iArxiu: FormacióTècnica

Equip iArxiu

14 d’agost de 2009

2

Índex– Introducció– Components iArxiu– Arquitectura iArxiu– Funcions dels components

– Ingrés– Consulta i difusió– Administració– Preservació

– Autenticació / Autorització– Integració en el portal eaCAT– Mecanismes de seguretat

– Referències

3

Introducció

– Què és iArxiu– iArxiu és una servei de preservació del documents/expedients electrònics a

llarg termini, que garanteix la seva integritat, autenticitat i accessibilitat per part d’usuaris autoritzats.

– Agents o actors:– Productor: Genera i transfereix els documents a preservar

Persona o maquinari que envia a iArxiu els documents a preservar– Consumidor: Consulta o accedeix a la documentació preservada

Persona o maquinari que recupera de la plataforma iArxiu els documents preservats

– iArxiu: Plataforma encarregada de preserva els documents a llarg termini

4

IntroduccióPr

oduc

tor

Paquets d’informació de

transferència

(METS)

iArxiu

Con

sum

idor

Paquets d’informació de consulta

(METS)

Paquets d’informació d’arxiu

(METS)

Paquets d’informació

(METS) amb els documents a

preservar

Paquets d’informació

(METS) amb els continguts preservats

5

Components iArxiu

Client web extern

Core

Client Webservice

Client web intern

(Portal eaCAT)

Web de Referència

Dos grans components:

• Frontal Web (Web de Referència)

• Motor d’arxiu (Core)

• Les persones interactuen mitjançant navegadors web amb la web de referència• Els sistemes interactuen mitjançant serveis web amb el Core• La web iArxiu és alhora un client de serveis web del Core

6

Arquitectura lògica del Sistema iArxiu

• Web Servers Apache

• Servlet Core i servlet Web de Referència

• Emmagatzemament en File System i Base de Dades

• Antivirus

• OpenOffice

• Interfícies externes (OpenOffice, Antivirus ClamAV, PSIS)

iArxiu

OpenOffice

Web ServerApache

ServletWeb Referència

(JBOSS)

Servlet CORE

(JBOSS)

Usuari

Aplicació Client

HTTPS

Usuari

HTTPS

HTTPS

HTTP

WS - SOAP / HTTP

WS – SOAP / HTTP

BBDD Web

Referencia

BBDD CORE

File System

File System

AntivirusClamAV

TCP / Socket

TCP / Socket

SQLNET

SQLNET

Internet

PSIS

HTTP / HTTPS

Actualització Definició Virus

EACAT

TraspàsIdentitat

HTTP

TCP / Socket

7

Arquitectura del Sistema iArxiu

• Balancejador de càrrega

• Bateria de servidors Apache

• Bateria de servidors JBoss

• Base de dades compartida Oracle

• Sistema d’arxius GFS

• Altres components

• OpenOffice

• Antivirus ClamAV

• Connector a PSIS

Apache Apache

SVLT Web

SVLT Core

SVLT Web

SVLT Core

Servidor Web Servidor Web

Servidor Aplicacions

Servidor Aplicacions

Usuari

Aplicació Client

Punt Balanceig 2

Punt Balanceig 1

Punt Balanceig 3

SVLT Core SVLT Core

Servidor Aplicacions

Servidor Aplicacions

ORACLE RAC

Esquema Web

Esquema Core

Servidor ORACLE Servidor ORACLE

Disk Multipath Disk Multipath

Paquets en FileSystem

Paquests desats al FileSystem com a fitxers o be com a BLOBS al ORACLE

Cluster FileSystem(OCFS)Cluster FileSystem(OCFS)

Disk Multipath

Cluster FileSystem(GFS)

Disk Multipath Disk Multipath Disk Multipath

Cluster FileSystem(GFS) Cluster FileSystem(GFS) Cluster FileSystem(GFS)

ORA ClientORA Client ORA Client ORA Client

ClamAV

OpenOffice

ClamAV

OpenOffice

ClamAV

OpenOffice

ClamAV

OpenOffice

8

Funcions dels components

– Web de Referència– Ingrés Amb els continguts enviats pels productors genera paquets d’ingrés i els

envia al Core– Consulta Executa funcions de cerca en el Core– Difusió Recupera els continguts del Core– Administració Creació dels ens i fons; gestió dels permisos, grups, usuaris,

administració de les polítiques, etc...

– Core– Ingrés Accepta els paquets dels productors per el seu emmagatzematge i

preservació– Preservació Assegura la integritat dels continguts al llarg del temps:

Verificació de la integritat, segellat, migració de formats. A més, s’encarrega de gestionar el cicle de vida dels documents

– Difusió Recupera els continguts

9

Ingrés

Usuari

Web de Referència

Client Webservice

Core

Documents / Expedients

(ZIP)

PIT

(METS)

PIT

(METS)

Els usuaris envien a la Web documents simples

o expedients (ZIP)

La Web construeix paquets d’informació de

transferència (PIT)

Els maquinaris generen i envien els paquets

d’informació de transferència (PIT)

• Validació d’integritat• Validació de metadades• Validació estructural• Validació de signatures (PSIS)• Validació antivirus (ClamAV)

Consulta i difusió

Usuari

Web de Referència

Client Webservice

Core

Documents PIC

(METS)

PIC

(METS)

Els usuaris reben els documents simples

La Web procesa els paquets d’informació de

consulta (PIC)

Els maquinaris procesen els paquets d’informació

de consulta (PIC)

11

Administració

Usuari administrador /

arxiver

Web de Referència

Client Webservice

Core

Els usuaris administradors configuren la Web i el Core:• Web

• Ens i Fons• Grups i Permisos

• Core• Polítiques• Permisos• Estadístiques• Historial accions Els maquinaris poden

administrar un conjunt reduit de funcionalitats:• Polítiques de preservació• Polítiques de disposició• Polítiques d’accés

12

PreservacióWeb de Referència

Client Webservice

Core

Únic component que intervé: Core• Segellat• Validació integritat• Validació antivirus (ClamAV)• Validació de signatures (PSIS)• Migració de formats (OpenOffice)

Usuari

13

Autenticació / Autorització

– Autenticació– Verificar que l’usuari (persona o màquina) és realment qui diu ser– Basada en certificats digitals X.509 emesos per entitats certificadores de

CATCert

– Autorització– Concedir o denegar els drets per executar una acció– Els usuaris (persones o màquines) estan registrats juntament amb els

permisos en repositoris locals de seguretat L’autorització és sempre local i no es delega en sistemes externs al sistema

14

Autenticació / Autorització a la Web de Referència

Client web extern

Web de Referència

PSIS

RepositoriLocal

DeSeguretat

L’usuari presenta les seves credencials amb un certificat X.509 emés per alguna CA de

CATCert

Autenticació

Autorització

Validació del certificat a

PSIS

Validació de permisos en el

repositori local de

seguretat

Certificat X.509

Certificat X.509

Certificat X.509

HTTPS

15

Integració amb el portal eaCAT

– Autenticació– L’autenticació es gestiona des del portal eaCAT (La web redirigeix l’usuari

cap el portal)– Basada en certificats digitals X.509 emesos per entitats certificadores del

CATCert

– Autorització– Es gestiona internament per la web de la mateixa manera que en el cas

anterior

16

Integració amb el portal eaCAT

Client web extern

Web de Referència

PSIS

RepositoriLocal

DeSeguretat

L’usuari és redirigit al portal eaCAT on s’autentica amb un

certificat X.509 emés per alguna entitat certificadora de

CATCert

Autenticació

Autorització

PSIS no intervé en

aquest escenari

Validació de permisos en el

repositori local de

seguretat

Certificat X.509

Portal eaCAT

Certificat X.509

17

Autenticació / Autorització al Core

Client Webservice (Trusted Application TA)

Core

RepositoriLocal

DeSeguretat

PSIS

Missatge SOAP (Webservice)

Certificat X.509

Metadades dels paquets

Certificat X.509

Del missatge SOAP s’extreu el certificat i els

atributs dels usuaris alegats

Validació del certificat a

PSIS

Els permisos de les TA es troben en el repositori local

de seguretat mentre que els permisos dels usuaris

s’obtenen de les metadades dels paquets

HTTPS

18

Mecanismes de seguretat en el Core (I)

– Missatgeria SOAP sobre canal segur HTTPS– Únicament les aplicacions reconegudes poden sol·licitar

serveis al Core (Trusted Applications TA)– Autenticació

– Signatura digital del missatge SOAP utilitzant el perfil X.509 Certificate Token Profile

– Validació de la signatura digital la qual engloba:– Cos del missatge (Body)– Capçalera d’atribucions SAML– Capçalera de seguretat

– Validació del certificat signant a PSIS o en el repositori local de TA

19

Mecanismes de seguretat en el Core (II)

– Autorització– La TA actua en nom propi

– Es verifiquen els permisos per aquesta TA en el repositori local de seguretat

– La TA actua en nom d’altre (al·legació)– Es verifiquen els permisos per aquesta TA en el repositori local de seguretat– S’extreuen els atributs al·legats de la capçalera SAML– Es confien en aquests atributs perquè es confia en la TA– Validació dels permisos contra el repositori local de seguretat– Si l’acció requereix accés a un paquet d’informació es verifiquen els permisos

segons la metadada associada al paquet

20

Mecanismes de seguretat en el Core (III)<SOAP-ENV:Envelope…>

</SOAP-ENV:Envelope…>

<SOAP-ENV:Header…>

</SOAP-ENV:Header…><SOAP-ENV:Body…>

<SOAP-ENV:Body…>

<wsse:BinarySecurityToken…>

<wsse:Security…>

</wsse:Security…>

<ds:Signature…>

<ish:Context…><saml2:Assertion…>

Cos de la Petició webservice

La signatura cobreix:•Token de seguretat•Capçalera d’atribucions SAML•Cos de la petició

Perfil X.509 Certificate Token Profile

Mis

satg

e SO

AP

(Sim

plifi

cat)

21

Referències (I)

– Guies d’usuari i integració d’aplicacions iArxiu– Clients webservice (WSDL):

– https://www.iarxiu.eacat.cat/core/soap – http://www.iarxiu.eacat.cat/core/soap/ingest.wsdl – http://www.iarxiu.eacat.cat/core/soap/dissemination.wsdl – http://www.iarxiu.eacat.cat/core/soap/administration.wsdl

– Missatgeria SOAPhttp://www.w3.org/TR/soap12-part0/

22

Referències (II)

– Llenguatge d’assercions SAMLhttp://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf

– Extensions de seguretat en webserviceshttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdfhttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf

Equip del servei iArxiuiarxiu@catcert.net

Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons.

Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 SecondStreet, Suite 300, San Francisco, California 94105, USA."