Microsoft Active Directory

Nella mia esperienza di consulente presso fornitori di servizi, ho trovato differenti sistemi ottenuti per il Single Sign-On, quasi esclusivamente relativi ai soli servizi Web. Molti di essi si basano su un agente che si installa su un Web server e un “policy manager” che è in grado di autenticare/autorizzare l’utente ad una specifica risorsa. La tecnica impiegata è efficiente e raggiunge lo scopo per il Single Sign-On su sistemi Web, ma cosa succede se vogliamo autenticarci ad una risorsa non-Web, ad esempio collegarci via SSH ad un sistema Unix? Dovremmo ricordare un’ulteriore utenza e password. Questo non è sufficiente, in quanto la tecnica utilizzata deve coprire l’autenticazione utente a 360 gradi.

Secondo il mio modesto avviso, il produttore che è riuscito a effettuare un vero e proprio “Single Sign-On” è Microsoft: attraverso Active Directory, ovvero il nuovo modello di dominio introdotto da Windows 2000, è in grado di effettuare un’autenticazione su tutte le risorse di rete (condivisione file/stampanti, siti Web, ecc.) semplicemente facendo una “join” al dominio. Continua a leggere

SPNEGO

Come abbiamo accennato precedentemente, le GSSAPI foriniscono un set di API generiche che si astraggono dal meccanismo di autenticazione sottostante. Quando due applicazioni parlano tra loro attraverso le GSSAPI e sfruttano lo stesso meccanismo di autenticazione, si dice che hanno stabilito un contesto di sicurezza (security context). Il problema di questo meccanismo è che le due entità devono sapere a priori quale meccanismo di autenticazione hanno a disposizione e quindi quale possono usare: GSSAPI non prevede un meccanismo di “handshake” tra i due peer per sapere quale meccanismo di sicurezza hanno in comune e stabilire quindi un security context.

Il Simple and Protected GSS-API Negotiation Mechanism (SPNEGO) è stato creato appositamente per determinare, durante una connessione tra due peer, quali sono i meccanismi di autenticazione disponibili e selezionare il miglior meccanismo comune. SPNEGO viene usato in Windows 2000 per negoziare quali sono i meccanismi di Continua a leggere

Scenari di Single Sign-On

monitorDopo aver dimostrato la fattibilità tecnica di un’architettura di Single Sign-On, è necessario calarla in una realtà aziendale ben definita, ovvero come faccio ad inserire una simile soluzione in azienda? Ho identificato tre diversi scenari:

  • Assenza di un dominio Windows 2000 con il server Kerberos installato su un sistema Unix.
  • Active Directory installato in azienda e uso del server Kerberos integrato in Windows 2000
  • Active Directory installato in azienda, uso di due server Kerberos (quello integrato in Windows 2000 e uno su Unix) e una relazione di fiducia (trust relationship) tra i due realm Kerberos.

Vediamo in dettaglio quali sono i vantaggi e gli svantaggi di ognuna di queste soluzioni. Continua a leggere

Unified User Management e Single Sign-On

 

monitorDurante i miei “pellegrinaggi” tra i clienti e anche tra i miei stessi colleghi ho scoperto che c’è un po’ di confusione sul significato del termine Single Sign-On. Molto spesso pensano che questo termine indichi il fatto di poter immettere sempre le stesse username e password, ma in realtà il termine esatto per descrivere questo concetto è Unified User Management.

Unified User Management

L’Unified User Management è in realtà un data-store unico contenente la base utenti; in pratica si tratta di un singolo punto dove gli utenti e le loro caratteristiche (indirizzo e-mail, numero di telefono, home directory, ecc.) vengono caricati (user provisioning) e gestiti. Per utenti si intende sia gli utenti “umani” che quelli digitali, ad esempio un’applicazione che deve autenticarsi verso un’altra applicazione. Continua a leggere