Skip to main content
Una Roadmap per eduGAIN

Una Roadmap per eduGAIN

| Davide Vaghetti | Servizi alla comunità

Articolo letto 598 volte

A Pisa un “All hands meeting” per discutere il futuro di eduGAIN

Il 20 ed il 21 aprile il team del servizio eduGAIN si è riunito presso il centro congressi delle Benedettine dell’Università di Pisa per definire nel dettaglio la roadmap di sviluppo del prossimo biennio.

eduGAIN è quella che definiamo una “infrastruttura fidata” per lo scambio dei dati di connessione ai sistemi di autenticazione e ai sistemi di accesso alle risorse delle federazioni di identità della ricerca e dell’istruzione a livello mondiale.

Lo sviluppo e la gestione di eduGAIN sono finanziati tramite il progetto GÉANT e i membri del team sono tecnologi provenienti da GARR, PSNC, RENATER, DFN, SURF, SRCE, RENAM, CESNET, JISC, GRNET, KIFU, SWITCH, AMRES.

La roadmap per il futuro del servizio eduGAIN

eduGAIN oggi conta 78 federazioni partecipanti e più di 8.900 entità pubblicate tra sistemi di autenticazione e risorse. A livello di governance, eduGAIN è gestita tramite uno steering group in cui sono presenti due delegati per ogni partecipante.

Il meeting di due giorni a Pisa è stata l’occasione per fare il punto sulla roadmap di sviluppo del servizio per il prossimo biennio, ma soprattutto per prendere in carico le raccomandazioni dell’eduGAIN Futures Working Group, un gruppo di lavoro di eduGAIN che ha delineato una serie di raccomandazioni dirompenti per creare l’eduGAIN del futuro.

Il lavoro dell’eduGAIN Futures Working Group, a cui ha partecipato anche IDEM insieme a molte altre federazioni, è partito da un presupposto fondamentale: per rimanere utile e competitiva anche in futuro, eduGAIN deve cambiare profondamente, abbandonare l’approccio neutrale nell’applicazione degli standard e trasformarsi in un’infrastruttura con requisiti operativi, di sicurezza e di privacy stringenti e organi di governo più snelli.

Una prima proposta concreta di cambiamento, già pubblicata dal gruppo di lavoro ed attualmente in consultazione, è la sostituzione dell’attuale eduGAIN Steering Group con due nuovi organi: un eduGAIN Steering Committee (eSC), che eserciterà le funzioni esecutive, e l’eduGAIN Assembly, che eserciterà le funzioni di rappresentanza e ratifica delle modifiche dei regolamenti. L’eSC rimarrà in carica 2 anni, sarà composto da 7 membri e presieduto da un chair nominato al proprio interno.

Il team del servizio eduGAIN

Il team del servizio eduGAIN

Più interoperabilità e sicurezza

Le raccomandazioni più tecniche dell’eduGAIN Futures WG si sono sviluppate in tre direzioni di base: interoperabilità, requisiti di sicurezza e privacy a livello di eduGAIN, possibilità di agire a livello di singola entità.

Migliorare l’interoperabilità vuol dire implementare standard certi per il rilascio degli attributi necessari ad accedere ai servizi, per gli identificatori da utilizzare, per gli algoritmi di cifratura, ecc. Non che oggi questi standard non esistano, ma sono implementati solo dalle federazioni di identità e spesso in modo non uniforme, mentre a livello di eduGAIN viene richiesto un livello minimo di adeguatezza, che spesso non basta a garantire un grado soddisfacente di interoperabilità.

Lo stesso vale per i requisiti di sicurezza e privacy. Gli standard esistono, ma sono implementati solo da alcune federazioni e solo per una parte delle entità disponibili su eduGAIN, con il risultato che a livello interfederato non tutti seguono un insieme condiviso di regole sul trattamento dati o la gestione degli incidenti.

Più margine d’azione in caso di problemi

Oggi le policy di eduGAIN non permettono azioni sulle singole entità, come ad esempio il filtraggio, ma solo la sospensione di intere federazioni. La sospensione però è una misura estrema che avviene solo in caso di gravi violazioni o di problemi tecnici non risolvibili, mentre a livello di singola entità i requisiti sono tenuti come già detto ad un minimo livello di adeguatezza. Invece con la possibilità di agire sulla singola entità, eduGAIN avrà uno strumento efficace per garantire l’applicazione degli standard di sicurezza e privacy ed il rispetto dei requisiti tecnici di interoperabilità.

La strada verso il futuro

Nel meeting di Pisa, l’eduGAIN Service Team ha definito la roadmap per iniziare ad implementare tecnicamente le raccomandazioni dell’eduGAIN Futures WG insieme alle proposte di evoluzione e rinnovo del servizio e delle sue componenti.

eduGAIN è nata grazie all’impegno della comunità della ricerca nello sviluppare soluzioni tecnologiche in grado di rispondere alle proprie esigenze, ed oggi è un’infrastruttura di successo utilizzata giornalmente da milioni di studenti e ricercatori di tutto il mondo. Il suo futuro fa affidamento sullo stesso impegno e sulla capacità ed il coraggio di rinnovarsi.

mappa eduGain

Mappa di eduGAIN. In arancione i paesi partecipanti, in blu gli attuali candidati

Cosa è esattamente eduGAIN e a cosa serve?

Per capire come funziona esattamente eduGAIN e cosa si intende per “infrastruttura fidata” è utile spiegare quale problema specifico risolve.

Partiamo dall’inizio. Tra la fine degli anni ‘90 o e i primi anni 2000 molte organizzazioni della ricerca e dell’istruzione, atenei e centri di ricerca, cominciano a dotarsi di sistemi di autenticazione centralizzata per permettere ai propri utenti l’accesso ai servizi interni utilizzando un’unica credenziale, spesso implementando sistemi di single sign-on, da Kerberos a CAS e simili. Dall’esigenza il single sign-on a diversi tipi di servizi, anche forniti da terze parti, nasce la necessità di un protocollo di autenticazione federata. Si afferma SAML, il Security Assertion Markup Language, che con la versione 2.0 del 2005 e le specifiche degli anni successivi si diffonde sia nell’ambiente enterprise che in quello della ricerca, facendo sviluppare compiutamente il concetto di autenticazione federata.

L’autenticazione federata implementata da ciascuna organizzazione permette di utilizzare credenziali uniche con molteplici servizi, ma rimane necessario stipulare accordi specifici con ogni fornitore, negoziando ogni volta standard e protocolli da utilizzare. Le federazioni di identità stabiliscono regole condivise sugli standard di sicurezza e privacy, sui protocolli tecnologici e sui requisiti organizzativi per entrare a far parte della federazione, permettendo di diminuire drasticamente i tempi di configurazione di nuove risorse e semplificando notevolmente gli accordi tra fornitori di identità e di servizi. Sono loro che, operando come terza parte fidata, garantiscono che tutte le parti rispettino le regole condivise. Le federazioni di identità della ricerca e dell’istruzione come IDEM mettono a disposizione di studenti, ricercatori e docenti servizi e risorse forniti dalle reti nazionali della ricerca (NREN come FileSender, videoconferenza o piattaforme Cloud, ma anche servizi commerciali, come le riviste scientifiche e quelli offerti dalle collaborazioni di ricerca.

In genere gestite dalle NREN, queste federazioni operano tipicamente a livello nazionale, mentre molte risorse della ricerca, come le riviste accademiche, sono le stesse indipendentemente dal paese in cui sono accedute: in pratica, quindi, ogni fornitore di servizi dovrebbe registrarsi in tutte le federazioni nazionali. Considerato che nel mondo oggi si contano più di 80 federazioni di identità della ricerca e dell’istruzione, e che la massa di servizi federati a livello globale si aggira sulle 4.000 unità, parliamo di oltre 300.000 processi di registrazione e negoziazione degli standard. eduGAIN è stata creata per risolvere questo problema specifico, permettendo alle federazioni di identità di condividere sistemi di autenticazione e sistemi di accesso alle risorse tramite un servizio di interfederazione a livello mondiale. Tramite eduGAIN, una risorsa pubblicata in una delle federazioni diventa disponibile anche per gli utenti dei sistemi di autenticazione delle altre. Come le federazioni nazionali, eduGAIN non sostituisce la sottoscrizione di abbonamenti o altri accordi per l’accesso alle risorse, ma fornisce un framework di regole e specifiche tecniche che ne semplifica l’accesso.

A livello tecnico eduGAIN è un servizio HTTP che distribuisce file firmati digitalmente che consistono nei metadati che contengono tutte le informazioni tecniche necessarie ai sistemi di autenticazione dei partecipanti alle federazioni di identità di interoperare con i sistemi di accesso alle risorse.

Ti è piaciuto questo articolo? Faccelo sapere!
Dai un voto da 1 a 5, ne terremo conto per scrivere i prossimi articoli.

Voto attuale:

eduGAIN’s future is now - D.Vaghetti -TNC23

Ultimi articoli in rubrica