Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien

Transcription

1 Formation fédération d identités Jour 1/2 Formateurs : Hached Mehdi Médard Sébastien 15/09/2014 Forma.on CIREN - Septembre

2 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des RSSI Certificats TCS Fédération Education-Recherche Services applicatifs Eduroam, eduspot RENAvisio Universalistes, FileSender, Partage, Antispam Sympa, Sourcesup 15/09/2014 Forma.on CIREN - Septembre

3 RENATER Autres activités Formations (Fédération, IPv6, Sympa) Organisation des JRES Relations internationales (GEANT, TERENA) En savoir plus Contact 15/09/2014 Forma.on CIREN - Septembre

4 Déroulement de la formation 15/09/2014 Forma.on CIREN - Septembre

5 La formule 2 jours Jour 1 : installer un fournisseur d identités Jour 2 : installer un fournisseur de services Fonctionnement TP par binômes Entrecoupé par des présentations Objectif Comprendre les principes, la technologie Prenez votre temps! Aboutir à une installation fonctionnelle Pour reproduire chez vous 15/09/2014 Forma.on CIREN - Septembre

6 Timing Jour 1 10h-12h 14h-17h30 Jour 2 9h-12h 14h-16h30 15/09/2014 Forma.on CIREN - Septembre

7 Les postes de travail Postes elevexx.cines.fr XX = 1->10 Environnement CentOS 6.5 Comptes stagiaire root 15/09/2014 Forma.on CIREN - Septembre

8 Le support de formation Utilisable aussi pour de l auto-formation Très détaillé et progressif Mis à jour lors de chaque formation La forme Wiki avec une variable (monposte.fr) Permet le copier/coller Si rechargement de la page => ressaisir le nom du serveur 15/09/2014 Forma.on CIREN - Septembre

9 Jour 1 : installer un fournisseur d identités 1. Installation des pré-requis Java, Tomcat, certificats, NTP 2. Installation de l'idp Shibboleth 3. Configuration Shibboleth 4. Tests 5. Connexion LDAP, CAS 6. Configuration avancée 7. uapprove 15/09/2014 Forma.on CIREN - Septembre

10 Le tour de table 15/09/2014 Forma.on CIREN - Septembre

11 La fédération d identités 15/09/2014 Forma.on CIREN - Septembre

12 Demo de Shibboleth RENAvisio 15/09/2014 Forma.on CIREN - Septembre

13 Quelques révisions IdP Identity Provider Fédération Méta-données Shibboleth Attributs utilisateurs Redirections HTTP SAML 15/09/2014 Forma.on CIREN - Septembre

14 Fonctionnement de l'idp Authentification de l'utilisateur Peut être un client CAS Preuve d'authentification = assertion SAML Transmet le profil de l'utilisateur Via le protocole SAML2 Données issues des référentiels (LDAP) Richesse du profil utilisateur paramétrable 15/09/2014 Forma.on CIREN - Septembre

15 La fédération, un cercle de confiance Exemple : la fédération Education-Recherche Définit un cercle de confiance constitué de Fournisseurs d'identités ; Fournisseurs de services. Résout le problème des relations bilatérales Les membres de la fédérations partagent un niveau de confiance ; ont un cadre technique ; partagent des méta-données. 15/09/2014 Forma.on CIREN - Septembre

16 Fédération / comment ça marche? 15/09/2014 Forma.on CIREN - Septembre

17 Méta-données Un fichier de méta-données par fédération Gérées et signées par l'opérateur de la fédération Chaque entrée comprend : Identifiant du fournisseur, URL, certificat, profils SAML supportés, contacts, description,... Exemple : 15/09/2014 Forma.on CIREN - Septembre

18 Shibboleth Logiciel open source : Adapté contexte enseignement / recherche Trois logiciels distincts : fournisseur d'identités fournisseur de services service de découverte (DS), aussi nommé WAYF Logiciels très configurable Le TP couvre l'installation la brique IdP Shibboleth en version /09/2014 Forma.on CIREN - Septembre

19 Exemples d URL : Format des identifiants en SAML URL ou URN ou OID Exemples d URN : urn:mace:cru.fr:federation:univ-angers.fr urn:mace:dir:attribute-def:displayname Exemples d OID : urn:oid: /09/2014 Forma.on CIREN - Septembre

20 Attributs utilisateurs Un fournisseur de services a besoin d'authentifier des utilisateurs Le fournisseur d'identités lui transmet un profil utilisateur Composé d'attributs Attributs issus d'un référentiel (LDAP) Norme SupAnn /09/2014 Forma.on CIREN - Septembre

21 Filtrage d'attributs L'IdP Shibboleth permet de filtrer les attributs utilisateurs sortants Pour limiter la diffusion d'attributs nominatifs (aspects informatique et liberté) Fichier attribute-filter.xml Configurable pour chaque SP/ressource Configurable pour chaque attribut Impacts non désirés Certains IdP mal configurés 15/09/2014 Forma.on CIREN - Septembre

22 Transmission des attributs utilisateurs urn:oid: uid REMOTE_USER LDAP IdP SAML2 SP Application attribute-resolver.xml attribute-filter.xml attribute-map.xml 15/09/2014 Forma.on CIREN - Septembre

23 Redirections HTTP Usage intensif des redirections HTTP Comme SSO-CAS L'utilisateur est redirigé en permanence Application > SP > WAYF > IdP > CAS > IdP > SP > Application Plugins Firefox utiles : Web developer (gestion des cookies...) Tamper data (études des redirections HTTP...) + modules pour visionner l'assertion base64 XML 15/09/2014 Forma.on CIREN - Septembre

24 SAML Protocole entre le SP et l'idp Assertions d'authentification Assertions d'échange d'attributs Signature et chiffrement Version 2.0 implémentée par Shibboleth 2.x Interopérabilité possible avec d'autres produits SAML 2 15/09/2014 Forma.on CIREN - Septembre

25 Serveur SSO ssoid ticket Attribute pull (SOAP) versus attribute push Navigateur ticket ticket userid nameid nameid Service d authentification Consommateur d assertions WAYF Autorité d authentification Autorité d attributs userid nameid nameid attributes attributes Demandeur d attributs Fournisseur de service Contrôleur d accès attributes Ressource Référentiel 15/09/2014 utilisateurs Forma.on CIREN - Septembre 2014 Forma.on RENATER Janvier

26 Les briques logicielles IdP mod_ssl mod_proxy SAML2 Ressource de test Apache AJP Client CAS Servlet IdP Shibboleth Tomcat Java Connexion Cer.ficat & clé privée AC de test Serveur CAS de test Annuaire de test 15/09/2014 Forma.on CIREN - Septembre

27 Services de Test Fédération de Test Enregistrement automatique Ouvert à tout SP/IdP Pas d usages en production Ressource de test Utilisable avec n importe quel IdP de test Fonctionnement : liste les attributs reçus Référentiel de test quelques enregistrements uid = etudiant1, enseignant1 Serveur CAS de test Mot de passe == uid 15/09/2014 Forma.on CIREN - Septembre

28 Utilisation des certificats 3 type de certificats interviennent : Certificats pour sécuriser Apache Fournis par RENATER pour les besoins du TP Chapitre 2.3 du support Certificat utilisés par Shibboleth (couche SAML) Certificat + clé privée Générés à l'installation de Shibboleth Certificat de signature Vérification de la signature des méta-données Téléchargé au chapitre /09/2014 Forma.on CIREN - Septembre

29 A vous de jouer docs/installation 15/09/2014 Forma.on CIREN - Septembre

30 Partie 2 Configuration Shibboleth 15/09/2014 Forma.on CIREN - Septembre

31 Configuration de Shibboleth Les fichiers de configuration Les logs Protocole SAML2 Les modes d authentification Définition des attributs utilisateurs Diffusion des attributs utilisateurs 15/09/2014 Forma.on CIREN - Septembre

32 Les fichiers de configuration relying-party.xml Configuration principale : profils SAML, méta-données, certificats, paramètres de sécurité attribute-resolver.xml extraction et préparation des attributs attribute-filter.xml Politiques de filtrage des attributs logging.xml configuration des différents fichiers de log (process, access, et audit) login.config réglages de l authentification JAAS handler.xml contrôle les points de contact de l IdP internal.xml & service.xml pour des utilisations avancées de l IdP 15/09/2014 Forma.on CIREN - Septembre

33 Prise en compte dynamique de ces fichiers Pas de redémarrage nécessaire pour les fichiers : internal.xml, service.xml, logging.xml, login.config Les autres nécessitent un redémarrage de Tomcat : il est déconseillé de recharger la servlet par l'interface «manager»! Mais on peut programmer la prise en compte à chaud dans service.xml 15/09/2014 Forma.on CIREN - Septembre

34 La gestion des journaux Trois journaux de logs idp-process.log permet de vérifier le processus IdP idp-access.log Fichier à la Apache permettant de tracer les accès à l IdP idp-audit.log Fichier facilement parsable journalisant les informations transitant par l IdP: type de requêtes, attributs fournis, etc. Mode DEBUG (voir TRACE) déconseillé en production Surtout utile pour visualiser les assertions SAML (PROTOCOLE_MESSAGE) 15/09/2014 Forma.on CIREN - Septembre

35 Fichier web.xml Si on modifie le fichier web.xml Configurations de filtres Java (Comme CAS) On peut éviter de l écraser lors d un redéploiement ou mise à jour de l IdP ; En gardant la version modifiée dans $IDP_HOME/ conf/ ; Possibilité valable depuis la version /09/2014 Forma.on CIREN - Septembre

36 attribute-resolver.xml : DataConnector Définit le branchement à une source de données En cas d échec un autre Data connector peut prendre le relais Les types de connectors : Static : déclaration d une donnée statique RelationalDatabase : connexion à une base SQL LDAPDirectory : connexion à un annuaire 15/09/2014 Forma.on CIREN - Septembre

37 DataConnector - exemple <resolver:dataconnector id="monldap" xsi:type="ldapdirectory ldapurl="ldap://ldap.exemple.org basedn="ou=people,dc=exemple,dc=org principal="uid=monservice,ou=system principalcredential= monservicepassword"> <FilterTemplate> <![CDATA[(uid= $requestcontext.principalname) ]]> </FilterTemplate> </resolver:dataconnector> Identifiant unique Définition d'un connecteur Type du connecteur : LDAP Filtre LDAP Paramètres de Connexion au référentiel d établissement 15/09/2014 Forma.on CIREN - Septembre

38 Attribute Definition Déclare un attribut avec un identifiant unique dans le fichier du resolver Selon les valeurs d un attribut, on peut actionner une nouvelle source d attributs, ou définir un autre attribut Il existe plusieurs définitions possible : Simple: extrait tel quel d une source Scoped : ajoute un «scope» à un attribut Script : manipule/modifie un attribut RegexSplit : manipule un attribut selon des expressions régulières 15/09/2014 Forma.on CIREN - Septembre

39 Les «scoped attributes» Exemple : dupont245@univ-provence.fr Association d une valeur et d un domaine permet de rendre la valeur globalement unique le(s) scope(s) d un IdP sont publiées dans les métadonnées le SP effectue une vérification du scope Les attributs «scoped» edupersonprincipalname edupersonscopedaffiliation 15/09/2014 Forma.on CIREN - Septembre

40 Le filtrage en sortie des attributs Le fichier attribute-filter.xml défini les politiques de fourniture d attributs aux SP. Un fichier attribute-filter.xml peut contenir plusieurs politiques d attributs Par défaut, ce fichier est pauvre en règles de filtrage : aucun attribut envoyé 15/09/2014 Forma.on CIREN - Septembre

41 Attributs particuliers Deux attributs, très utiles et générés par l IdP : edupersonentitlement Exprime un privilège au niveau de la ressource accédée persistentid Identifiant unique, pérenne et opaque = CNIL 15/09/2014 Forma.on CIREN - Septembre

42 L attribut edupersonentitlement Usage : définition d un privilège pour l utilisateur Exemple : urn:mace:dir:entitlement:common-lib-terms Utilisation L IdP fournit une information binaire au SP L algorithme de calcul varie en fonction du SP 15/09/2014 Forma.on CIREN - Septembre

43 L attribut edupersontargetedid (persistentid) Utilisé pour identifier une seule et même personne d une session à une autre. Possède les caractéristiques suivantes : opaque, persistant, différent pour chaque SP Non réassignable Modes de génération Calculé (ComputedID) Obsolète (ne plus utiliser) Stocké (StoredID) : meilleur choix, mais nécessite une base de données. Généré à la première authentification, à partir de l identifiant de l IDP, SP et de l utilisateur 15/09/2014 Forma.on CIREN - Septembre

44 Shibboleth et SSO-CAS L IdP Shibboleth peut être un client CAS via le handler RemoteUser Inconvénient du couplage ne permet pas le Single Logout ne permet pas de forcer la réauthentification Solution écrire un handler d authentification pour CAS Documentation 15/09/2014 Forma.on CIREN - Septembre

45 Partie 3 Passage en production Module uapprove Présentation fédération Éducation-Recherche 15/09/2014 Forma.on CIREN - Septembre

46 Installer un IdP dans votre organisme Comme en TP, mais aussi : Configuration d attributs supplémentaires Nommer un idpmaster (ou shibmaster) Haute disponibilité «Versionner» les fichiers de configuration Utilisation des méta-données de la fédération de production 15/09/2014 Forma.on CIREN - Septembre

47 Gestion des filtres d attributs Gestion manuelle Enregistrement d un SP Envoi d un message à tous les gestionnaires d IdP Mise à jour manuelle du fichier attribute-filters.xml Limites de cette organisation Délai de mise à jour des filtres Erreurs liées à l édition manuelle de fichiers XML Difficulté de gestion du fichier Passage à l échelle... 15/09/2014 Forma.on CIREN - Septembre

48 Gestion des filtres d attributs Gestion automatisée (obligatoire dans cadre technique) Génération automatique de filtres par RENATER Plusieurs fichiers attribute-filters.xml proposés pour toutes les ressources par catégorie de ressources par portée de ressources L IdP pointe vers ce(s) attribute-filters.xml 15/09/2014 Forma.on CIREN - Septembre

49 Gestion des filtres d attributs Nos recommandations Utiliser renater-attribute-filters-all.xml Au quotidien Vous continuez à recevoir des notifications pour les nouvelles ressources Vous gardez la possibilité de définir une règle DenyValueRule Documentation 15/09/2014 Forma.on CIREN - Septembre

50 Module uapprove Module d'information et/ou de recueil de consentement de l utilisateur En interruption de flux = avant la transmission des attributs vers le SP Extension qui s'installe avec un IdP shibboleth 2.3+ Bientôt en standard avec l IdP Shibboleth Servlet Java Fortement configurable grâce à un fichier de properties 15/09/2014 Forma.on CIREN - Septembre

51 Module uapprove Avantage pour l IdP Informer l'utilisateur préalablement à l accès à une ressource Recueillir le consentement de celui-ci surtout en cas de ressources hors Union Européenne Intérêt pour l'utilisateur : Avoir connaissance des conditions d'utilisation de l IdP Connaître les données à caractère personnel transmises à chaque ressource 15/09/2014 Forma.on CIREN - Septembre

52 Module uapprove Fonc.onnement sans le module uapprove IdP Preuve d authen.fica.on + Transmission d'aaributs Redirec.on pour authen.fica.on SP 15/09/2014 Forma.on CIREN - Septembre

53 Module uapprove Fonc.onnement avec le module uapprove IdP uapprove Accepta/on des condi/ons Accepta/on de transmission des a4ributs Accord de l'u/lisateur Preuve d authentification + Transmission d'attributs SP Redirec.on pour authen.fica.on 15/09/2014 Forma.on CIREN - Septembre

54 Haute disponibilité Répartition de charge L'IdP Shibboleth peut gérer 50 connexions/sec Une seule instance peut donc suffire dans la majorité des cas Sauf pour un organisme multi-site Tolérance aux pannes Contrainte de disponibilité liée aux nombreuses applications clientes Un serveur de secours est opportun Perte des sessions actives acceptable dans ce contexte 15/09/2014 Forma.on CIREN - Septembre

55 La fédération Éducation-Recherche Deux types d entités : IdP et SP RENATER gère : Le guichet d enregistrement La distribution des méta-données, des filtres d'attributs L interconnexion internationale (edugain) Le support aux sites 15/09/2014 Forma.on CIREN - Septembre

56 La fédération Éducation-Recherche Les participants 215 IdP : uniquement établissements d enseignement supérieur ou de recherche 485 SP: y compris organismes privés (éditeurs ) 15/09/2014 Forma.on CIREN - Septembre

57 Typologie des ressources Ressources documentaires E-learning Accès Wi-Fi Applications métier mutualisées Extranet Distribution de logiciels 15/09/2014 Forma.on CIREN - Septembre

58 Procédures d'inscription dans la fédération Éducation-Recherche Activation du service dans SAGA par responsable technique désigne 2 responsables fédération Signature charte fédération par responsable administratif (profil président d'université ou délégation de signature) Inscription technique par responsables fédération (nommés) description technique du service 15/09/2014 Forma.on CIREN - Septembre

59 Cadre technique Diversification des implémentations IdP : 99% Shibboleth SP : 90% Shibboleth, SimpleSAMLPhp, EZProxy, modmellon, OIOSaml, OpenSSO Peut poser des problèmes d interopérabilité profils supportés signature/chiffrement format des méta-données 15/09/2014 Forma.on CIREN - Septembre

60 Gestion d un IdP, gestion des identités RENATER ne fournit pas de guide de bonnes pratiques Cf Best Current Practices for SWITCHaai service operations 15/09/2014 Forma.on CIREN - Septembre

61 Forum 15/09/2014 Forma.on CIREN - Septembre

62 Le guichet de la fédération les fonctionnalités enregistrement d'un SP/IdP dans fédération de Test dans fédération Education-Recherche publication des données génération des méta-données affichage des IdP/SP sur le site de la fédération processus de validation délégué aux contacts fédération des organismes 15/09/2014 Forma.on CIREN - Septembre

63 Le guichet de la fédération Qui y accède? les contacts techniques des entités SAML déclarées inscription d'une entité SAML (SP, IdP) édition des informations techniques les contacts fédération des organismes membres vue synthétique des entités SAML validation des inscriptions, mises à jour 15/09/2014 Forma.on CIREN - Septembre

64 Le guichet de la fédération 15/09/2014 Forma.on CIREN - Septembre

65 Le guichet de la fédération Workflows qui peut ajouter une entité SAML? n'importe qui après authentification rattachement à un organisme après validation par contacts fédération requis pour inscription dans une fédération de production fédération Education-Recherche ou edugain 15/09/2014 Forma.on CIREN - Septembre

66 Le guichet de la fédération Workflow type 1. ajout d'une nouvelle entité SAML sélection organisme de rattachement 2. inscription dans la fédération de test permet de valider le fonctionnement 3. validation par contact fédération de l'organisme notifié par mail 4. inscription dans la fédération Education- Recherche passage en production 5. inscription dans edugain 15/09/2014 Forma.on CIREN - Septembre

67 Votre fédération hébergée? principe d'une Fédération as a Service un organisme peut gérer ses propres méta-données via le guichet RENATER cas d'utilisation contexte UNR, PRES, groupement d'écoles pour des applications locales 15/09/2014 Forma.on CIREN - Septembre

68 Votre fédération hébergée Fonctionnalités Guichet et workflows de validation Publication méta-données + filtres d attributs Visibilité contrôlée Modalités d inscription dans votre fédération Via le guichet RENATER En fonction du domaine des utilisateurs Pour créer votre fédération Contactez support@renater.fr 15/09/2014 Forma.on CIREN - Septembre

69 edugain c'est quoi? une interconnexion de fédérations plus compliqué à réaliser que pour eduroam périmètre initialement UE finalement plus large (Brésil, Canada, Japon, Australie, Chili, Nouvelle Zélande, Turquie, USA) 15/09/2014 Forma.on CIREN - Septembre

70 edugain Architecture 15/09/2014 Forma.on CIREN - Septembre

71 edugain Cas d utilisation Pour un IdP français Participation par défaut (sous peu) Opt-out via le guichet Mise en place d un filtre d attribut supplémentaire Pour un SP français Inscription via le guichet (sous peu) Chargement des méta-données Utilisation WAYF edugain Adaptation au contexte international Format d attributs Conformité au Code of Conduct 15/09/2014 Forma.on CIREN - Septembre

72 edugain Data Protection Code Of Conduct Objectif : engagement des SP concernant le traitement des données à caractère personnel publication d'une Privacy Policy (en Anglais au moins) entité légale finalité des traitements catégorie des attributs destinataire des données droit accès/rectification des données? demande d'attributs minimale pas d'utilisation des données pour autres traitements pas de traitements secondaires des données sécurisation des données International CoCo en cours de rédaction Pour les SP hors UE 15/09/2014 Forma.on CIREN - Septembre

73 Obligations Informatique & Liberté Responsabilités du fournisseur d identités Évaluer la pertinence du traitement Informer les utilisateurs Réaliser les formalités CNIL adéquates Fait par CIL Inscrit le type de traitement au registre de l établissement Pas de différences de traitement pour SP universitaire vs SP commercial SP français vs SP européen Impliquez votre CIL! 15/09/2014 Forma.on CIREN - Septembre

74 CNIL contexte international Contexte edugain On connait les attributs demandés par un SP Dans les méta-données edugain Exploitable dans un filtre d attributs de l IdP le Code of Conduct edugain garanties de bonne gestion des données à caractère personnel Exploitable dans un filtre d attributs de l IdP 15/09/2014 Forma.on CIREN - Septembre

75 CNIL contexte international Cas des SPs hors UE C est plus compliqué Lire Mise en oeuvre pour l IdP Ok! Si contrat entre IdP et SP Recueil du consentement utilisateur pas suffisant Signature charte fédération pourrait permettre le transfert des données... CoCo international de edugain Une piste intéressante 15/09/2014 Forma.on CIREN - Septembre