Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
SPECIFICHE FUNZIONALI
DOCUMENTO DI DETTAGLIO RELATIVO AI
REQUISITI DI SISTEMA
Progetto ARPA
CONTIENE D01.1
LISTA DI DISTRIBUZIONE
3 INTRODUZIONE........................................................................................................................... 10
3.1 SINTESI DELLA SOLUZIONE....................................................................................................... 10
4 ARCHITETTURA LOGICA .......................................................................................................... 12
4.1 SOTTOSISTEMI PRINCIPALI E LORO INTERAZIONI ...................................................................... 13
4.1.1 Role Manager .........................................................................................................................13
4.1.2 Portal......................................................................................................................................13
4.1.3 Generic...................................................................................................................................14
4.1.4 SRTY.....................................................................................................................................14
4.2 BANCHE DATI UTILIZZATE ......................................................................................................... 15
4.3 DEFINIZIONE DELLE COMPONENTI DEI SOTTOSISTEMI .............................................................. 15
4.3.1 PORTAL................................................................................................................................ 15
4.3.2 ROLE MANAGER ................................................................................................................16
4.3.3 SRTY.....................................................................................................................................16
4.3.4 GENERIC .............................................................................................................................. 17
4.4 SCENARIO DINTERAZIONI TRA ALCUNE COMPONENTI .............................................................. 17
4.5 IL ROLE MANAGER ................................................................................................................... 19
4.5.1 Role Administration ...............................................................................................................20
Un ruolo viene definito mediante: ...................................................................................................20
4.5.2 Role Detection........................................................................................................................22
4.5.3 Adapter ..................................................................................................................................22
4.5.4 Notifica delle operazioni sul ruolo verso PORTAL e SRTY....................................................22
5 REALIZZAZIONE DELLA SOLUZIONE .................................................................................... 24
5.1 REQUISITI NON FUNZIONALI...................................................................................................... 24
5.2 REQUISITI FUNZIONALI ............................................................................................................. 27
5.3 CASI D 'USO............................................................................................................................... 42
5.3.1 Accesso senza self-registration ...............................................................................................42
5.3.2 Accesso con self-registration ..................................................................................................43
5.3.3 Accesso da un dominio esterno ...............................................................................................45
5.3.4 Accesso alle risorse SRTY attraverso PORTAL......................................................................46
5.3.5 Accesso diretto alle risorse SRTY...........................................................................................47
5.3.6 Accesso alle risorse GENERIC attraverso PORTAL ...............................................................49
5.3.7 Accesso diretto alle risorse GENERIC ....................................................................................50
5.3.8 Variazione ruoli......................................................................................................................54
5.3.9 Inserimento, Modifica e Cancellazione di un Ruolo ................................................................ 56
5.3.10 Inserimento, Modifica e Cancellazione di una Risorsa.............................................................57
5.3.11 Inserimento, Modifica e Cancellazione di un Criterio.............................................................. 57
5.3.12 Individuazione e verifica dei ruoli...........................................................................................57
5.3.13 Accesso delegato a risorse attraverso PORTAL ......................................................................59
5.3.14 SAML Identity Provider .........................................................................................................60
5.4 TRACCIABILIT DEI REQUISITI SUI SOTTOSISTEMI INDIVIDUATI ................................................. 61
6 PIANO DI SICUREZZA ................................................................................................................ 63
6.1 SICUREZZA ARCHITETTURALE .................................................................................................. 63
6.2 POLITICHE DI SICUREZZA DELLE UTENZE ................................................................................. 63
6.3 POLITICHE DI SICUREZZA PER LE APPLICAZIONI ....................................................................... 64
Commessa: 05C1204 Specifiche Funzionali PROGETTO ARPA
Pagina 3 di 65
6.4 POLITICHE DI SICUREZZA DELLE AREE FUNZIONALI .................................................................. 64
6.5 POLITICHE DI SICUREZZA DELLE COMPONENTI APPLICATIVE.................................................... 64
6.6 POLITICHE DI SICUREZZA PER I SISTEMI ................................................................................... 64
1.1 Scopo
1.2 Validit
Access Manager Componente della suite Sun Java System (SJS) che eroga funzionalit di
autenticazione e controllo accessi.
http://docs.sun.com/app/docs/doc/819-6188/6n87ih3o2?a=view
AM Policy Agent Componente plug-in che agisce in cooperazione con Access Manager ed
effettua il controllo delle credenziali consentendo la gestione della
autenticazione ed il controllo degli accessi centralizzato.
Richiede, interpreta e applica le politiche di autorizzazione daccesso alle
risorse.
http://docs.sun.com/app/docs/coll/1322.1
http://docs.sun.com/app/docs/doc/819-2143
CA Certification Authority. una entit che rilascia certificati digitali verso terze
parti. Aggiorna periodicamente anche le CRL relative ai certificati emessi.
Certificatori di Entit che rendono disponibili attraverso una o pi Fonte Dati, le informazioni
ruolo (gli attributi) necessari alla verifica (certificazione) del ruolo da parte del
modulo Role Manager.
CRL Certificate Revocation List. I certificati revocati o sospesi sono inseriti in CRL
firmate dall CA e pubblicate con periodicit prestabilita nel registro dei
certificati.
Desktop Ambiente di lavoro erogato agli utenti attraverso la componente SJS Portal
Server utilizzata nell'ambito del PORTAL.
Directory Server il repository dei dati utilizzato dal Portale e dell'Access Manager, costituito
dal Directory Server LDAPv3 Sun Java System Directory Server.
http://docs.sun.com/app/docs/coll/1316.1
Proxy applicativo Porta applicativa per laccesso alle funzioni di pubblicazione e sottoscrizione
del CART
Ruolo Individua gli incarichi, gli obblighi ed privilegi che un utente ha all'interno di un
determinato contesto istituzionale e che ne condizionano i profili applicativi
allinterno del portale.
SRA Gateway Componente della suite Sun Java System (SJS) che eroga funzionalit di
sicurezza per laccesso.
http://docs.sun.com/app/docs/doc/819-4158
Capitolato di Appalto
Proposta tecnica rif doc. cod. doc. 05C1204C1ATO rev. 0 16/9/2005
1. RTI (Raggruppamento Temporaneo di Impresa) non sar ritenuto responsabile dei problemi di
progettazione derivanti dalla mancata presentazione delle informazioni necessarie da parte di
Regione Toscana
Accesso al Portale - Gli utenti che si collegano al Portale, o se abilitati, direttamente alle
risorse applicative, sono sottoposti ad una fase di autenticazione basata sull'utilizzo di una
SmartCard e di un certificato. Il modulo di autenticazione acquisisce alcune informazioni
dal certificato e ne verifica la validit utilizzando le diverse banche dati a disposizione
(Revocation Listi, Black/White List, ecc.). Gli utenti che si collegano al Portale provenienti
da Domini Esterni sono invece autenticati alla fonte ed il Portale utilizza meccanismi di
identit federata (SAML) per concedergli l'accesso.
Verifica del Ruolo - La veridicit dei dati forniti dallutente (il ruolo) sar verificata dal
Commessa: 05C1204 Specifiche Funzionali PROGETTO ARPA
Pagina 10 di 65
sistema in modo asincrono rispetto alla fase di registrazione o di modifica del profilo
utente. Periodicamente il sistema provveder inoltre in modo autonomo a verificare la
validit delle associazioni tra ruoli ed utenti. La verifica del ruolo e le funzionalit ad esso
correlate sono realizzate attraverso il Role Manager che grazie ad una serie di Adapter
in grado di interrogare le diverse Fonti Dati.
Accesso alle risorse - Lutente dopo la fase di autenticazione, selezionando una risorsa
contenuta nel proprio desktop di portale, accede alle funzionalit da questa esposte. I soli
utenti interni di Regione Toscana avranno inoltre la possibilit, previa autenticazione, di
accedere direttamente alle risorse senza passare attraverso il desktop di portale; questa
possibilit non esclude il controllo accessi sulla risorsa stessa che viene comunque
effettuato.
Mancato accesso per un determinato periodo - Nel caso in cui un utente non acceda al
sistema per un certo periodo di tempo, i dati associati alla sua utenza vengono rimossi.
Tali dati potranno anche essere rimossi forzatamente attraverso le funzionalit di
amministrazione.
ROLE MANAGER
Descrizione Verifica che gli utenti abbiano diritto ai ruoli che dichiarano di
possedere, interrogando, attraverso una serie di Adapter, le
diverse fonti dati. Consente di gestire ruoli, criteri, risorse e
lassociazione tra essi.
Interazione con CART Pubblica sul CART gli eventi collegati alle operazioni
dinserimento, modifica e cancellazione di ruoli, risorse,
attributi e criteri.
Interazione con GENERIC Nessuna interazione diretta
Interazione con SRTY Nessuna interazione diretta (pubblicazione attraverso CART)
Interazione con PORTAL Vedi interazione con CART e par. 4.1.2 (Interazione con R.M.)
4.1.2 Portal
PORTAL
Descrizione Si occupa dell'autenticazione degli utenti e del controllo degli
accessi alle risorse disponibili attraverso il portale. E'
responsabile della costruzione del desktop per l'utente
autenticato e profilato all'interno del portale.
Interazione con CART Legge dal CART gli eventi pubblicati dal ROLE MANAGER.
Reagisce agli eventi pubblicati, collegati alle operazioni
dinserimento, modifica e cancellazione di ruoli, risorse,
attributi e criteri, modificando dinamicamente la struttura dei
ruoli di portale e le policy daccesso alle risorse cos come
descritto nel paragrafo dedicato alla definizione dei requisiti.
Interazione con ROLE MANAGER Contatta il blocco ROLE MANAGER mediante chiamate a
servizi da questo esposti (Web Services) per la validazione
delle associazioni ruolo/utente e il recupero dei valori degli
attributi associati al ruolo in questione.
Interazione con GENERIC Scambia informazioni con le applicazioni appartenenti al
blocco GENERIC per offrire, in vari modi, lintegrazione di
queste nel portale fino a garantire raggiungibilit dei servizi,
fruibilit e Single Sign-On (SSO).
Per ogni applicazione integrata nel portale, la raggiungibilit
del sevizio viene offerta mediante unazione di reverse proxy
offerta dal blocco PORTAL.
Per la fruibilit del servizio e il Single Sign-On le modalit di
azione possono essere diverse a seconda dellapplicazione da
integrare: potrebbero essere previsto linvio di informazioni su
HTTP Header, linterazione con meccanismi di Form
Authentication piuttosto che Basic o Digest o altro
meccanismo custom, luso di AM SDK o AM Policy Agent ed
altro ancora.
Interazione con SRTY Mediante un meccanismo di reverse proxy offre la
raggiungibilit, dallesterno, del servizio pubblicato su SRTY.
Commessa: 05C1204 Specifiche Funzionali PROGETTO ARPA
Pagina 13 di 65
Inoltre, centralizza lautenticazione e lautorizzazione
daccesso ai servizi offerti.
4.1.3 Generic
GENERIC
Descrizione Rappresentano le applicazioni preesistenti o di futuro sviluppo
che possono essere integrate e rese fruibili attraverso il
PORTAL. Tali applicazioni, non sviluppate mediante il
framework SRTY, sono associate ai vari ruoli tramite
linterfaccia damministrazione del ROLE MANAGER.
Interazione con PORTAL Alcune applicazioni appartenenti al blocco GENERIC
potrebbero avere la necessit di comunicare direttamente con
il PORTAL; ad esempio applicazioni che fanno uso di AM SDK
o AM Policy Agent.
Interazione con ROLE MANAGER Nessuna interazione diretta
Interazione con CART Nessuna interazione diretta
Interazione con SRTY Nessuna interazione diretta
4.1.4 SRTY
SRTY
Descrizione SRTY il framework di sviluppo della applicazioni profilate ad
accesso sicuro di Regione Toscana. Nell'ambito del framework
SRTY possiamo identificare con SRTY Applications, gli
applicativi installati nell'ambiente SRTY e con SRTY Core
l'ambiente nel quale vengono installate le applicazione che
utilizzano questo framework. Le SRTY Applications si
interfacciano con il PORTAL per il reperimento delle
credenziali dellutente e vengono associate ai vari ruoli tramite
linterfaccia di amministrazione del ROLE MANAGER.
Interazione con PORTAL Poich il PORTAL offre i meccanismi di autenticazione e
autorizzazione per SRTY, tale blocco logico ha la necessit di
comunicare con il PORTAL.
La comunicazione SRTY->PORTAL avviene su HTTP/s
mediante luso del framework AM SDK.
LAM SDK usato dalle singole applicazioni del blocco SRTY
per recuperare alcune informazioni relative allutente e dallAM
Policy Agent per recuperare, interpretare ed applicare le
politiche di autorizzazione.
La comunicazione PORTAL->SRTY avviene solo su http/s
attraverso il gateway (dal blocco di portale) che ridirige le
connessioni dell'utente verso l'applicazione deployata sotto
SRTY.
Interazione con CART SRTY legge dal CART gli eventi pubblicati dal ROLE
MANAGER reagendo agli eventi collegati allinserimento,
modifica e cancellazione di un ruolo, come riportato nel
paragrafo dedicato alla specifica dei requisiti.
Interazione con ROLE MANAGER Nessuna interazione diretta (lettura attraverso CART)
Interazione con GENERIC Nessuna interazione diretta
4.3.1 PORTAL
Desktop Provider
Costruisce il desktop personalizzato per l'utente in base al suo ruolo.
PDC Auth Module
Il Personal Digital Certificate (PDC) Module la componente che implementa il requisito di
autenticazione basata sulla verifica della validit del certificato digitale inviato dallutente in
fase di richiesta di servizio (accesso al portale); tecnicamente quello che si definisce un
modulo di autenticazione del portale.
I certificati digitali supportati da tale modulo di autenticazione sono: CNS, CNS-like e CIE.
Il concetto di validit di un PDC affrontato, in questo documento, con maggiore dettaglio,
nella sezione dedicata alla specifica dei requisiti funzionali.
SAML Auth Module
la componente che implementa il requisito di autenticazione basata sulla verifica di
asserzioni SAML (Security Assertion Markup Language). Garantisce la possibilit di offrire
il servizio in SSO ad utenti gi autenticati su domini con i quali sussiste un rapporto di
fiducia reciproca.
necessario sottolineare che tale componente si occupa di autenticazione e non ha nulla
a che vedere con funzionalit di tipo Attribute Provider; lunico scopo quello di fornire i
meccanismi per permettere al blocco PORTAL di funzionare come Service Provider.
Administration
Fornisce le funzionalit di amministrazione del sistema.
Role Detection
Si occupa principalmente di verificare lappartenenza di un utente, ad un determinato
ruolo. Lutente identificato attraverso il proprio Codice Fiscale.
o Check Role
Esegue la verifica di cui sopra (veridicit dei ruoli). Per ogni ruolo valido restituisce
gli attributi valorizzati per laccesso alle applicazioni da esso autorizzate.
o Find Role
Restituisce l'elenco dei ruoli definiti nel sistema.
Il modulo di Role Detection, nella processo di verifica e discovery dei ruoli, pu avvalersi di
uno o pi Adapter in base ai criteri definiti per ciascun attributo.
4.3.3 SRTY
SRTY Application(s)
Gli applicativi installati nell'ambiente SRTY.
Role Sync Client
Legge / interpreta / gestisce i messaggi pubblicati dal Proxy Role (Role Sync Server).
SRTY Core
Ambiente nel quale vengono installate le applicazioni SRTY.
Commessa: 05C1204 Specifiche Funzionali PROGETTO ARPA
Pagina 16 di 65
AM SDK
Framework utilizzato per recuperare ed interpretare le informazioni associate alla sessione
del portale (sessione relativa al blocco PORTAL).
Per ulteriori informazioni sulle funzionalit di questa componente si rimanda all'offerta
tecnica (par. 11.2.6 Sviluppo e Gestione) e/o alla documentazione ufficiale di Sun
Microsystems (vedi URL nel par. 1.3 Glossario dei Termini).
AM Policy Agent
Plug-in software che si avvale dellAM SDK per controllare che lutente che richiede il
servizio sia in possesso di una sessione valida di portale e per richiede al blocco PORTAL
le politiche di autorizzazione che interpreta ed applica.
Per ulteriori informazioni sulle funzionalit di questa componente si rimanda alla
documentazione ufficiale di Sun Microsystems (vedi URL in 1.3 Glossario dei termini).
4.3.4 GENERIC
Tali applicazioni, non sviluppate mediante il framework SRTY, sono associate ai vari ruoli tramite
linterfaccia di amministrazione del ROLE MANAGER. Tutte le applicazione, SRTY o GENERIC,
associate ad uno qualunque dei ruoli definiti dal ROLE MANAGER saranno trattate allo stesso modo;
l'unica differenza tra le varie applicazioni potrebbe essere la metodologia di integrazione.
Tutte le applicazioni da integrare nel portale, non sviluppate con SRTY, sono da considerarsi facenti
parte dell'insieme GENERIC.
a seconda delle modalit d'accesso alle applicazioni potrebbe essere prevista, o meno, la
possibilit di effettuare Single Sign-On (SSO);
potrebbero essere previsti meccanismi particolari per l'invio di informazioni sull'Header HTTP
necessari al corretto funzionamento dell'applicazione;
potrebbero essere previste modalit di integrazione in SSO per particolari processi di
autenticazione, quali Form Authentication, Basic Authentication o, pi in generale, qualunque
altro meccanismo custom di autenticazione.
Qualora possibile e non sconveniente, per l'integrazione nel portale, di una qualunque applicazione,
si tender a prediligere l'uso di strumenti quali AMSDK e AM Policy Agent.
Affinch agli utenti sia consentito laccesso diretto alle risorse (cfr. UC5, UC6, UC8 e UC9) risulta
assolutamente necessario che si verifichi una ed una soltanto delle seguenti condizioni:
1. la risorsa installata in un container web compatibile con l'installazione di AM Policy Agent (si
veda la documentazione relativa indicata nel glossario in 1.3);
2. la risorsa viene resa raggiungibile esclusivamente attraverso un container web, che faccia da
reverse proxy, all'interno del quale installabile AM Policy Agent (ad esempio Sun Web Proxy
Server).
Il soddisfacimento di una delle condizioni di cui sopra si rende necessario proprio perch si vuole che
laccesso alla risorsa sia contemporaneamente diretto ossia non mediato da PORTAL
(componente SRA Gateway) e protetto cio sottoposto ai controlli di sicurezza e ai meccanismi
di accesso basati su ruolo, come di seguito specificato nel documento.
Il ruolo caratterizzato da un insieme di attributi custoditi dai Certificatori di Ruolo che possono
essere recuperati interrogando una o pi Fonti Dati; attraverso le funzionalit del ROLE MANAGER il
PORTAL in grado quindi di validare lappartenenza di un utente ad un determinato ruolo e
recuperare quindi gli attributi necessari per laccesso alle applicazioni.
Role Administration;
Role Detection;
Adapter.
Il ROLE MANAGER utilizza il Proxy_Role per linteroperabilit basata sulla cooperazione applicativa.
La Figura 3 Architettura Logica del ROLE MANAGER evidenzia i moduli logici del ROLE
MANAGER e le sue interfacce con le componenti esterne (CART, Fonti Dati, etc.).
Laccesso di un utente al PORTALE (cfr REQ02, REQ03) prevede che l'utente specifichi i ruoli che
intende ricoprire allinterno del portale. La certificazione delleffettivo possesso di tali ruoli viene
effettuata interrogando i Certificatori di Ruolo, attraverso lintermediazione del Role Manager.
La verifica della validit del ruolo relativo ad un utente (identificato attraverso il suo Codice Fiscale)
avviene attraverso la componente Role Detection che in base a quanto specificato nei criteri, si
Il Certificatore di Ruolo da contattare, la Fonte Dati da interrogare, nonch gli attributi da valorizzare,
sono tutte informazioni specificate nella tabella dei criteri. La definizione di un criterio e la sua
associazione ad un ruolo/attributo viene effettuata dinamicamente in fase di configurazione del ruolo
e conservata opportunamente nella banca dati dei ruoli.
Il Role Administration implementa le funzionalit per lamministrazione dei Ruoli, delle Risorse e dei
Criteri.
un nome univoco;
una descrizione;
un insieme di attributi aggiuntivi.
Per ogni ruolo viene definito un certo numero di criteri che consentono la specializzazione degli
Adapter per laccesso a specifiche Fonti Dati per la:
Un criterio pu essere associato ad un ruolo o ad un attributo. Per ogni ruolo sono definite le
informazioni su come certificare la coppia ruolo/utente (fonte dati da contattare, Adapter da utilizzare,
credenziali di accesso, etc.), mentre per un attributo sono definite le modalit di valorizzazione
specificando:
un nome univoco;
una descrizione;
un URL.
Le relazioni tra le varie entit coinvolte nel funzionamento del Role Administration e pi
genericamente del portale, sono illustrate nel diagramma seguente (Figura 5). Lentit Attributo-
Fonte lentit presente sulla fonte dati che permette la valorizzazione di uno specifico attributo del
ruolo, in base al criterio definito per lo stesso attributo.
Role Manager
1..n 1..n
1 <<Comunica>>
Adapter 1
Ruolo
<<Autocertifica>>
1..n
1
1..n
<<Usa>> <<include>>
1..n
Criterio Connector
1..n
Attributo Attributo-Fonte
1..n 1..n
possibile definire in modo separato ed in tempi diversi i criteri, i ruoli, gli attributi. In particolare,
qualora venga definito un ruolo e non vengano selezionati o definiti immediatamente i relativi criteri di
verifica, esso rimane in uno stato intermedio definito bozza e non viene reso disponibile agli altri
moduli. Tale definizione potr essere completata successivamente, rendendo il ruolo attivo e
disponibile. Laggiunta di un attributo al ruolo comporta invece lobbligatoria ed immediata definizione
dei relativi criteri.
Commessa: 05C1204 Specifiche Funzionali PROGETTO ARPA
Pagina 21 di 65
Ai fini esclusivamente esemplificativi si riporta in Figura 6 un esempio di processo di definizione dei
criteri, definizione dei ruoli ed utilizzo dei criteri per la certificazione del ruolo e la valorizzazione degli
eventuali attributi.
CheckRole
FindRole
Il Web Service CheckRole, invocato dal PORTAL (ed eventualmente da altre applicazioni autorizzate)
fornendo in input il Codice Fiscale e il/i ruolo/i per i quali deve essere verificata lappartenenza di un
dato utente, ritorna la conferma o negazione del ruolo in verifica ed eventuali attributi aggiuntivi.
Il Web Service FindRole restituisce lelenco dei ruoli definiti nel Role Manager.
4.5.3 Adapter
Per laccesso alle Fonti Dati il ROLE MANAGER si avvale del modulo Role Detection che a sua volta
fa uso degli Adapter per laccesso alle fonti dati.
Sar fornito un Adapter per la comunicazione con le Fonte Dati che espongono Web Services.
Larchitettura del Role Detector consentir di sviluppare nuovi Adapter. Leventuale necessit di
accedere ai dati messi a disposizione da una Fonte Dati non standard o semplicemente non prevista
potr essere risolta mediante limplementazione di un opportuno Adapter scritto ad ad-hoc.
La modalit scelta per la cooperazione ad eventi quella Publish & Subscribe, in cui il Role Manager,
attraverso il Proxy_Role implementato sul NAL, pubblicher gli eventi legati alla variazione
(creazione, modifica, cancellazione) di un ruolo e relative informazioni collegate (attributi e risorse)
allinterno del repository dei ruoli; i sottoscrittori di tali eventi saranno il PORTALE, che dovr
aggiornare il suo repository e lSRTY.
REQNF01
Descrizione Ogni utente amministratore deve avere un solo punto di accesso per tutte le
operazioni di amministrazione relative a ciascun sottosistema.
Il sottosistema PORTAL dovr offrire un desktop per l'utente amministratore
(Administrator) da dove poter accedere a tutte le funzionalit di amministrazione
(cfr. REQ26).
REQNF02
Descrizione posto come vincolo l'utilizzo del CART per le operazioni di sincronizzazione delle
informazioni relative ai ruoli e alle risorse.
Il ROLE MANAGER pubblicher sul CART i dettagli circa le operazioni effettuate
da Administrator sui ruoli e sulle risorse; tutti gli altri sottosistemi potranno quindi
accedere a tali informazioni per allineare i propri repository
REQNF03
Descrizione Scopo principale del sistema in oggetto quello di offrire una infrastruttura di
accesso alle risorse disponibili, sia mediato attraverso PORTAL (componente SRA
Gateway) sia diretto.
Affinch laccesso diretto sia possibile deve verificarsi una ed una soltanto delle
seguenti condizioni:
1. la risorsa installata in un container web compatibile con l'installazione di
AM Policy Agent (si veda la documentazione relativa indicata nel glossario
in 1.3);
2. la risorsa viene resa raggiungibile esclusivamente attraverso un container
web, che faccia da reverse proxy, all'interno del quale installabile AM
Policy Agent (ad esempio Sun Web Proxy Server).
REQNF04
Nome Sicurezza
Descrizione Per i dettagli relativi alla sicurezza si faccia riferimento alla Sezione 6 di questo
documento.
Use Cases
REQNF05
Descrizione La versione di SRTY sviluppata per l'integrazione nel presente sistema dovr
essere retrocompatibile con la versione attualmente operativa.
In particolare le applicazioni correntemente disponibili allinterno della versione
attualmente operativa non necessiteranno di alcuna modifica per funzionare con la
nuova versione, eccezion fatta per la sezione relativa ai ruoli ed alla loro
associazione con i profili applicativi.
Use Cases
REQNF06
Use Cases
REQNF07
Descrizione Prima della messa in opera del sistema verranno importati i dati di accesso relativi
agli utenti di dominio interno in modo che questi possano evitare la fase di self
registration (REQ02).
Use Cases
REQNF08
Use Cases
REQNF09
Descrizione Le prestazioni delle funzionalit di verifica dei ruoli (cfr. REQ05) dipendono in
maniera assoluta dai tempi operativi e di risposta delle fonti dati.
Use Cases
REQNF10
Nome Accessibilit
Descrizione Tutte le componenti di sistema che prevedono uninterazione di tipo web con
lutente (come ad esempio il desktop di portale) dovranno essere sviluppate in
modo da soddisfare i requisiti di accessibilit web espressi dal CNIPA per i sistemi
di e-government.
Use Cases
REQ01
Descrizione Nel momento in cui un utente, Internet User o Domain User, tenta l'accesso, il
sistema dovr richiedergli un certificato di autenticazione valido (PDC).
Una volta che l'utente fornisce il certificato richiesto, il sistema verificher che:
1. sia un certificato valido rilasciato da una CA riconosciuta;
2. non sia scaduto;
3. Il seriale del certificato non compaia nelle liste di revoca (CRL) a
disposizione del sistema.
Se tali requisiti sono soddisfatti, il sistema dovr verificare che:
l'utente non sia in Black List (REQ07).
Nel caso in cui tutti i requisiti sono soddisfatti, l'utente sar autorizzato a
proseguire e quindi ad accedere al proprio desktop di portale (REQ03).
Nel caso in cui l'utente sia al primo accesso, prima di controllare la sua presenza in
Black List e di poter accedere al proprio desktop, dovr effettuare un'operazione di
Self Provisioning (REQ02).
In caso di autenticazione fallita dovuta ad un motivo qualunque collegato ai
prerequisiti di cui sopra, il sistema dovr restituire una pagina d'errore.
REQ02
Descrizione Nel caso in cui un utente, Internet User o Domain User, dotato di un certificato
valido (REQ01), si presenti al sistema per un primo accesso, verr presentata una
procedura che gli permetter di registrarsi nel sistema. Con questa procedura
l'utente dovr specificare alcuni suoi dati anagrafici ed i ruoli che possiede al
momento.
La scelta dei ruoli deve avvenire a partire da una lista fornita dal ROLE MANAGER
(REQ06).
Le informazioni inserite dall'utente dovranno essere verificate dal sistema: in
particolare, per ogni ruolo tale che la coppia utente / ruolo non sia presente nella
White List (REQ08), dovr essere effettuato un controllo presso il ROLE
MANAGER al fine di verificare che l'utente possa o meno ricoprire il ruolo in
questione (REQ05). Per ogni ruolo valido il ROLE MANAGER dovr restituire una
lista di attributi valorizzati (chiave, valore) che il sistema dovr provvedere a
memorizzare nel repository di PORTAL, compatibilmente con quanto stabilito in
REQ21.
Nellattesa che tutti i suoi dati vengano verificati, lutente avr accesso solo ad un
desktop temporaneo in cui non saranno presentate le risorse associate ad i ruoli
specificati. Un volta terminato il processo di validazione, lutente, in caso di
dichiarazione veritiera, potr accedere alle risorse visualizzate in ragione dei ruoli
dichiarati.
REQ03
REQ04
Descrizione Il sistema dovr mettere a disposizione una funzionalit per la gestione delle liste
di revoca dei certificati.
REQ05
Descrizione Il ROLE MANAGER dovr mettere a disposizione di tutti gli altri sottosistemi ed in
particolare del sottosistema PORTAL, una funzionalit per verificare se un certo
utente, al momento della richiesta, possa essere associato ad un certo ruolo.
La funzionalit in questione, a partire da un Codice Fiscale (CF) ed un ruolo
qualunque, dovr essere in grado di rispondere, controllando sulle specifiche fonti
dati, se l'associazione tra codice fiscale e ruolo sia possibile o meno.
REQ06
Descrizione Il ROLE MANAGER deve mettere a disposizione di tutti gli altri sottosistemi ed in
particolare del sottosistema PORTAL, una funzionalit per mostrare tutti i ruoli
registrati.
REQ07
Descrizione In fase di Self Provisioning o di modifica del proprio profilo, in caso di dichiarazione
non verificata di appartenenza ad un certo ruolo, il sistema dovr inserire l'utente in
una lista che impedir a questo di accedere ai servizi di portale e a tutte le altre
risorse.
Dovr essere prevista, in ambiente di amministrazione, una funzionalit per la
gestione della Black List (cfr. REQ26, REQ34 e REQ35).
REQ08
Descrizione La White List un insieme di associazioni (utente, ruolo). Per ogni coppia di
questo tipo, il sistema permetter all'utente di selezionare il ruolo indicato - in fase
di Self Provisioning (REQ02) o di modifica del profilo (REQ09) senza essere
sottoposto alle verifiche di cui al REQ05. Le associazioni in White List non sono
sottoposte ai vincoli temporali di validit di cui al REQ21.
Le verifiche di cui al REQ05 hanno anche la conseguenza di valorizzare gli attributi
associati ai ruoli sotto verifica; poich in caso di White List le verifiche non hanno
luogo, necessario valorizzare gli attributi attraverso le funzionalit di
amministrazione (cfr. REQ36 e REQ37).
La gestione delle associazioni in White List e la valorizzazione degli attributi
associati ai ruoli sar possibile attraverso l'ambiente di amministrazione (cfr.
REQ26, REQ36 e REQ37).
Use Cases
REQ09
Descrizione Il sistema dovr mettere a disposizione degli utenti la funzionalit per la modifica
del proprio profilo.
L'assegnazione di ogni ruolo verr sempre validata come per la funzionalit di Self
Provisioning (REQ02). In caso di dichiarazione mendace, l'utente sar avvertito del
problema e gli sar richiesta una modifica o un nuova conferma. In caso di una
seconda conferma mendace, l'utente sar inserito in Black List.
In attesa del completamento del processo di validazione lutente avr accesso al
desktop temporaneo cos come previsto per la funzionalit di Self Registration
(REQ02),
REQ10
Descrizione Un utente, Extra-Domain User, autenticato presso un dominio esterno con il quale
sussiste un rapporto di trust, tenta l'accesso al sistema.
Il sistema recuperer dalle asserzioni i ruoli e gli attributi (tra cui il codice fiscale)
che l'utente in questione possiede presso il dominio esterno. Sulla base di queste
informazioni invier un desktop di portale contenente le risorse alle quali l'utente, in
ragione dei ruoli assegnati, ha diritto di accedere.
Nel caso in cui il sistema non sia in grado di reperire le informazioni di cui ha
bisogno per la definizione del desktop di portale, dovr restituire una pagina
d'errore.
Il sistema viene configurato come SAML Service Provider (SP); lidentificazione del
SAML Identity Provider (IdP) remoto avverr sulla base del dominio Internet.
Si intende implementare i meccanismo basandosi sulle specifiche SAML 1.1 con
Browser / POST profile.
Allinterno del sistema, il componente software che verr deputato alla
responsabilit del presente requisito il SAML Auth Module che specializza per
SAML le funzionalit di controllo daccesso di Access Manager.
REQ11
REQ12
REQ13
REQ14
REQ15
Descrizione Il sistema dovr mettere a disposizione la funzionalit per la modifica di una risorsa
esistente.
L'amministratore (Administrator) dovr poter accedere all'interfaccia di
amministrazione centralizzata, selezionare la sezione riguardante il ROLE
MANAGER e quindi scegliere di effettuare l'operazione di modifica di una risorsa
esistente.
L'amministratore dovr scegliere la risorsa da modificare tra la lista di tutte quelle
REQ16
REQ17
REQ18
REQ19
REQ20
Descrizione Qualora un utente registrato non acceda al sistema per un periodo superiore a 90
giorni allora il sistema dovr eliminarne i dati memorizzati, ad eccezione delle
eventuali associazioni in White List (cfr.REQ08).
In tal caso, per un eventuale accesso successivo, l'utente rimosso dovr effettuare
una nuova procedura di Self Provisioning (REQ02).
REQ21
Use Cases
REQ22
REQ23
REQ24
Descrizione La gestione dei profili applicativi sar identica a quella presente nella versione di
SRTY attualmente operante.
Sar quindi possibile definire le funzionalit applicative per ogni applicazione
sviluppata e raggruppare le funzionalit in opportuni profili applicativi.
Use Cases UC4, UC5, UC6
Descrizione Dovr essere predisposta una funzionalit per mezzo della quale dovr essere
possibile eseguire lassociazione tra i ruoli (definiti dal ROLE MANAGER) ed i
profili applicativi definiti allinterno di SRTY.
La determinazione dei ruoli relativi allutente sar quindi lunica operazione
strettamente necessaria per la corretta definizione della pagine applicative di
presentazione.
Use Cases UC4, UC5, UC6
REQ26
Nome Amministrazione
In particolare:
REQ27
Use Cases
REQ28
Descrizione Se l'utente (detto delegato) accede alle risorse fornendo oltre al proprio codice
fiscale, i propri ruoli ed i propri attributi anche un altro codice fiscale, un altro
ruolo ed altri attributi (ossia quelli del delegante), le risorse dovranno comportarsi
come se ad accedere fosse l'utente delegante con il ruolo e gli attributi indicati.
Una delega pu interessare tutte le risorse di un determinato ruolo o solo un
sottoinsieme di queste.
REQ29
Use Cases
REQ30
Descrizione Un utente pu delegare un altro utente su ognuna delle risorse e dei ruoli a lui
attribuiti.
L'amministratore (Administrator) pu definire deleghe su qualsiasi coppia di utenti
limitatamente ai ruoli posseduti dal delegante.
Use Cases
Descrizione PORTAL terr traccia degli accessi alle risorse in modalit delegata; il registro di
tali accessi conterr almeno:
1. data e ora dellaccesso
2. risorsa alla quale si sta accedendo
3. codice fiscale del delegante
4. codice fiscale del delegato
5. ruolo delegato (e relativi attributi) in ragione del quale lutente delegato
autorizzato ad accedere alla risorsa
Le operazioni effettuate dagli utenti che accedono in modalit delegata ad una
risorsa saranno inoltre registrate dalla risorsa stessa.
REQ32
Descrizione Un utente che abbia acceduto al portale e che, in ragione dei propri ruoli, abbia
diritto di usufruire dei servizi offerti da un ente esterno federato, deve poterlo fare
senza la necessit di autenticarsi nuovamente.
Allinterno del sottosistema PORTAL sar necessario configurare la componente
Access Manager che si occuper di fornire all'ente federato (che svolge il ruolo di
SAML Service Provider SP), le credenziali di accesso ed un insieme di attributi
ulteriori relativi all'utente che ha effettuato la richiesta.
Nel caso in cui dovessero esistere un SP o un gruppo di SP che richiedono
attributi diversi rispetto a quelli previsti di default, sar necessario sviluppare un
software ad-hoc dedicato a soddisfare tale richiesta. Per la realizzazione di tale
software non si prevedono meccanismi automatici di generazione e
configurazione.
Il SAML Identity Provider IdP (Access Manager) fornir ai SP solo le informazioni
di cui dispone, senza alcuna rielaborazione o interpretazione. Sar compito
esclusivo dei SP interpretare le informazioni ricevute.
REQ33
Use Cases
REQ34
Use Cases
REQ35
Use Cases
REQ36
Use Cases
REQ37
Use Cases
Internet user
Utenti che accedono al sistema da Internet senza aver eseguito autenticazioni presso uno
degli Identity Provider riconosciuti dal sistema stesso.
Domain user
Utenti che accedono al sistema dal dominio interno.
Extra-domain user
Utenti che accedono al sistema da Internet dopo l'autenticazione presso uno degli Identity
Provider riconosciuti dal sistema stesso.
Administrator
Gli utenti che accedono con funzioni amministrative.
Nella descrizione degli scenari ci si riferiti di volta in volta allintero blocco logico PORTAL o ad
alcune delle sue componenti (Access Manager, Desktop Provider, SRA Gateway) a seconda della
necessit allinterno del contesto di riferimento.
5.3.1 Accesso senza self-registration
Nome UC1
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sul punto di accesso al sistema.
Postcondizioni L'utente visualizza l'elenco delle risorse alle quali ha diritto di accedere.
Eccezione 1: Se il sistema non riconosce il certificato come valido (ci
possibile per diversi motivi: ad esempio issuer sconosciuto, errore nel
formato, presenza in CRL, certificato scaduto) invia una pagina di errore.
Eccezione 2: Se l'utente non ha diritto a uno o pi dei ruoli che ha
selezionato, il sistema invia una pagina di conferma contenente i ruoli
selezionali ed un messaggio di errore. In caso di ulteriore fallimento della
Nome UC2
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
accesso al sistema.
Postcondizioni L'utente visualizza l'elenco delle risorse alle quali ha diritto di accedere.
Eccezione 1: Se il sistema non riconosce il certificato come valido (ci
possibile per diversi motivi: ad esempio issuer sconosciuto, errore nel
formato, presenza in CRL) invia una pagina di errore.
Eccezione 2: Se l'utente non ha diritto a uno o pi dei ruoli che ha
selezionato, al successivo accesso, il sistema chieder conferma allutente
delle scelte effettuate. In caso di ulteriore fallimento della verifica dei ruoli, il
sistema inserisce lutente in Black List impedendogli quindi accessi futuri
anche al desktop temporaneo.
Nome UC3
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
Postcondizioni L'utente visualizza l'elenco delle risorse alle quali ha diritto di accedere.
Eccezione: Se il sistema non riesce a recuperare dal dominio esterno le
informazioni necessarie sull'utente, invia una pagina di errore.
Nome UC4
Priorit Alta
Eventi di ingresso L'utente visualizza i collegamenti a risorse presenti sul proprio desktop di
Nome UC5
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
accesso ad una risorsa.
Nome UC6
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
accesso ad una risorsa.
Nome UC7
Priorit Alta
Eventi di ingresso L'utente visualizza i collegamenti a risorse presenti sul proprio desktop di
portale e sceglie di accedere ad una di queste.
Nome UC8
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
accesso ad una risorsa.
Priorit Alta
Eventi di ingresso L'utente punta il proprio browser web sull'URL corrispondente al punto di
accesso ad una risorsa.
Nome UC10
Priorit Alta
Descrizione Lutente, allinterno di una sessione valida di utilizzo del sistema, decide di
voler variare lelenco dei ruoli in suo possesso.
Una volta che l'utente ha selezionato i propri ruoli, il sistema verifica che ne
abbia diritto mediante una funzionalit esposta dal ROLE MANAGER.
In attesa di un responso, ad ogni nuovo accesso, lutente potr accedere
solo sul desktop temporaneo.
Se la verifica ha esito positivo, il sistema, per gli accessi successivi, invier
un nuovo desktop di portale contenente le risorse alle quali l'utente in
ragione dei ruoli assegnati ha diritto di accedere.
Postcondizioni L'utente visualizza l'elenco delle risorse alle quali ha diritto di accedere in
ragione dei ruoli che ha appena selezionato.
Eccezione: Se l'utente non ha diritto a uno o pi dei ruoli che ha selezionato,
il sistema, al prossimo accesso, invier una pagina di conferma contenente i
ruoli selezionali ed un messaggio di errore. In caso di ulteriore fallimento
della verifica dei ruoli, il sistema inserisce lutente in Black List impedendogli
laccesso anche al desktop temporaneo.
Nome UC11
Priorit Alta
Nome UC12
Priorit Alta
Descrizione L'utente modifica un nuovo ruolo attraverso l'interfaccia di amministrazione
(Role Administration) del Role Manager, l'evento viene notificato attraverso il
CART a PORTAL e SRTY.
Attori Administrator
Precondizioni L'utente accede all'interfaccia di amministrazione, quindi alla sezione ROLE
MANAGER e seleziona la funzionalit. Lutente pu modificare le
informazioni, ma non pu spostarlo nella gerarchia.
Eventi di ingresso L'utente pu modificare:
- Criterio di verifica;
- Descrizione;
- Attributi aggiuntivi;
- Parametri dei criteri per la valorizzazione degli attributi;
- Le risorse associate.
Nome UC13
Priorit Alta
Descrizione L'utente cancella un ruolo attraverso l'interfaccia di amministrazione (Role
Administration) del Role Manager, l'evento viene notificato attraverso il
CART a PORTAL e SRTY.
Attori Administrator
Precondizioni L'utente accede all'interfaccia di amministrazione, quindi alla sezione ROLE
MANAGER e seleziona la funzionalit
Il ruolo non pu essere cancellato se da esso dipendono (nella gerarchia)
altri ruoli.
Eventi di ingresso L'utente seleziona il ruolo per la cancellazione.
Postcondizioni L'evento viene notificato attraverso il CART a PORTAL e SRTY che
provvedono ad allineare le proprie informazioni sul ruolo e provvedono al
controllo di coerenza dei dati.
Nome UC14
Priorit Alta
Attori Administrator
Nome UC15
Priorit Alta
Attori Administrator
Priorit Alta
Descrizione Viene richiesta la verifica di una lista di ruoli e i la valorizzazione degli
attributi corrispondenti.
Attori Portale
Precondizioni La richiesta fatta in opportuno formato XML/SOAP basato sul WSDL
fornito.
Eventi di ingresso Il Portale invia una richiesta di reperimento attributi dei ruoli fornendo:
- il Codice Fiscale dellutente;
- la lista dei ruoli di cui reperire gli attributi.
Postcondizioni Viene innescato il processo di discovery al termine del quale viene restituita
una Risposta SOAP/XML, basata sul WSDL fornito, contenente le seguenti
informazioni:
Una lista di coppie <Ruolo, {TRUE, FALSE}>
Nel caso di TRUE la lista degli attributi del corrispondente ruolo.
Un codice di errore nel caso in cui il provider non sia raggiungibile, etc.
Nome UC17
Priorit Alta
Descrizione Viene richiesto lelenco di tutti i ruoli.
Attori Portale
Precondizioni La richiesta fatta in opportuno formato XML/SOAP basato sul WSDL
fornito.
Eventi di ingresso Il Portale invia una richiesta di reperimento dei ruoli.
Postcondizioni Viene restituita una Risposta SOAP/XML, basata sul WSDL fornito,
contenente lalbero gerarchico dei ruoli presenti.
5.3.13 Accesso delegato a risorse attraverso PORTAL
Nome UC18
Priorit Alta
Descrizione L'utente accede ad una risorsa attraverso loggetto delega rappresentato sul
proprio desktop di portale.
Il sistema, prima di ridirigere l'utente verso la risorsa selezionata, provvede
a rendere reperibili via AMSDK le informazioni richieste dalla delega e a
tenere traccia dellaccesso in modalit delegata che si sta effettuando.
Eventi di ingresso L'utente visualizza i collegamenti a risorse presenti sul proprio desktop di
portale.
Nome UC20
Priorit Alta
PORTAL REQNF01
REQNF03
REQ01
REQ02
REQ03
REQ04
REQ07
REQ08
REQ09
REQ10
REQ27
REQ28
REQ29
REQ30
REQ31
REQ32
REQ33
REQ34
REQ35
REQ36
REQ37
compito del piano di sicurezza impedire che gli utenti non raggiungano e/o accedano ad aree non
autorizzate e mantenere separati i flussi informativi, anche se i sistemi interessati possono essere gli
stessi.
Dallanalisi dei flussi si nota che l'utente Administrator avr accesso alle funzioni di amministrazione a
livello applicativo di tutte le aree funzionali.
System Administrator
o La sua funzione la mera amministrazione dei sistemi lato sistema operativo
o Il system administrator accede ai sistemi tramite il protocollo sicuro
o Il system administrator accede a tutte le console di sistema operativo dei sistemi
installati
o Il system administrator accede e controlla le politiche di backup dei sistemi
o Il system administrator deve poter svolgere tutte le comuni funzioni di amministrazione
di sistema come creazione utenti, log ecc.
Administrator
o La sua funzione lamministrazione di tutti gli applicativi dell'infrastruttura
o L'administrator accede solo tramite protocollo sicuro HTTPS secondo le modalit di
autenticazione previste al REQ01 con i supporti previsti dal REQNF08
o L'administrator accede a tutte le console degli applicativi installati
o L'administrator crea/modifica/cancella ruoli, utenze, log ecc.
Internet User
o L'internet user accede a tutti i servizi erogati dall'infrastruttura solo attraverso la rete
Internet
o L'internet user accede solo tramite protocollo sicuro HTTPS secondo le modalit di
autenticazione previste al REQ01 con i supporti previsti dal REQNF08
Domain User
o Il domain user accede a tutti i servizi erogati dall'infrastruttura sia attraverso la rete
Internet sia attraverso la rete interna
o Il domain user accede solo tramite protocollo sicuro HTTPS secondo le modalit di
autenticazione previste al REQ01 con i supporti previsti dal REQNF08
Extra-domain User
o L'extra-domain user accede a tutti i servizi erogati dall'infrastruttura solo attraverso la
rete internet
o L'extra-domain user accede solo tramite protocollo sicuro HTTPS secondo le modalit
di autenticazione previste al REQ01 con i supporti previsti dal REQNF08
o L'extra-domain user viene autenticato tramite il principio della federazione gestito
dall'Access Manager
o L'autenticazione gestita dalla federazione utilizza il protocollo di trasporto HTTPS
Hardening
I sistemi operativi moderni sono configurati per default con una serie di servizi che possono essere
utili in certi contesti ma molto rischiosi in altri.
L'hardening di un sistema operativo consiste nel disabilitare in maniera selettiva i servizi offerti in
modo tale da non influenzarne la gestione e l'erogazione, minimizzando i rischi. Anche Sun Solaris
che comunque un sistema operativo general-purpose sebbene gi sufficientemente sicuro,
necessita di alcune operazioni atte a massimizzarne la sicurezza.
Si suggerisce di effettuare l'hardening dei sistemi utilizzando la metodologia delle blueprints con
l'ausilio del tool JASS.
Non suggerita la minimizzazione dei sistemi per motivi di supportabilit dei medesimi.
Scendendo nel dettaglio, le operazioni di hardening da effettuare con l'ausilio del tool JASS verranno
implementate principalmente tramite l'esecuzione di una serie di script che si preoccuperanno di
svolgere o meno (a seconda di diversi fattori tra cui ad esempio la versione del sistema operativo o la
presenza o meno di certi package sul sistema) disabilitazioni di servizi.
anche cura della metodologia dell'hardening stabilire le politiche sulle password; ad esempio: