iArxiu: FormacióTècnica
Equip iArxiu
14 d’agost de 2009
2
Índex– Introducció– Components iArxiu– Arquitectura iArxiu– Funcions dels components
– Ingrés– Consulta i difusió– Administració– Preservació
– Autenticació / Autorització– Integració en el portal eaCAT– Mecanismes de seguretat
– Referències
3
Introducció
– Què és iArxiu– iArxiu és una servei de preservació del documents/expedients electrònics a
llarg termini, que garanteix la seva integritat, autenticitat i accessibilitat per part d’usuaris autoritzats.
– Agents o actors:– Productor: Genera i transfereix els documents a preservar
Persona o maquinari que envia a iArxiu els documents a preservar– Consumidor: Consulta o accedeix a la documentació preservada
Persona o maquinari que recupera de la plataforma iArxiu els documents preservats
– iArxiu: Plataforma encarregada de preserva els documents a llarg termini
4
IntroduccióPr
oduc
tor
Paquets d’informació de
transferència
(METS)
iArxiu
Con
sum
idor
Paquets d’informació de consulta
(METS)
Paquets d’informació d’arxiu
(METS)
Paquets d’informació
(METS) amb els documents a
preservar
Paquets d’informació
(METS) amb els continguts preservats
5
Components iArxiu
Client web extern
Core
Client Webservice
Client web intern
(Portal eaCAT)
Web de Referència
Dos grans components:
• Frontal Web (Web de Referència)
• Motor d’arxiu (Core)
• Les persones interactuen mitjançant navegadors web amb la web de referència• Els sistemes interactuen mitjançant serveis web amb el Core• La web iArxiu és alhora un client de serveis web del Core
6
Arquitectura lògica del Sistema iArxiu
• Web Servers Apache
• Servlet Core i servlet Web de Referència
• Emmagatzemament en File System i Base de Dades
• Antivirus
• OpenOffice
• Interfícies externes (OpenOffice, Antivirus ClamAV, PSIS)
iArxiu
OpenOffice
Web ServerApache
ServletWeb Referència
(JBOSS)
Servlet CORE
(JBOSS)
Usuari
Aplicació Client
HTTPS
Usuari
HTTPS
HTTPS
HTTP
WS - SOAP / HTTP
WS – SOAP / HTTP
BBDD Web
Referencia
BBDD CORE
File System
File System
AntivirusClamAV
TCP / Socket
TCP / Socket
SQLNET
SQLNET
Internet
PSIS
HTTP / HTTPS
Actualització Definició Virus
EACAT
TraspàsIdentitat
HTTP
TCP / Socket
7
Arquitectura del Sistema iArxiu
• Balancejador de càrrega
• Bateria de servidors Apache
• Bateria de servidors JBoss
• Base de dades compartida Oracle
• Sistema d’arxius GFS
• Altres components
• OpenOffice
• Antivirus ClamAV
• Connector a PSIS
Apache Apache
SVLT Web
SVLT Core
SVLT Web
SVLT Core
Servidor Web Servidor Web
Servidor Aplicacions
Servidor Aplicacions
Usuari
Aplicació Client
Punt Balanceig 2
Punt Balanceig 1
Punt Balanceig 3
SVLT Core SVLT Core
Servidor Aplicacions
Servidor Aplicacions
ORACLE RAC
Esquema Web
Esquema Core
Servidor ORACLE Servidor ORACLE
Disk Multipath Disk Multipath
Paquets en FileSystem
Paquests desats al FileSystem com a fitxers o be com a BLOBS al ORACLE
Cluster FileSystem(OCFS)Cluster FileSystem(OCFS)
Disk Multipath
Cluster FileSystem(GFS)
Disk Multipath Disk Multipath Disk Multipath
Cluster FileSystem(GFS) Cluster FileSystem(GFS) Cluster FileSystem(GFS)
ORA ClientORA Client ORA Client ORA Client
ClamAV
OpenOffice
ClamAV
OpenOffice
ClamAV
OpenOffice
ClamAV
OpenOffice
8
Funcions dels components
– Web de Referència– Ingrés Amb els continguts enviats pels productors genera paquets d’ingrés i els
envia al Core– Consulta Executa funcions de cerca en el Core– Difusió Recupera els continguts del Core– Administració Creació dels ens i fons; gestió dels permisos, grups, usuaris,
administració de les polítiques, etc...
– Core– Ingrés Accepta els paquets dels productors per el seu emmagatzematge i
preservació– Preservació Assegura la integritat dels continguts al llarg del temps:
Verificació de la integritat, segellat, migració de formats. A més, s’encarrega de gestionar el cicle de vida dels documents
– Difusió Recupera els continguts
9
Ingrés
Usuari
Web de Referència
Client Webservice
Core
Documents / Expedients
(ZIP)
PIT
(METS)
PIT
(METS)
Els usuaris envien a la Web documents simples
o expedients (ZIP)
La Web construeix paquets d’informació de
transferència (PIT)
Els maquinaris generen i envien els paquets
d’informació de transferència (PIT)
• Validació d’integritat• Validació de metadades• Validació estructural• Validació de signatures (PSIS)• Validació antivirus (ClamAV)
Consulta i difusió
Usuari
Web de Referència
Client Webservice
Core
Documents PIC
(METS)
PIC
(METS)
Els usuaris reben els documents simples
La Web procesa els paquets d’informació de
consulta (PIC)
Els maquinaris procesen els paquets d’informació
de consulta (PIC)
11
Administració
Usuari administrador /
arxiver
Web de Referència
Client Webservice
Core
Els usuaris administradors configuren la Web i el Core:• Web
• Ens i Fons• Grups i Permisos
• Core• Polítiques• Permisos• Estadístiques• Historial accions Els maquinaris poden
administrar un conjunt reduit de funcionalitats:• Polítiques de preservació• Polítiques de disposició• Polítiques d’accés
12
PreservacióWeb de Referència
Client Webservice
Core
Únic component que intervé: Core• Segellat• Validació integritat• Validació antivirus (ClamAV)• Validació de signatures (PSIS)• Migració de formats (OpenOffice)
Usuari
13
Autenticació / Autorització
– Autenticació– Verificar que l’usuari (persona o màquina) és realment qui diu ser– Basada en certificats digitals X.509 emesos per entitats certificadores de
CATCert
– Autorització– Concedir o denegar els drets per executar una acció– Els usuaris (persones o màquines) estan registrats juntament amb els
permisos en repositoris locals de seguretat L’autorització és sempre local i no es delega en sistemes externs al sistema
14
Autenticació / Autorització a la Web de Referència
Client web extern
Web de Referència
PSIS
RepositoriLocal
DeSeguretat
L’usuari presenta les seves credencials amb un certificat X.509 emés per alguna CA de
CATCert
Autenticació
Autorització
Validació del certificat a
PSIS
Validació de permisos en el
repositori local de
seguretat
Certificat X.509
Certificat X.509
Certificat X.509
HTTPS
15
Integració amb el portal eaCAT
– Autenticació– L’autenticació es gestiona des del portal eaCAT (La web redirigeix l’usuari
cap el portal)– Basada en certificats digitals X.509 emesos per entitats certificadores del
CATCert
– Autorització– Es gestiona internament per la web de la mateixa manera que en el cas
anterior
16
Integració amb el portal eaCAT
Client web extern
Web de Referència
PSIS
RepositoriLocal
DeSeguretat
L’usuari és redirigit al portal eaCAT on s’autentica amb un
certificat X.509 emés per alguna entitat certificadora de
CATCert
Autenticació
Autorització
PSIS no intervé en
aquest escenari
Validació de permisos en el
repositori local de
seguretat
Certificat X.509
Portal eaCAT
Certificat X.509
17
Autenticació / Autorització al Core
Client Webservice (Trusted Application TA)
Core
RepositoriLocal
DeSeguretat
PSIS
Missatge SOAP (Webservice)
Certificat X.509
Metadades dels paquets
Certificat X.509
Del missatge SOAP s’extreu el certificat i els
atributs dels usuaris alegats
Validació del certificat a
PSIS
Els permisos de les TA es troben en el repositori local
de seguretat mentre que els permisos dels usuaris
s’obtenen de les metadades dels paquets
HTTPS
18
Mecanismes de seguretat en el Core (I)
– Missatgeria SOAP sobre canal segur HTTPS– Únicament les aplicacions reconegudes poden sol·licitar
serveis al Core (Trusted Applications TA)– Autenticació
– Signatura digital del missatge SOAP utilitzant el perfil X.509 Certificate Token Profile
– Validació de la signatura digital la qual engloba:– Cos del missatge (Body)– Capçalera d’atribucions SAML– Capçalera de seguretat
– Validació del certificat signant a PSIS o en el repositori local de TA
19
Mecanismes de seguretat en el Core (II)
– Autorització– La TA actua en nom propi
– Es verifiquen els permisos per aquesta TA en el repositori local de seguretat
– La TA actua en nom d’altre (al·legació)– Es verifiquen els permisos per aquesta TA en el repositori local de seguretat– S’extreuen els atributs al·legats de la capçalera SAML– Es confien en aquests atributs perquè es confia en la TA– Validació dels permisos contra el repositori local de seguretat– Si l’acció requereix accés a un paquet d’informació es verifiquen els permisos
segons la metadada associada al paquet
20
Mecanismes de seguretat en el Core (III)<SOAP-ENV:Envelope…>
</SOAP-ENV:Envelope…>
<SOAP-ENV:Header…>
</SOAP-ENV:Header…><SOAP-ENV:Body…>
<SOAP-ENV:Body…>
<wsse:BinarySecurityToken…>
<wsse:Security…>
</wsse:Security…>
<ds:Signature…>
<ish:Context…><saml2:Assertion…>
Cos de la Petició webservice
La signatura cobreix:•Token de seguretat•Capçalera d’atribucions SAML•Cos de la petició
Perfil X.509 Certificate Token Profile
Mis
satg
e SO
AP
(Sim
plifi
cat)
21
Referències (I)
– Guies d’usuari i integració d’aplicacions iArxiu– Clients webservice (WSDL):
– https://www.iarxiu.eacat.cat/core/soap – http://www.iarxiu.eacat.cat/core/soap/ingest.wsdl – http://www.iarxiu.eacat.cat/core/soap/dissemination.wsdl – http://www.iarxiu.eacat.cat/core/soap/administration.wsdl
– Missatgeria SOAPhttp://www.w3.org/TR/soap12-part0/
22
Referències (II)
– Llenguatge d’assercions SAMLhttp://docs.oasis-open.org/security/saml/v2.0/saml-core-2.0-os.pdf
– Extensions de seguretat en webserviceshttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-soap-message-security-1.0.pdfhttp://docs.oasis-open.org/wss/2004/01/oasis-200401-wss-x509-token-profile-1.0.pdf
Equip del servei [email protected]
Aquesta obra està subjecta a una llicència Reconeixement-No comercial-Sense obres derivades 2.5 Espanya de Creative Commons.
Per veure'n una còpia, visiteu http://creativecommons.org/licenses/by-nc-nd/2.5/es/deed.ca o envieu una carta a Creative Commons, 171 SecondStreet, Suite 300, San Francisco, California 94105, USA."
Top Related