000, 2005, 2008 | ||||
Motore di workflow | Basato J2EE | su | piattaforma | ||
Standard di rappresentazione dei flussi | • BPEL • BPEL4People • BPEL4WS | ||||
Analisi e modellazione sistemi sw | UML | 2.0 | |||
Sistemi Operativi Server | Microsoft Windows Red Hat Linux CentOS | Presente Presente Presente | 2000, 2003, 2008 Enterprise 3,4 5.2, 5.4 | ||
Sistemi Operativi Client | Microsoft Windows | Presente | XP, Vista, 7 | ||
Browser Web | Internet Explorer | Presente | 6, 7, 8 | ||
Mozilla FireFox | Presente | 2.x, 3.5 | |||
Business Intelligence | Oracle Discoverer | Presente | 10g | ||
Gestione BackUp | Tivoli Storage Manager | Presente | 5.3 | ||
Strumenti CMS per la gestione dei contenuti web | CMS basato su J2EE | Presente | |||
Groupware e DMS | Basata J2EE | su | piattaforma | Presente |
Versione 00_05 | GigaRupar - Documentazione - geertini |
Identity management | Basata su piattaforma J2EE | Presente |