• Una federazione basata sulla fiducia reciproca

Aggiornamenti tecnici

IDEM MDX

Il Servizio IDEM GARR AAI ha implementato un nuovo sistema di distribuzione dei metadata denominato IDEM MDX. IDEM MDX è basato sul protocollo MDQ (Metadata Query Protocol [1]) e non sostituisce il sistema attuale [2], ma lo affianca.

MDQ è basato su HTTP ed un'interfaccia REST-like. Al contratrio dei sistemi tradizionali di distribuzione dei metadata basati su grandi aggregati, MDQ permette di distribuire in modo dinamico i metadata di singole entità. Il sistema invia i metadata in risposta alle richieste ricevute dalle entità della Federazione. Quando un'entità (IdP o SP) deve interagire con un'altra, emette la richiesta dei metadata via MDQ, ed ottiene solo quelli dell'entità richiesta.

Il risultato è che i software di federazione non devono più impiegare larghe porzioni di memoria per ospitare gli aggregati di metadata e riducono drasticamente i tempi di avvio e aggiornamento. La riduzione media della memoria necessaria in fase di avvio e dei tempi di caricamento è tra l'80 e il 90%. Le richieste MDQ sono leggere e aumentano in modo trascurabile i tempi di attesa durante l'accesso federato. Le entità memorizzano i metadata distributi via MDQ in una cache, in modo da non dover fare una query ogni volta che interagiscono con un'altra entità. I dettagli di durata della cache sono definiti nelle istruzioni di configurazione.

I metadata serviti dal sistema MDQ sono basati su quelli attuali, quindi rispettano gli stessi requisiti e sono ottenuti utilizzando le regole di filtraggio in vigore nella Federazione IDEM, ma per ragioni di sicurezza i metadata sono firmati con un certificato diverso. Il servizio è bilanciato ed in alta affidabilità. Per maggiori informazioni su architettura e implementazione, vedi l'intervento al WS GARR 2021[3] dove il servizio è stato presentato in anteprima.

L'utilizzo di MDQ non comporta alcuna modifica al normale processo di accesso federato. Nell'esempio che segue un utente vuole accedere ad una risorsa (Service Provider A). Dopo essere stato rediretto all'Identity Provider (B) per l'autenticazione, può accedere. Le entità invece richiederanno i rispettivi metadata via MDQ. Le richieste saranno emesse solo nel caso in cui le entità non abbiano interagito in precedenza o se la cache dei metadata è scaduta.

 

flusso mdq.drawio

Flusso di accesso federato con query MDQ.

 

Il servizio IDEM MDX è disponibile all'indirizzo https://mdx.idem.garr.it. Sul sito sono disponibili le istruzioni di configurazione per i software di federazione più diffusi.

 

Servizio IDEM GARR AAI

[1] https://github.com/iay/md-query

[2] Il tradizionale Metadata Distribution System è  https://md.idem.garr.it, vedi https://wiki.idem.garr.it/wiki/Metadata per maggiori informazioni.

[3] https://www.eventi.garr.it/it/ws21/programma/speaker/832-mario-cosimo-damiano-di-lorenzo