SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO

Università degli Studi di Trieste Facoltà di Ingegneria Corso di Laurea Specialistica in Ingegneria Informatica anno accademico 2007-2008 Sviluppo di una soluzione Single Sign On per l’ente Veneto Lavoro Laureando: Zanatta Davide Relatore: Prof. Bartoli Alberto

Sommario ,[object Object],[object Object],[object Object],[object Object],[object Object],01

Introduzione : Analisi del problema 02 Spesso quando si utilizzano servizi tramite Internet l’utente è costretto a ripetere il processo di autenticazione per ogni risorsa. ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Web Mail Segreteria Serv. Bancari eLearning

Introduzione : Single Sign On 03 Un sistema specializzato che permette ad un utente di autenticarsi una sola volta per poi accedere a tutte le risorse informatiche. ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Segreteria Serv. Bancari eLearning Web Mail

Introduzione : Il lavoro svolto 04 ,[object Object],[object Object],[object Object],[object Object],[object Object],Il lavoro svolto si è concentrato sullo sviluppo di un sistema Single Sign On per l’ente Veneto Lavoro di modo da uniformare il processo di login dei diversi servizi offerti e migliorarne la sicurezza del sistema.

Introduzione : Sistema precedente ,[object Object],05 ,[object Object],[object Object],[object Object]

Introduzione : Sistema Attuale 06 ,[object Object],[object Object],[object Object],Server SSO-1 IdP Saml Engine WAYF Server CO-1 CO-Veneto Guard CO-Gest. Anag. Guard FRONTEND-WEB Router/ balancer FRONTEND-WEB Server SSO-1 IdP Saml Engine WAYF Server CO-1 CO-Veneto Guard CO-Gest. Anag. Guard Utenti Internet / Intranet

Progetto Guanxi : Specifiche Guanxi 07 ,[object Object],[object Object],[object Object],chiamate che non coinvolgono il browser utente chiamate che coinvolgono il browser utente Risorsa WEB GUARD SAML Engine WAYF Identity Provider DB Utenti Richiesta utente Se non autenticato Accesso alla risorsa Redirect al form di autenticazione Recupero dei dati di profilazione Verifica sessione utente e recupero dati profilo

Progetto Guanxi : Service Provider ,[object Object],[object Object],[object Object],08 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],1 Risorsa WEB Filter Attribute Consumer Podder GUARD SAML Engine 2a 2b 2c

Progetto Guanxi : WAYF ,[object Object],[object Object],[object Object],09 ,[object Object],[object Object],[object Object],[object Object],3a 3b Filter Attribute Consumer Podder GUARD SAML Engine WAYF Identity Provider Attribute Authority Single Sign On 3c 4

Progetto Guanxi : Identity Provider (1) ,[object Object],[object Object],[object Object],10 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],SAML Engine WAYF Identity Provider Attribute Authority Single Sign On DB Utenti 4 5

Progetto Guanxi : Identity Provider (2) ,[object Object],[object Object],[object Object],11 ,[object Object],[object Object],[object Object],[object Object],[object Object],SAML Engine 6 7 Identity Provider Attribute Authority Single Sign On DB Utenti

Progetto Guanxi : Accesso alla risorsa ,[object Object],[object Object],[object Object],12 ,[object Object],[object Object],[object Object],[object Object],[object Object],[object Object],Risorsa WEB Filter Attribute Consumer Podder GUARD SAML Engine 8a 9b 9a 8b

Innovazioni al progetto Guanxi : Sistema High Availability 13 ,[object Object],[object Object],[object Object],[object Object],Server Apache Frontend-1 Server Apache Frontend-2 Server WEB-1 Tomcat Portale Web Server SSO-2 JBoss sso-2 Saml Engine WAYF Identity Provider Server SSO-1 JBoss sso-1 Saml Engine WAYF Identity Provider Server AROF-2 JBoss arof-2 AROF Guard Server AROF-1 JBoss arof-1 AROF Guard Jaguar AOL Server CO-3 JBoss co-6 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling JBoss co-5 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling Server CO-2 JBoss co-4 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling JBoss co-3 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling Server CO-1 JBoss co-2 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling JBoss co-1 CO-Iscriz. CO Guard CO-Anag. Guard Guard Tunneling Server SIL-DB Oracle DB Profile Server DB-VL SqlServer DB CSM DB CO Sybase DB AROF SqlServer DB CSM DB CO

Innovazioni al progetto Guanxi : Sticky Session 14 La Sticky Session si basa su un cookie di sessione per smistare le richieste http tra i vari server in Load Balancer Prima chiamata: 50% di possibilità per ogni nodo Chiamate successive: il cookie indica il nodo destinazione Balancer Server2 CO-1 Server2 CO-2 Balancer Server2 CO-1 Server2 CO-2 123.co-1

Innovazioni al progetto Guanxi : Sticky Session 15 Le librerie del progetto Guanxi non supportano i cookies di sessione nelle chiamate tra i diverse componenti distribuiti che non coinvolgono il browser, Per risolvere i problemi dovuti a questa mancanza durante lo sviluppo del progetto si è reso necessario modificare il core delle librerie Guanxi per il mantenimento delle sessioni, Con queste modifiche è possibile l’utilizzo di Guanxi in un cluster con configurazione di load balancing.

Innovazioni al progetto Guanxi : Guard Tunneling 16 In alcune situazioni è stato impossibile inserire la componente Guard all’interno delle applicazioni web da proteggere per incompatibilità tra Application Server e librerie Guanxi ( es. Sybase Jaguar o Microsoft Internet Information Server ), La soluzione adottata utilizza una nuova applicazione detta Guard Tunneling per le operazioni di autenticazione e profilazione utente, Con questo nuovo componente si può utilizzare il sistema Guanxi non includendo il Guard nella applicazione web originale.

Risultati ottenuti : Test di Carico 17 (1;2) La cpu della macchina fisica viene suddivisa nelle due macchine virtuali che contiene A conclusione del processo di analisi, sviluppo software e configurazione del sistema progettato si sono effettuati dei test di collaudo. E’ stato predisposto un ambiente di test composto da diverse macchine virtuali e si è simulato l’accesso contemporaneo di 800 utenti. server JBoss SSO-2 512 Mb 1 cpu 2.80 GHz (2) Linux RedHat Geisoft01 server JBoss SSO-1 512 Mb 1 cpu 2.80 GHz (2) Linux RedHat Geisoft01 server JBoss CO-2 512 Mb 1 cpu 2.80 GHz (1) Linux RedHat Geisoft05 server JBoss CO-1 512 Mb 1 cpu 2.80 GHz (1) Linux RedHat Geisoft05 http server Apache 756 Mb 1 cpu 2.00 GHz Linux Ubuntu Geisoft03 Contenuto RAM CPU S.O. Macchina

Risultati ottenuti : Test di Carico 18 Il grafico illustra il numero di sessioni utenti attive contemporaneamente nell’arco di tempo del test. La simulazione ha gestito senza errori l’accesso di 800 utenti in 3 minuti e 20 secondi.

Risultati ottenuti : Statistiche di accesso 19 Statistiche sui dati rilevati a partire dal sistema reale installato a Veneto Lavoro. Il numero di accessi orari segue gli orari di ufficio.

Risultati ottenuti : Statistiche di accesso 20 Il numero di accessi è fortemente influenzato dal servizio CO-Veneto.

Conclusioni : Sviluppi futuri ,[object Object],[object Object],[object Object],[object Object],21

Conclusioni : Obiettivi raggiunti 22 ,[object Object],[object Object],[object Object],[object Object],[object Object],Il lavoro svolto con la creazione di un nuovo sistema di Single Sign On per l’ente Veneto Lavoro ha portato i seguenti vantaggi:

SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO

Recommandé

Recommandé

Contenu connexe

Similaire à SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO

Similaire à SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO (20)

SVILUPPO DI UNA SOLUZIONE SINGLE SIGN ON PER L’ENTE VENETO LAVORO