Identità Digitale: password unica per scuole e università?

Negli ultimi anni il tema dell’identità digitale si è andato via via imponendo fino a diventare uno degli assi portanti delle agende digitali. Un bel successo se si pensa che quando, nel 2005, se ne cominciò a parlare nell’ambito accademico e della ricerca in pochi ne coglievano la reale portata.

Da allora la comunità dell’istruzione e della ricerca che ruota intorno alla rete Garr si è dotata di una Federazione sempre più ampia e numerosa che stabilmente consente a circa 4 milioni di utenti in Italia di accedere ai servizi e alle risorse online utilizzando una sola password. La Federazione Idem, la prima infrastruttura di autenticazione e autorizzazione per la ricerca nata in Italia, è gestita e coordinata dal Garr, la rete a banda ultralarga dell’istruzione e della ricerca.

Le organizzazioni che aderiscono alla Federazione Idem sono oltre 60 tra università, enti di ricerca, ospedali di ricerca (IRCCS) e istituti culturali. È una federazione integrata a livello internazionale con una trentina di analoghe federazioni presenti in altri paesi in Europa e nel mondo: grazie all’adesione all’inter-federazione Edugain, infatti gli utenti di Idem possono accedere a circa un migliaio di risorse online: biblioteche digitali, riviste, pubblicazioni scientifiche, reti WiFi, piattaforme di e-learning solo per citarne alcune.

Le sfide del futuro

Il recente convegno annuale dal titolo “Identità digitale unica”, svoltosi a maggio scorso a Lecce, ha permesso di fare il punto sulla Federazione a distanza di quasi dieci anni dalla nascita e soprattutto di confrontarsi con le sfide del futuro. Tra queste l’allargamento verso nuovi pubblici di riferimento come ad esempio quello dei beni culturali o delle scuole.

Come ha sottolineato il direttore del Garr, Federico Ruggieri, quello dei beni culturali è un settore interessato all’innovazione digitale e con il quale ci sono diverse collaborazioni in campo. Garr sta portando avanti iniziative con gli Archivi, la Soprintendenza Speciale per il Colosseo, Museo Nazionale Romano e Area Archeologica di Roma o con grandi infrastrutture di ricerca internazionali come Dariah.

Un altro fronte di crescita è quello delle scuole, dove, oltre la connettività, sta aumentando l’uso di servizi online e di conseguenza l’attenzione per la corretta gestione delle identità digitali considerando la delicatezza di aspetti quali la sicurezza e la privacy. In particolare, in ambito scolastico è emersa fortemente la necessità di dotarsi di sistemi per la gestione delle identità digitali dei docenti e studenti. Una necessità sempre più urgente vista la quantità di servizi digitali utilizzati: dal registro elettronico all’editoria digitale. Semplificare l’accesso degli utenti ma anche ottimizzare il lavoro di chi gestisce le identità è senz’altro uno dei benefici di un sistema di identità unico quale IDEM e le scuole hanno dimostrato un grande interesse verso questo aspetto, sottolineando anche come sia importante il lavoro di sensibilizzazione verso un corretto utilizzo dei dati personali che tropo spesso vengono gestiti in maniera superficiale.

Altro tema di forte dibattito è stato quello relativo alla interoperabilità con Spid. Ciò che è stato sottolineato è quanto sia importante non disperdere le esperienze e le buone pratiche già messe in piedi, per evitare di ripercorrere strade già battute e allungare i tempi di produzione. In questo senso sono emblematiche le parole di Alessandro Delli Noci, Assessore all’innovazione tecnologica, politiche comunitarie, politiche giovanili, politiche per il lavoro e formazione professionale del Comune di Lecce, uno dei comuni che sperimenterà Spid: “è fondamentale, per ridurre in tempi rapidi il digital divide, non disperdere le iniziative positive di chi ha già implementato soluzioni valide per la gestione delle identità digitali. Dal nostro punto di vista c’è la massima disponibilità per fare questo percorso insieme all’expertise del Garr, che ha messo in atto un modello già operativo per la sua comunità dell’università e della ricerca”.

Catena di fiducia e standard internazionali

Il funzionamento di Idem è piuttosto semplice e si basa sulla possibilità di disaccoppiare la procedura (unica) di autenticazione da quelle (multiple) di autorizzazione alle varie risorse. Ogni utente si autentica presso la propria organizzazione, che ha aderito a Idem, nella modalità tipica di quest’ultima e a lui familiare. All’interno della federazione, l’organizzazione trasferisce gli attributi degli utenti ai vari servizi in maniera sicura secondo regole precedentemente concordate, tutelando la privacy e il diritto alla riservatezza. Al gestore della risorsa spetta invece il rilascio dell’autorizzazione alle richieste d’accesso pervenute da parte dei diversi utenti, in base ai loro privilegi. Con questo approccio, tutti i partecipanti alla Federazione sono coinvolti congiuntamente nel garantire un ambiente di fiducia (Trusted Enviroment).
È evidente, quindi, che le organizzazioni che forniscono le identità – gli Identity Provider – per federarsi in Idem devono seguire delle regole precise per condividere gli attributi degli utenti in maniera affidabile.

Per garantire una reciproca fiducia tra le organizzazioni appartenenti alla federazione Idem è necessario conoscere gli standard in essa impiegati, SAML 2.0, e impiegare i software che implementano tali standard, come Shibboleth. Questo significa che l’organizzazione deve predisporre un Identity Provider compatibile con SAML 2.0.

Soluzioni cloud e interfederazioni

Nell’ambito della Federazione Idem è molto forte la componente della ricerca e dell’innovazione. Un esempio è il servizio IdP in the Cloud, sviluppato per primo da Garr in Europa.

Si tratta di un servizio che semplifica i passaggi per mettere in piedi un sistema di identity management utile soprattutto alle organizzazioni che non hanno nell’ICT il loro focus principale o ad alcune particolari comunità di ricercatori che sono ospitate da enti di piccole dimensioni.

Non a caso il servizio è stato sviluppato nell’ambito di un accordo con il Ministero della Salute per il collegamento a banda ultralarga degli IRCCS (Istituti di Ricovero e Cura a Carattere Scientifico) e degli IZS (Istituti Zooprofilattici Sperimentali). Questi istituti, infatti, pur avendo grandi dimensioni e un gran numero tra dipendenti e pazienti con sistemi di gestione delle identità dedicati, hanno settori di ricerca costituiti da poche centinaia di utenti. L’adozione di un sistema di identity management esclusivo per il settore della ricerca, diviene spesso un ostacolo insormontabile, richiedendo risorse hardware/software e competenze tecniche specifiche non uniformabili al sistema utilizzato dall’organizzazione. Casi simili si riscontrano anche tra gli enti che fanno capo al Ministero dei Beni Culturali, come musei, biblioteche e archivi e anche gli istituti scolastici.

Il nuovo servizio permette di erogare un Identity Provider preconfigurato ospitato nella Cloud Garr e offerto “chiavi in mano” all’organizzazione che ne fa richiesta, un vero e proprio Identity-as-a- Service (IDMaaS) con tutte le caratteristiche di IdP federato Idem e con le stesse garanzie in termini di sicurezza e riservatezza dei dati. L’organizzazione avrà quindi la possibilità di ottenere un proprio Identity Provider senza dover acquisire server nuovi o dedicare personale alla configurazione tecnica del servizio. Le modalità con cui richiedere l’inserimento della propria organizzazione nella Federazione, nella forma del documento di adesione firmato, rimangono invariate rispetto a quelle eseguite con il metodo tradizionale, conferendo ai nuovi IdP gli stessi diritti e le stesse responsabilità.

IdP in the Cloud è, inoltre, personalizzabile in base agli scopi dell’organizzazione richiedente. Si possono quindi gestire le identità digitali degli utenti in maniera semplice e intuitiva, direttamente dall’interfaccia web fornita dal servizio, o tramite un collegamento sicuro alla propria directory degli utenti. In questo modo la creazione di un nuovo IdP è una procedura che richiede una decina di minuti e garantisce la compatibilità agli standard Idem, restando aggiornati con gli standard dei sistemi di AAI internazionali. Al gestore del nuovo Identity Provider resterà solamente il compito di inserire ed aggiornare le identità digitali dei propri utenti.

Un altro progetto importante avviato proprio in questi giorni è AARC, un progetto europeo sull’integrazione tra le identità federate finalizzato a promuovere un uso più pervasivo dell’identità federata. Per i prossimi due anni il progetto riunirà 20 partner europei tra cui Garr e altre reti della ricerca, biblioteche e progetti di collaborazione nell’ambito dell’istruzione e della ricerca con lo scopo di colmare le lacune organizzative che ostacolano l’interoperabilità delle attuali Infrastrutture di Autenticazione e Autorizzazione e per definire delle policy comuni, strumenti di formazione delle competenze, dimostratori su casi d’uso reali.

L’obiettivo è fare in modo che le comunità della ricerca e dell’istruzione possano utilizzare un set di credenziali uniche per accedere a una vasta gamma di servizi, a prescindere dall’infrastruttura digitale di riferimento.