Identificazione delle persone
La procedura di identificazione è necessaria per ottenere le credenziali di UNIMORE.
Panoramica sull'Identity Management
Personale di Riferimento: Maria Laura Mantovani, Andrea Ligabue, Danilo Crecchia.
Identity Management e Identificazione delle Persone: gestire il ciclo di vita delle credenziali
Obiettivo dell'Identity Management è riconoscere ogni persona che in Ateneo compie un’attività oppure ha bisogno di servizi.
Per poter riconoscere una persona in ogni momento della propria attività è necessario innanzi tutto averla preventivamente identificata.
L'operazione di identificazione, prima dell’introduzione del concetto di identity management in Ateneo, veniva effettuata in modo farraginoso, spesso non coordinato, senza che le informazioni raccolte da un ufficio potessero essere riutilizzate da un altro che ne avesse bisogno. Inoltre l’identificazione era effettuata solo per un sottoinsieme delle persone effettivamente presenti nelle strutture dell’Ateneo.
Ora possiamo asserire di avere decisamente razionalizzato l’attività di identificazione delle persone, integrando quanto già viene fatto dalle Segreterie Studenti e dall’Area Risorse Umane e aggiungendo a queste procedure di identificazione, la procedura realizzata per l’identificazione degli ESTERNI.
L’identificazione permettere all’Ateneo di essere conforme alla legge 155/2005 (Misure urgenti in materia di antiterrorismo), in particolare consente la tracciatura dell’utente che successivamente utilizzerà i servizi, ed in particolare l’accesso ad Internet.
La procedura di identificazione degli Esterni, rilasciata per l’uso a Febbraio 2007, è stata realizzata in modo da decentrare l’attività di identificazione presso le strutture che effettivamente ingaggiano oppure vengono per la prima volta a conoscenza delle persone. Il decentramento è stata una scelta strategica fondamentale per avere l’informazione attendibile ed aggiornata poiché proviene dalla struttura che è direttamente interessata alla persona identificata. Decentrare ha anche significato distribuire il carico amministrativo affidando il compito dell’identificazione alla struttura che per prima viene a contatto con la persona, nell’ottica di avere un servizio rivolto alle necessità dell’utente, ma nel contempo senza aggravare eccessivamente sui carichi di lavoro del personale coinvolto, e senza la necessità di creare nuovi uffici ad hoc per le nuove necessità sopravvenute.
Attualmente il processo di Identity Management permette all’Ateneo di:
- gestire il ciclo di vita dell’identità delle persone, dall’identificazione della persona, alla creazione dell’identità digitale, alla modifica della stessa, alla sua disattivazione;
- gestire il provisioning e deprovisioning delle credenziali di riconoscimento assegnate alla persona (attualmente username e password, nel prossimo futuro certificati, smart card, badge, …);
- utilizzare i dati raccolti per fornire agli utenti servizi informatizzati personalizzati quali:
- controllo degli accessi fisici: sbarre, tornelli, porte, …;
- controllo degli accesso on-line: pc pubblici, vpn, wireless, …;
- servizi web, …
- con attenzione anche ai servizi che potrebbero essere implementati nel futuro.
E’ da sottolineare che il sistema attuale di Identity Management è fondamentale per consentire la riuscita dei nuovi progetti presentati quest’anno (2007) e già in via di realizzazione che sono:
- Nuovi Badge
- Firma Digitale
- Autenticazione federata
- Gestione unificata dell’utente in biblioteca
Situazione a Novembre 2007
https://wiki.unimore.it/mediawiki/upload/b/b1/PDF_file_example.png Identity Management di Ateneo - Situazione a Novembre 2007
Persone identificate dalle segreterie studenti e dalla direzione risorse umane
Gli studenti, compresi i dottorandi e gli specializzandi, vengono identificati all’atto dell’iscrizione presso le rispettive segreterie studenti.
I dipendenti nei ruoli di:
AR,Titolari di Assegno di Ricerca AS,Assistenti universitari CD,Collaboratori linguistici (tempo determinato INPDAP) CL,Collaboratori ed esperti linguistici D8,Dirigente DC,Dirigente a contratto LC,Lettore di madre lingua ND,Personale non docente NM,Non docenti a tempo det-Tesoro PA,Professori Associati PO,Professori Ordinari RU,Ricercatori Universitari
vengono identificati alla firma del contratto presso la direzione risorse umane.
Tipologie di rapporto per cui è necessario procedere all'identificazione
Tutti gli altri frequentatori, come ad esempio titolari di borse di studio, collaboratori a progetto, cultori della materia, fornitori, ecc…, che per comodità vengono definiti esterni, vengono identificati nelle rispettive strutture di afferenza (vedi Responsabili e incaricati per l'dentificazione del personale esterno). Le tipologie finora individuate sono:
COLLABORATORE COORDINATO CONTINUATIVO COLLABORATORE DI RICERCA (a titolo gratuito) COLLABORATORE IN SPIN OFF COMPONENTE ORGANI COLLEGIALI CONVENZIONATO (cliente delle convenzioni) CULTORE DELLA MATERIA DIDATTICA INTEGRATIVA (conferibile a Dottorandi e Assegnisti) DIPENDENTE ALTRA UNIVERSITA DIPENDENTE ALTRO ENTE DI RICERCA DIPENDENTE AZIENDA POLICLINICO (senza VPN) DIPENDENTE DI ALTRA AZIENDA SANITARIA DOCENTE A CONTRATTO DOCENTE IN CONVENZIONE DOTTORANDO DI ALTRA UNIVERSITA FORNITORE (dipendente o titolare delle ditte fornitrici) FREQUENTATORE BIBLIOTECA INSEGNAMENTO IN SCUOLE DI SPECIALITA E MASTER INTERINALE LAUREATO FREQUENTATORE LAVORATORE OCCASIONALE (contratto personale senza partita IVA) LIBERO PROFESSIONISTA (contratto personale con partita IVA) OSPITE (di solito di lunga durata) OSPITE CON ACCESSO AL SERVIZIO VPN Personale ARESTUD Personale Tecnico-Amministrativo PROFESSORE EMERITO PROFESSORE FUORI RUOLO STUDENTE 150 ORE STUDENTE DI ALTRA UNIVERSITA SUPERVISORE SISS TIROCINANTE SCUOLE SUPERIORI TITOLARE DI BORSA DI STUDIO TUTOR
Procedura di identificazione
Caratteristiche di progettazione della Procedura Esterni
- La procedura è accessibile al solo personale incaricato per l’identificazione a norma del D. Lgs. 196/2003. E’ necessario almeno un incaricato per ogni struttura. L’incarico è conferito dal responsabile del trattamento dati nelle rispettive strutture di appartenenza. L’accesso deve essere controllato tramite LDAP (autenticazione) e profilo di autorizzazione.
- La procedura è fornita mediante interfaccia web sicura in modo da essere accessibile in modo distribuito senza onere di gestione della parte client.
- La procedura deve acquisire i dati anagrafici, il documento di identità, gli estremi dell’incarico e registrarli in un deposito dove tali dati siano facilmente reperibili.
- I dati precedentemente acquisiti devono essere correlati con i dati provenienti da ESSE3 e da CSA ed andare con essi a popolare il database LDAP.
- La procedura prevede la popolazione di 2 tabelle: la tabella PERSONE, ossia una tabella di anagrafiche di persone che sono state identificate e la tabella INCARICHI, ossia una tabella che viene collegata in cardinalità 1-N con le persone, cioè ogni persona può avere più incarichi. Un incarico è caratterizzato dalla struttura organizzativa che assegna l’incarico alla persona, dalla tipologia di incarico (vedi elenco sopra), dalla durata dell’incarico.
- Alle persone a cui viene affidato almeno un incarico deve essere data la possibilità di scegliere una propria username con collegata una password. Tali credenziali permetteranno quindi l’accesso ai servizi d’ateneo mediante l’autenticazione LDAP e il profilo previsto dalle policy di ateneo.
- La procedura deve permettere di sanare la situazione esistente relativa alle credenziali assegnate dal servizio di posta elettronica: molte delle credenziali assegnate in passato non sono più da considerare valide perché si è persa traccia dei relativi richiedenti o referenti o perché è mancato il controllo costante sulla validità dei dati. Le credenziali da tenere vanno associate all’identificazione effettuata con la nuova procedura.
Ecco in dettaglio le operazioni necessarie per una corretta identificazione e per l'ottenimento delle credenziali di UNIMORE.
Operazioni a carico dell'operatore addetto all'identificazione
1. Procurarsi un documento valido e il tesserino del codice fiscale della persona da identificare
2. Preparare un foglio con la copia del documento di identità (fronte e retro) e del tesserino del codice fiscale in un unica facciata (se possibile). In alternativa in una facciata il fronte e retro del documento di identità e nell'altra il codice fiscale
3. Inviare il foglio al numero di FAX 059 205 5745 utilizzando la qualità pià alta possibile. (nel caso i fogli siano due inviarli come due FAX distinti)
4. Collegarsi alla pagina della procedura di identificazione del personale esterno usando le proprie credenziali di accesso UNIMORE
5a. Se la persona possiede già le credenziali di accesso ai servizi informatici recuperare il suo nominativo dalla Lista Attesa e andare al punto 6 (Nel caso non compaia nella lista attesa prima di procede contattare support_security@unimore.it)
5b. Se la persona non possiede ancora le credenziali di accesso ai servizi informatici procedere con Nuovo Esterno
6. Inserire il codice fiscale e procedere con Cerca i dati dell'utente in Anagrafica
7. Completare i dati mancanti. nei campi PDF Documento di Identità e PDF Codice Fiscale andare ad inserire il file corrispondente al FAX precedentemente inviato. Il nome del file è composto da due parti: una prima parte costituita dal numero del vostro numero di FAX; una seconda parte costituita dall'ora in cui avete inviato il FAX. I FAX inviati al FAX server rimangono in giacenza fino alla mezzanotte dopo di che vengono automaticamente rimossi
8. Procedere con Registra i Dati appena inseriti
9. Controllare (riquadro verde chiaro) se i dati della persona sono corretti e procedere con Conferma inserimento di questi dati nel DB (ATTENZIONE! una volta inseriti i dati relativi ad una persona non sono più modificabili: controllate dunque bene la loro correttezza)
10. A questo punto procedere con l'assegnazione dell'Incarico: una volta compilati i campi procedere con Salva i dati del nuovo incarico
Il campo Nome Incarico è un campo libero che va riempito La durata dell'incarico è al massimo di 3 anni Il campo Afferenza didattica va compilato solo per il docenti a contratto Il campo Afferenza Organizzativa non è modificabile perchè ogni operatore può inserire/modificare incarichi solo relativi alla proprio Struttura di Afferenza
11. Procedere con Visualizza foglio con istruzioni per scelta della username, stampare la pagina e consegnarla all'utente
I servizi informatici saranno attivi dal giorno successivo alla scelta della username da parte dell'utente
Operazioni a carico dell'utente
1. Eseguire la scelta della username secondo il foglio di istruzioni ricevuto dall'incaricato all'identificazione collegandosi alla pagina https://iam.dmz-ext.unimo.it/username/login.php
2. Modificare la password dalla pagina cambio password http://people.unimo.it/user/changepw
3. Richiedere al servizio posta l'attivazione della casella di posta elettronica di UNIMORE (se necessaria)
Manuale di utilizzo della Procedura di Identificazione del Personale Esterno
--Manto 11:27, 1 February 2008 (CET)