cn:ccr:aai:howto:authz:home
Differences
This shows you the differences between two versions of the page.
Both sides previous revisionPrevious revision | |||
cn:ccr:aai:howto:authz:home [2019/05/13 17:42] – [Gruppi Logici] enrico@infn.it | cn:ccr:aai:howto:authz:home [2019/12/12 10:40] (current) – enrico@infn.it | ||
---|---|---|---|
Line 1: | Line 1: | ||
+ | ====== Authz (Gestione delle Autorizzazioni) ====== | ||
+ | |||
+ | INFN-AAI mette a disposizione sia via protocollo LDAP che via protocollo SAML, alcuni strumenti per la gestione delle autorizzazioni, | ||
+ | |||
+ | Questo è reso possibile | ||
+ | |||
+ | |||
+ | ===== Ruoli Istituzionali ===== | ||
+ | |||
+ | In GODiVA sono gestiti i vari ruoli istituzionali relativi a Dipendenti, Associati, Ospiti e Visitatori. Le Nomine, le afferenze scientifiche, | ||
+ | |||
+ | Tutto questo viene gestito in GODiVA attraverso una struttura dati " | ||
+ | |||
+ | |||
+ | ==== Gruppi Logici ==== | ||
+ | |||
+ | Per poter gestire gruppi di persone, indipendentemente dal loro stato giuridico all' | ||
+ | |||
+ | Una guida dettagliata su come gestire i gruppi logici è in [[cn: | ||
+ | |||
+ | |||
+ | ==== Ereditarietà ==== | ||
+ | |||
+ | E' possibile associare una Identità Digitale ad un dominio (ovvero assegnare ad essa un ruolo) anche in modo indiretto, ossia associando al dominio un gruppo di Identità Digitali, opportunamente selezionate. Ad esempio è possibile associare al dominio " | ||
+ | |||
+ | |||
+ | ==== isMemberOf ==== | ||
+ | |||
+ | Qualunque Ruolo associato ad una Identità Digitale presente in GODiVA viene trasformato in un opportuno valore dell' | ||
+ | |||
+ | Ad esempio il ruolo di responsabile nazionale del progetto AAI di Commissione Calcolo e Reti (Commissione Scientifica Nazionale 7) si traduce nel valore | ||
+ | |||
+ | isMemberOf: s: | ||
+ | | ||
+ | Nel caso di ruoli ereditati, al relativo valore dell' | ||
+ | |||
+ | isMemberOf: accessi: | ||
+ | |||
+ | |||
+ | ==== Gruppi LDAP ==== | ||
+ | |||
+ | Ad ogni ruolo definito in GODiVA corrisponde un Gruppo LDAP il cui DN è formato concatenando i codici numerici che identificano i nodi dei vari alberi di RuoloAnagrafica in GODiVA e non è quindi " | ||
+ | |||
+ | Oltre ai Gruppi LDAP, per accessi attraverso il protocollo SAML, l'IdP definisce dei " | ||
+ | |||
+ | |||
+ | |||
+ | ==== Entitlement ==== | ||
+ | |||
+ | |||
+ | Nell' | ||
+ | * schAcUserStatus (definito nello SCHema for ACademia [[https:// | ||
+ | * eduPersonEntitlement (definito nello schema [[https:// | ||
+ | |||
+ | |||
+ | Per entrambi gli attributi è previsto un valore del tipo URN, con delega dello spazio dei nomi. Per il primo, la delega è implicita ed è definita dal nome a dominio dell' | ||
+ | |||
+ | < | ||
+ | Ad esempio: | ||
+ | |||
+ | schacUserStatus: | ||
+ | ^ | ||
+ | |__ Delega implicita all' | ||
+ | </ | ||
+ | |||
+ | Il valore di URN da assegnare ad eduPersonEntitlement, | ||
+ | |||
+ | |||
+ | I valori di eduPersonEntitlement vengono assegnati dai processi di provisioning di GODiVA e possono essere sia " | ||
+ | |||
+ | Un esempio di assegnazione statica sono i valori di eduPersonEntitlement che autorizano alla richiesta di certificati TCS Terena, rilasciati da DigiCert | ||
+ | |||
+ | < | ||
+ | eduPersonEntitlement: | ||
+ | eduPersonEntitlement: | ||
+ | </ | ||
+ | |||
+ | che sono assegnati a tutte le Identità Digitali con un ruolo attivo di Dipendente o Associato. Il valore di schacUserStatus evidenziato nell' | ||
+ | |||
+ | ===== RBEA (Role Based Entitlement Assignment) | ||
+ | |||
+ | {{ : | ||
+ | |||
+ | Gli script Groovy eseguibili all' | ||
+ | |||
+ | |||
+ | A tutte le Identità Digitali con un ruolo definito nel nodo mostrato in figura, verrà assegnato il valore di eduPersonEntitlement | ||
+ | |||
+ | eduPersonEntitlement: | ||
+ | | ||
+ | |||
+ | Il vantaggio nell' | ||
+ | |||
+ | ===== SP SAML ed Utilizzo degli Entitlement ===== | ||
+ | |||
+ | Gli attributi eduPersonEntitlement sono accessibili a chiunque attraverso query LDAP autenticate. Affinchè un SP SAML possa utilizzarli, | ||
+ | |||
+ | Nel caso relativo all' | ||
+ | |||
+ | .*: | ||
+ | | ||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
+ | |||
cn/ccr/aai/howto/authz/home.txt · Last modified: 2019/12/12 10:40 by enrico@infn.it