Interoperabilità e sostenibilità, integrazione e compatibilità: con AARC2 l’identità delle comunità di ricerca è più europea

Negli ultimi anni, l’accesso federato si è affermato come strumento di facilitazione per l’accesso e condivisione delle risorse in un ambiente che garantisca la sicurezza e la privacy degli utenti. I suoi vantaggi sono ormai noti a molti: la possibilità di utilizzare le stesse credenziali per accedere a servizi e piattaforme diverse (Single Sign-On o SSO), credenziali che vengono verificate dalle organizzazioni di appartenenza degli utenti, rendendo così l’accesso ad infrastrutture di ricerca veloce, sicuro e rispettoso della privacy dell’utente, a tutto beneficio della collaborazione scientifica a livello internazionale.

La crescita delle adesioni alle federazioni d’identità a livello nazionale (come IDEM) ed internazionale (come il servizio di interfederazione eduGAIN) è indice della crescente domanda di servizi di accesso federato. Oltre a queste federazioni, alcune e-infrastructure e delle infrastrutture di ricerca hanno sviluppato autonomamente delle piattaforme di autenticazione ed autorizzazione (come ELIXIR o EGI). Questo panorama, se da un lato dimostra il modello vincente delle federazioni quali strumento per aumentare in modo efficiente la collaborazione scientifica a livello internazionale, dall’altro porta alla luce nuove sfide da affrontare. Sebbene, infatti, l’accesso federato ad un’infrastruttura di ricerca sia oggi possibile, l’autorizzazione trasversale tra infrastrutture resta difficile e non sono rari i casi (come CORBEL) in cui lo stesso ricercatore debba accedere a più infrastrutture nell’ambito dello stesso progetto. Ed è proprio qui che nasce la sfida: integrare i servizi d’identità tra infrastrutture differenti, fornendo alle comunità della ricerca un supporto essenziale per la condivisione sicura di dati e risorse. Per fare questo è necessario partire dai requisiti per una gestione federata delle identità che sia adeguata per le comunità scientifiche, le infrastrutture di ricerca e le e-Infrastructure senza dimenticare però i vincoli delle tecnologie già in uso nelle diverse realtà e puntando a delle soluzioni sostenibili nel tempo, sia dal punto di vista economico che tecnologico.

Capire le esigenze della comunità

Il progetto europeo AARC (Authentication and Authorisation for Research and Collaboration, 2015-2017) per primo ha raccolto i requisiti delle e-Infrastructure in materia di Autenticazione e Autorizzazione Federata. Il progetto ha riunito 20 partner tra cui GARR ed altre NREN, GÉANT, le e-Infrastrutture come EGI e EUDAT e le più importanti comunità di utenti come ELIXIR e DARIAH.

I requisiti raccolti coprono diverse aree e sono condivisi tra le e-Infrastructure e le comunità della ricerca coinvolte nel progetto. Questi mirano ad un’infrastruttura integrata di Autenticazione e Autorizzazione (AA) facile da usare e basata su tecnologie open, che fornisca agli utenti un’unica identità digitale all’interno dei servizi della comunità e che permetta loro di accedere a tutti i servizi utilizzando le stesse credenziali della loro organizzazione di provenienza. Quest'infrastruttura deve inoltre fornire un’integrazione sicura di soluzioni d’identità per gli ospiti; meccanismi avanzati di autenticazione e permettere agli utenti di accedere ai servizi sulla base del loro ruolo all’interno del progetto di collaborazione scientifica.

Dall’analisi dei requisiti alla progettazione: il prototipo

Per rispondere a queste esigenze, è stata ideata un’architettura (BPA, Blueprint Architecture) destinata a sviluppatori software e decision maker tecnici che progettano e realizzano soluzioni di access management per collaborazioni internazionali di ricerca. La Blueprint Architecture definisce dei blocchi funzionali per permettere l’interoperabilità con le federazioni di identità nazionali e eduGAIN.

AARC a colpo d’occhio: interoperabilità e accesso facilitato alle infrastrutture digitali per le collaborazioni scientifiche

Armonizzare le regole per un’infrastruttura comune: le policy

L’armonizzazione delle regole delle diverse organizzazioni per la gestione delle identità è chiaramente una condizione imprescindibile per il raggiungimento di un’infrastruttura AA integrata. Per questo AARC ha puntato sulla condivisione di raccomandazioni e buone pratiche comuni che seguano due principi fondamentali: la scalabilità e la sostenibilità delle soluzioni.

Il principale aspetto da armonizzare è l’affidabilità delle identità, degli identificatori e degli attributi degli utenti provenienti da organizzazioni diverse. L’interazione tra infrastrutture comporta, infatti, la necessità di integrare attributi da fonti diverse.

Un altro punto importante è stato l’adozione di regole comuni di risposta agli incidenti e per questo è stato sviluppato SIRTFI (Security Incident Response Trust Framework for Federated Identity), uno schema comune per coordinare la risposta agli incidenti tra le organizzazioni federate. Sempre nell’ambito della sicurezza ci si è posti il problema di creare un modello di fiducia per la gestione dei proxy, e per questo è in corso di sviluppo un set di regole specifico denominato SNCTFI (Scalable Negotiator for a Community Trust Framework in Federated Infrastructures), nonché uno schema efficace per la negoziazione di policy tra gestori delle identità, dei servizi e degli attributi. Infine, il focus delle attività di AARC si è concentrato sulle modalità di protezione dei dati (per lo più personali) che sono generati dall’uso delle infrastrutture stesse e dalle procedure di tracciabilità (accounting), necessarie per ragioni di sicurezza e contabilizzazione delle risorse.

La sperimentazione: i progetti pilota

In linea con il progetto di architettura e le linee guida concordate, sono stati attivati dei progetti pilota all’interno dei quali sono state sperimentate 18 diverse soluzioni, in modo da valutarne il grado di adeguatezza rispetto ai requisiti funzionali e tecnici delle comunità della ricerca e delle e-Infrastructure. I progetti pilota si sono focalizzati su tre aree principali: innanzitutto estendere la portata dell’infrastruttura di accesso federato ad ulteriori comunità, come ad esempio le biblioteche, supportare l’uso di identità “esterne”, come Google ID; poi testare le componenti tecniche e le policy in un ambiente di produzione e infine sperimentare scenari di condivisione di risorse tra e-Infrastructure diverse utilizzando le stesse credenziali.

Coinvolgere le comunità della ricerca

Mentre AARC era mirato alla creazione di un progetto di architettura integrata come riferimento per tutte le AAI, con il progetto AARC2 (2017-2019) si è passati alla fase di messa in atto vera e propria del progetto e delle policy comuni con un maggiore coinvolgimento di e-infrastrutture e comunità di ricerca, che diventano parte attiva del progetto. Con AARC2 si riparte quindi dal lavoro compiuto dal predecessore e ci si pone l’obiettivo di estenderne i risultati al maggior numero possibile di utenti. Per fare ciò, 8 nuove research infrastructure si sono aggiunte al progetto e l’obiettivo è che esse comprendano e recepiscano le proposte di architettura e policy di AARC. Per questo motivo, il fulcro delle attività sono i nuovi pilot, la verifica dei requisiti comuni tra le nuove comunità e l’implementazione della soluzione per ciascuna di loro. Queste nuove comunità sono: ELIXIR e CORBEL, CTA, EPOS, LIGO, HelixNebula, WCLG, EISCAT-3d e LifeWatch.

Ma c’è di più: in AARC2 si continua a prestare molta attenzione alle collaborazioni scientifiche internazionali che coinvolgono ricercatori appartenenti a organizzazioni diverse e non sempre federate, come nel caso dei citizen scientist o dei collaboratori provenienti dal mondo dell’industria. Per queste situazioni si supera il modello di accesso federato basato sull’istituzione di appartenenza degli utenti facendo ricorso per esempio alle cosiddette virtual organisation (VO). Di queste collaborazioni, rappresentanti di eccellenza sono i progetti LIGO (Laser Interferometer Gravitational - Wave Observatory) e CTA (Cherenkov Telescope Array).

Ovviamente, le attività di formazione svolgono un ruolo centrale in questa nuova fase del progetto ed è per questo che un’ampia gamma di corsi è stata creata con lo scopo di indirizzare i bisogni di tutti i tipi di utenti, dall’esperto tecnico al decisore che deve scegliere come gestire l’access management per i servizi delle comunità.

Una novità all’interno del progetto è la creazione di due forum per facilitare il dialogo con le comunità della ricerca. Il primo è il Community Engagement Forum, per rendere accessibile il materiale informativo, incoraggiare il feedback sui diversi pilot da parte delle comunità della ricerca ma anche per dare l’opportunità a tutte le comunità di presentare il proprio caso, condividendo soluzioni a problemi che potrebbero essere comuni o presentando delle criticità insolute. Il secondo gruppo è invece più tecnico, l’Engagement Group for Infrastructure (AEGIS), ed è volto agli esperti tecnici del progetto al fine di presentare i risultati, promuovere una visione condivisa e coerente dell’accesso federato e facilitare le attività in modo che infrastrutture diverse possano adottare soluzioni interoperabili, preferibilmente basate sulla Blueprint Architecture.

Certo AARC2 non è che appena cominciato, ma già il numero delle comunità coinvolte e la loro forte partecipazione sono senza dubbio un ottimo inizio

I centri oggi attivi nella rete globale di osservazione delle onde gravitazionali comprendono i due rivelatori gemelli di LIGO negli USA, il tedesco GEO600, e la collaborazione italofrancese VIRGO, localizzata presso Pisa. Il Kamioka Gravitational Wave Detector in Giappone sarà operativo l’anno prossimo mentre un sesto è in progettazione in India. Avere una rete globale di osservatori faciliterà l’identificazione di sorgenti di onde gravitazionali.

COLLABORAZIONI GLOBALI: LIGO

Uno degli obiettivi primari di LIGO è garantire collaborazione efficiente e sicura per sostenere la missione scientifica del progetto. Per fare questo, LIGO sta lavorando con le federazioni di identità negli Stati Uniti, in Europa, Giappone, Australia e Canada per integrare l’infrastruttura di calcolo LIGO con queste federazioni d’identità in modo da consentire agli scienziati che desiderano collaborare con noi di utilizzare le loro credenziali già esistenti per accedere alle risorse di LIGO. Oltre all’abilitazione all’accesso, però, dobbiamo anche gestire l’autorizzazione a quei servizi web e applicazioni necessari alla collaborazione. Con AARC2, abbiamo incorporato i risultati di AARC nella nostra e-Infrastructure e ci proponiamo di utilizzare maggiormente le identità federate basate sulle istituzioni e ridurre l’uso di IdP per ospiti. Particolare attenzione verrà rivolta alle risorse non-web based, incluso l’accesso ai cluster di calcolo e ai servizi di archiviazione e distribuzione dei dati. L’importanza di progetti di collaborazione come AARC2 sono essenziali per la creazione e il mantenimento di standard condivisi che possono essere facilmente adottati da collaborazioni di ricerca di tutte le dimensioni.

Paul Hopkins, Cardiff University
LIGO, Laser Interferometer Gravitational-Wave Observatory

COLLABORAZIONI GLOBALI: Cherenkov Telescope Array

Ilconsorzio CTA include su scala globale più di 1350 membri tra scienziati ed ingegneri provenienti da 32 Paesi diversi. Nell’ambito del Data Management Team di CTA, INAF si occupa da anni di contribuire ad ideare e fornire un prototipo per l’AAI, spaziando dalla raccolta dei requisiti utente fino allo sviluppo di un vero e proprio pilot. In AARC2 portiamo questa esperienza in termini di user requirement già raccolti e di impegno nella user experience, cioè quell’insieme di percezioni quali l’utilità, la semplicità d’utilizzo e l’efficienza del sistema che ne determinano l’adozione da parte della comunità scientifica. Cosa ci aspettiamo da AARC2? Un sensibile miglioramento nell’incident response attraverso l’adozione mutuata dai partner delle pratiche standard già ben definite a livello internazionale, come Sirtfi, e l’adozione di tecnologie aperte che siano sostenibili nel tempo, considerato che il sistema di AA dovrà rimanere operativo per diversi decenni. Ci aspettiamo inoltre di migliorare la definizione dei Level of Assurance (LoA) e ovviamente di interagire a livello di conoscenza della tecnologia direttamente con i partner coinvolti in AARC2.

Alessandro Costa, INAF
Cherenkov Telescope Array (CTA)