Workshop sul Calcolo nell'I.N.F.N. - Marina di Ugento (Lecce) | 11 - 15 maggio 2026

Evoluzione di INDIGO IAM per Infrastrutture di Ricerca Sicure, Federate ed Interoperabili

12 May 2026, 09:45

25m

Sala Meeting "Messapica" (Vivosa Apulia Resort)

Presentazione orale Calcolo distribuito Sessione "Calcolo Distribuito"

Speakers

Enrico Vianello (Istituto Nazionale di Fisica Nucleare) Roberta Miccoli (Istituto Nazionale di Fisica Nucleare)

Description

INDIGO IAM è un servizio di Identity and Access Management che fornisce autenticazione e autorizzazione all’interno di infrastrutture di ricerca distribuite. Si tratta di un’applicazione Java basata su librerie e framework Spring che implementa i protocolli OAuth/OpenID Connect (OIDC), in continua evoluzione al fine di soddisfare requisiti sempre più stringenti in termini di sicurezza, interoperabilità e osservabilità.

Un aspetto chiave è il progressivo rafforzamento della piattaforma (hardening), che include la migrazione dalla libreria OAuth Authorization Server, non più mantenuta, alle moderne librerie di Spring Security. Questa transizione rafforza sicurezza e affidabilità, consentendo al tempo stesso una migliore scalabilità, modularità e una più stretta integrazione con l’ecosistema Spring. Questa evoluzione è guidata anche dalle esigenze di nuove infrastrutture di ricerca ad alta sensibilità dei dati, come EPIC Cloud (Enhanced PrIvacy and Compliance Cloud), per la gestione sicura di dati clinici, biomedici e genomici in conformità con normative europee quali il GDPR e con standard di sicurezza certificati (ISO/IEC 27001, 27017 e 27018).

Ulteriori misure di sicurezza includono il supporto per access token vincolati al client (client-bound access tokens) ed un rafforzamento dell’autenticazione con il supporto a più fattori (Multi-Factor Authentication, MFA). Le credenziali dei client OAuth non vengono più memorizzate in chiaro, ma sono sottoposte a hashing prima di essere salvate su database, riducendo l’impatto di eventuali violazioni dei dati. Inoltre, gli access token possono non essere più memorizzati nel database, riducendo l’overhead e migliorando le prestazioni durante i flussi di autenticazione.

L’usabilità operativa e l’osservabilità sono in fase di miglioramento tramite una nuova dashboard Web che semplifica la gestione del servizio e disaccoppia le funzionalità rivolte agli utenti dai servizi core. Per rafforzare l’interoperabilità e le capacità di identità federata, superando i limiti dell’onboarding statico in ambienti di ricerca eterogenei e multi-comunità, si sta ultimando il supporto alla OpenID Federation. Nello stesso contesto di rafforzamento dell’interoperabilità di INDIGO IAM, è stato anche introdotto il supporto alla Proxied Token Introspection, uno dei requisiti fondamentali per poter operare da EOSC Node.