L’esperienza della gestione federata dell’identità nelle università italiane è iniziata ormai 10 anni fa. Diciamo che siamo stati dei pionieri in questa avventura, che ormai è pienamente consolidata e funzionante ogni giorno con milioni di accessi giornalieri contando solo quelli dall’Italia. Una prassi d’uso ormai indispensabile ed irrinunciabile, che deve necessariamente diffondersi anche nelle scuole.

0

Questa è una pagina dello studio Digital inclusion and skills in the EU condotto dalla commissione europea nel 2014. Lo studio evidenzia che il 47% della popolazione europea ha abilità digitali insufficienti e il 23% non ne ha per nulla. In Italia, va peggio, gran parte della popolazione, equivalente a circa 18 milioni di persone, non ha nessuna abilità digitale e il 60% della popolazione ha abilità digitali insufficienti. Siamo molto più in basso della media europea e ancor di più lontani dai nostri paesi di riferimento: Germania, Francia, per non parlare dei paesi scandinavi. La scuola è il luogo dove ci si deve interrogare su come fare a superare questo divario digitale. Non ci riferiamo a specialisti informatici, ma all’utilizzo delle tecnologie digitali nel quotidiano, nella attività lavorativa comune, nelle nuove professioni. Saper collaborare utilizzando una piattaforma tecnologica, saper produrre un documento audiovisivo o multimediale, saper creare un sito web, sono competenze che tutti gli studenti potrebbero agevolmente acquisire e diventare parte del bagaglio delle abilità da possedere ed impiegare nel lavoro.

1

Il Bando PON 2014-2020 PER LA SCUOLA almeno sulla carta sembra voler recepire queste esigenze.Si dice che: * le informazioni e la conoscenza costituiscono una risorsa per l’economia* il possesso delle competenze digitali è una condizione minima per l’inclusione sociale* a tutti i cittadini si devono garantire le stesse opportunità nell’utilizzo della reteper questo sono necessari ***> investimenti nelle infrastrutture e nei percorsi formativi finalizzati alla riduzione del digital divide e allo sviluppo di competenze digitali in tutta la popolazione, in particolare nei giovani, negli insegnanti e nei lavoratori.Il primo provvedimento messo a concorso dal MIUR offre alle istituzioni scolastiche la possibilità di realizzare, ampliare o adeguare le infrastrutture di rete LAN e wireless. Le scuole, finalmente dotate di “una copertura wireless al 100% di tutta l’area scolastica e di una connessione ad Internet di almeno 30Mbps potranno garantire ai propri studenti l’accesso ai libri di testo digitali, ai software con esercizi, alle lezioni con trasmissioni/podcast, alle simulazioni o giochi didattici digitali. L’apprendimento non è più limitato a specifici orari scolastici e i metodi didattici possono utilizzare tempi e spazi aperti e flessibili. In questa ottica orientata dal MIUR si intravede la possibilità di crescita del paradigma Bring Your Own Device (BYOD) che incentiva l’utilizzo a scuola di dispositivi mobili nelle disponibilità dello studente/docente. Economicamente si hanno dei vantaggi: la scuola che adotta BYOD non investe più in laboratori informatici costosi con PC che diventano presto obsoleti. Si ottiene così un notevole risparmio che può essere investito a favore di un ammodernamento dell’infrastruttura di rete della scuola e della sua sicurezza e questo sembra l’orientamento offerto dal bando MIUR.

2

Il bando MIUR evidenzia che per implementare con successo il BYOD a scuola occorre una infrastruttura basata su 3 componenti che vengono infatti finanziate: 1) Centinaia di studenti dovranno poter accedere ad internet contemporaneamente, pertanto la LAN/WLAN interna alla scuola e gli apparati trasmissivi che devono essere adeguati al carico e la copertura WLAN deve arrivare al 100% dell’area scolastica; 2) deve essere garantita un'adeguata larghezza di banda / della connessione di accesso indicata in 30 Mbps; 3) è necessario implementare un sistema di identità federata per sapere chi fa cosa in rete. La prospettiva è che con il BYOD non ci si limita ad utilizzare materiale digitale come soggetti passivi, si creano nuovi contenuti digitali ossia ci trasformiamo in utenti attivi.Molti degli strumenti che già oggi utilizziamo a scuola sono piattaforme offerte in modalità Software as a Service (SaaS), ossia stanno fuori dal perimetro della scuola, come ad esempio Google Drive, le GoogleApps, Office365, il registro elettronico, gli e-book, il sito web della scuola, anche Moodle può essere utilizzato come servizio esterno alla scuola. Per accedere a tutti questi strumenti SaaS ogni studente e docente avrà bisogno di una identità digitale, in pratica una username una password, per ognuno dei servizi a cui vuole accedere. L’organizzazione scolastica che voglia promuovere ed utilizzare efficacemente le tecnologie digitali, non solo attraverso il BYOD, ma anche nei laboratori informatici o tramite postazioni istituzionali, deve attrezzarsi per gestire e controllare l’accesso dei propri utenti a tutti i servizi utilizzati, sia interni alla scuola che SaaS.

3

Dato che molti servizi e risorse sono servizi in cloud offerti in modalità SaaS, *l’università o la scuola che vuole utilizzare tali servizi dovrebbe governare il processo di accesso ai tali servizi. Cosa succede se l’università o la scuola non hanno un sistema di identity management federato? *Ogni servizio cloud ha comunque il proprio sistema di directory per la gestione degli utenti, *quindi l’utente della scuola (docente, alunno, genitore) *si collegherà con nome utente e password al servizio. *Se si vuole accedere a molteplici servizi *saranno necessarie molteplici credenziali di accesso. *Il gestore delle identità preposto dalla scuola ad autorizzare i diversi utenti ai diversi servizi *avrà da compiere un lavoro molto oneroso per abilitare un utente all’accesso ai diversi servizi. *Tale compito si moltiplica pesantemente se si devono gestire gli accessi di tutte le persone separatamente su tutti i servizi, perché questo comporta la modifica delle singole directory dedicate ciascuna ad ogni servizio. *Diventa molto oneroso gestire la sicurezza e la privacy per l’amministratore di sistema della scuola. *Per gli utenti rimane il problema della conservazione sicura delle molteplici credenziali. *I gestori dei servizi hanno l’onere di conservare in sicurezza i db degli utenti e delle loro credenziali; non è raro il furto di identità presso gestori di servizi poco avveduti o poco interessati alla privacy degli utenti.

4

Con la gestione federata dell’identità risolviamo tutte le criticità descritte prima. *Il gestore del servizio SaaS non gestisce più l’autenticazione, che è una operazione complessa e che toglie risorse dal business principale. Quindi non avrà più un db di username e password da custodire. Il servizio SaaS ci guadagna in sicurezza ed efficienza. *Quando questi servizi sono utilizzati in ambito scolastico, l’utente non utilizza più le diverse identità digitali create per ogni servizio, *ma è la scuola che si fa carico di gestire le identità digitali, una per ciascuno dei propri utenti, preoccupandosi di crearle, consegnarle all’utente, monitorarle, aggiornarle, disattivarle. L’amministratore di sistema della scuola concentra lo sforzo di gestione in un unico posto, ossia la directory unica della scuola. Lo sforzo nella gestione delle identità digitali (identity management) viene ricompensato dalla possibilità di monitorare l’utilizzo dei servizi da parte dell’utente e dall’incremento della sicurezza offerta agli utenti. Non è infatti accettabile distribuire lo sforzo dell’identity management su tutte le piattaforme SaaS che la scuola decide di utilizzare. Volendo, grazie all’identity management centralizzato, la scuola può anche aggiungere funzionalità per aumentare la sicurezza delle credenziali, come l’autenticazione a due fattori o un level of assurance più elevato. Si aumenta l’efficienza perché il lavoro è concentrato in un punto e non moltiplicato e disperso in tanti posti, si aumenta la sicurezza e la privacy è garantita perché viene tutelata dal gestore dell’identity management della scuola che è titolare del trattamento dei dati personali di studenti, genitori, docenti. *L’utente avrà quindi un’unica password per accedere a tutte le risorse interne ed esterne alla scuola. L’utilizzo delle risorse è facilitato perché l’utente deve ricordare una sola password. L’utente è portato a custodire la password con più cura ed attenzione perché essa permette l’accesso anche agli spazi dove conserviamo dati personali, come la posta elettronica o il registro. Il valore della password comporta più attenzione nella sua custodia quindi anche la privacy ne riceve beneficio.

5

Il protocollo che ci permette di mettere in opera l’autenticazione federata è SAML (Security Assertion Markup Language). *SAML disaccoppia la funzione di autenticazione dell’utente, svolta dall’Identity Provider (IdP), *dalla funzione di accesso ad una risorsa, svolta dal Service Provider (SP). **L’IdP è l’unico componente in rete che riceve le credenziali dell’utente. **Ciascun altro servizio in rete, sia esso interno alla scuola, oppure in cloud, riceve solo l’asserzione SAML necessaria a stabilire se l’utente può accedere o meno. Per prendere decisioni riguardo il permesso all’accesso da parte dell’utente, il SP utilizza l’asserzione che gli viene inviata dall’IdP. I benefici introdotti dalla gestione federata dell’identità si distribuiscono quindi su 3 versanti: *Per la scuola abbiamo un Identity management unificato, che può controllare chi fa cosa. *Un secondo beneficio è per il fornitore di risorse in rete per il quale si semplifica la gestione della sua applicazione. *Terzo beneficio abbiamo il Single Sign On (SSO) per l’utente nell’accesso a molti servizi sia interni che esterni alla propria organizzazione. Tutti gli utenti che portano a scuola il proprio device portatile (BYOD) verranno monitorati dall’IdP, un sistema che la scuola ha sotto il proprio controllo, mentre accedono alle risorse in rete. È evidente che le organizzazioni che non si dotano di un IdP affidano la propria privacy e il monitoraggio degli utenti a servizi esterni.

6

La scuola deve farsi carico della protezione dei dati personali delle persone che lavorano, che studiano, o comunque hanno a che fare con la scuola. Il codice della privacy (D.lgs. 196/2003) sancisce il “Principio di necessità nel trattamento dei dati: I sistemi informativi e i programmi informatici sono configurati riducendo al minimo l'utilizzazione di dati personali e di dati identificativi, in modo da escluderne il trattamento quando le finalità perseguite nei singoli casi possono essere realizzate mediante, rispettivamente, dati anonimi od opportune modalità che permettano di identificare l'interessato solo in caso di necessità” . Grazie a SAML abbiamo gli strumenti tecnologici per fare applicare le previsioni della legge privacy e la scuola potrà trasferire ai fornitori di servizi solo quei dati personali che sono strettamente necessari per l’erogazione del servizio richiesto e svincolare l’utente dal fornire dati eccedenti, che talvolta inducono ad accettare un trattamento anche lesivo della privacy.

https://www.mondadorieducation.it/pagine/informativaprivacy/

7

L’IdP gestisce tutti i dati personali degli utenti (docenti, studenti, genitori) organizzandoli in profili omogenei al fine di poter creare e gestire le identità digitali. L’IdP ha, tra le sue funzionalità, quella di creare opportunamente le asserzioni destinate ai singoli servizi. Ciascuna asserzione, diretta a un servizio specifico, contiene solo quelle informazioni relative a ciascun utente strettamente necessarie al servizio per poter consentire l’accesso ed erogare il servizio stesso. Ogni asserzione viene crittografata e firmata per garantirne la riservatezza, l’integrità e il non ripudio nel processo di trasmissione on line e di ricezione da parte del destinatario.

8

Analogamente a quanto fatto per l’università e gli enti di ricerca, per i quali da 7 anni esiste la Federazione di identità IDEM [IDEM] coordinata e gestita dal Consortium GARR [GARR], potrebbe essere utile cominciare ad organizzare una federazione di identità per le scuole. La federazione di identità ha lo scopo di garantire la fiducia tra le organizzazioni partecipanti alla federazione stessa: le organizzazioni registrando i propri Identity Provider e i propri Service Provider nella federazione certificano che i sistemi sono sotto il loro controllo e responsabilità. Le comunicazioni tra i partecipanti alla federazione possono avvenire solamente se viene mantenuta la fiducia e mediante asserzioni crittografate e certificate, garantendo in questo modo il transito sicuro on line dei dati personali e delle identità digitali. La Federazione IDEM ad oggi conta in Italia oltre 70 Identity Provider che finora hanno distribuito circa 4 milioni di identità digitali a studenti ed ex-studenti delle università italiane. Questi utenti finali possono attualmente accedere alle sezioni riservate di circa 1000 risorse disponibili nel mondo.

9

Sono già disponibili nella Federazione IDEM alcuni servizi utili alle scuole che utilizzano SAML: l’accesso Wifi su tutto il territorio nazionale, la videoconferenza GARR VCONF, la condivisione di mega-file Filesender, la piattaforma Le@rning-GARR, il servizio di certificati digitali Terena Certificate Service, la distribuzione di software Dreamspark, piattaforme di social learning come Knodium e sarà presto disponibile la piattaforma MOOC EduOpen, un progetto di un network di università italiane.

10

Altri servizi sono immediatamente configurabili: ad esempio qualsiasi servizio Moodle, Wikie CMS su varie piattaforme, Google Apps, Office365, Box, piattaforme di social learning. Altri servizi quali gli e-book e le piattaforme di registro elettronico potrebbero essere disponibili se ci fosse una adeguata massa critica che ne fa richiesta, come ha mostrato il caso d’uso di successo relativo agli editori in USA e in Gran Bretagna.Per concludere, al giorno d’oggi abbiamo a disposizione tante risorse online che messe in federazione tra loro possono fare maturare velocemente il livello delle competenze digitali possedute dalla popolazione italiana, soprattutto se la scuola si organizza in modo da sfruttarle appieno in tempi rapidi. Nelle scuole, data la ristrettezza delle risorse economiche, gli investimenti vanno incanalati nelle infrastrutture di rete LAN, wireless e di connettività internet e nei servizi critici per garantire la sicurezza, come la gestione federata dell’identità. Il bando MIUR permette di accedere a finanziamenti dedicati che includano, oltre alla rete LAN e wireless, anche le infrastrutture per la gestione federata dell’identità digitale e il controllo degli accessi alle risorse online. L’adesione alla Federazione di identità IDEM permette alle università e alle scuole di governare e controllare l’accesso degli utenti ai servizi online, effettuati da tutti i dispositivi digitali, sia dell’università che della scuola, che quelli personali, sia quando ci colleghiamo da scuola, da casa, o in mobilità dovunque ci troviamo. Questo garantisce alla scuola digitale il controllo e la sicurezza necessari allo svolgimento appropriato della propria missione.

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26