Formation fédération d identités Jour 1

Dimension: px
Commencer à balayer dès la page:

Download "Formation fédération d identités Jour 1"

Transcription

1 Formation fédération d identités Jour 1 Formateurs : Sébastien Médard Olivier Salaün Forma&on fédéra&on Mars Strasbourg 1

2 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des RSSI Certificats TCS Fédération Education-Recherche Services applicatifs Eduroam, eduspot RENAvisio, Rendez-vous Universalistes, FileSender, Partage, Antispam Sympa, Sourcesup 2

3 RENATER Autres activités Formations (Fédération, IPv6, Sympa) Organisation des JRES Relations internationales (GEANT, TERENA) En savoir plus Contact 3

4 Déroulement de la formation Forma&on fédéra&on Mars Strasbourg 4

5 La formule 2 jours Jour 1 : installer un fournisseur d identités Jour 2 : installer un fournisseur de services Fonctionnement TP par binômes Entrecoupé par des présentations Objectif Comprendre les principes, la technologie Prenez votre temps! Aboutir à une installation fonctionnelle Pour reproduire chez vous 5

6 Timing Lundi 23 mars 2015 : 14h-17h30 mardi 24 mars 2015 : 9h30-12h ; 14h-17h30 mercredi 25 mars 2015 : 9h-12h 6

7 Les postes de travail Postes form-shibxx.renater.fr XX = 01->12 Environnement CentOS 6.x Comptes stagiaire root 7

8 Le support de formation https://services.renater.fr/federation/docs/installation Utilisable aussi pour de l auto-formation Très détaillé et progressif Mis à jour lors de chaque formation La forme Wiki avec une variable (monposte.fr) Permet le copier/coller Si rechargement de la page => ressaisir le nom du serveur 8

9 Jour 1 : installer un fournisseur d identités 1. Installation des pré-requis Java, Tomcat, certificats, NTP 2. Installation de l'idp Shibboleth 3. Configuration Shibboleth 4. Tests 5. Connexion LDAP, CAS 6. Configuration avancée 7. uapprove 9

10 Le tour de table 10

11 La fédération d identités Forma&on fédéra&on Mars Strasbourg 11

12 Fédération d identités Principes de fonctionnement un client SAML délègue l authentification à un serveur SAML autoritatif pour l utilisateur le client SAML connait la liste des serveurs SAML l utilisateur ne divulgue pas ses éléments d authentification au client SAML serveur SAML client SAML Etablissement A serveur SAML Etablissement B 25/03/

13 Terminologie SAML Fournisseur d identités ou IdP Fournisseur de service ou SP Service de découverte ou DS/WAYF IdP serveur SAML Etablissement A DS SP client SAML IdP serveur SAML Etablissement B 25/03/

14 Principe de fonctionnement le fournisseur d identités (IdP) Authentification de l'utilisateur Peut être un client CAS Preuve d'authentification = assertion SAML Session utilisateur Transmet le profil de l'utilisateur Via le protocole SAML2 Données issues des référentiels (LDAP ou SQL) Richesse du profil utilisateur paramétrable 25/03/

15 Principe de fonctionnement le fournisseur de service (SP) en amont d une application API varie selon implémentation SP renvoie l utilisateur vers son IdP passage par le service de découverte (DS/WAYF) retour de l IdP avec un profil utilisateur Session utilisateur gestion du contrôle d accès dans l application à partir des attributs utilisateur reçus 25/03/

16 Demonstration https://filesender.renater.fr/ https://antispam.renater.fr/ https://neugrid4you.eu/ 25/03/

17 Le workflow d authentification IdP Etablissement A SP DS Applica&on IdP Etablissement B 25/03/

18 L envers du décor le service de découverte (DS/WAYF) fonction d orientation de l utilisateur vers son IdP fonctionnement menu déroulant search as you type pré-sélection qui l opère? RENATER ou l établissement gérant l application cible 25/03/

19 L envers du décor le protocole SAML Protocole d authentification normalisé par le consortium OASIS basé sur XML Fonctionnalités Assertions d'authentification Assertions d'échange d'attributs Signature et chiffrement Version 2.0 publié en 2005 Interopérabilité possible avec les produits SAML 2 25/03/

20 Les implémentations SAML un large choix Shibboleth, SimpleSAMLPhp, EZProxy, modmellon, OIOSaml, OpenSSO spécifications SAML2 complexes interopérabilité pas toujours garantie sauf à définir un cadre technique Ex : 25/03/

21 Les implémentations SAML Shibboleth Une implémentation du protocole SAML logiciel open source issu de la communauté E/R d abord aux USA aujourd hui un consortium Trois logiciels Shibboleth IdP Shibboleth SP Shibboleth DS (pas utilisé par RENATER) 25/03/

22 Les implémentations SAML atouts très configurables éprouvé (depuis 2003) Shibboleth bien adaptés au contexte E/R implémentation de référence pour RENATER supports de formation pour Shibboleth modèles de configuration pour Shibboleth assistance via liste federation-utilisateurs RENATER contribue financièrement au consortium 25/03/

23 L envers du décor les méta-données SAML fichier descriptif d une entité SAML un SP, un IdP un ensemble de SPs et d IdPs permet les échanges entre entités SAML délégation de l authentification signature/chiffrement des assertions contenu d un fichier de méta-données Identifiant de l entité, URL, certificat, profils SAML supportés, contacts, description,... Exemple https://federation.renater.fr/test/renater-test-metadata.xml 25/03/

24 Le cercle de confiance terminologie fédération = cercle de confiance ex : fédération Education-Recherche constitution des SPs des IdPs résout la problématique des relations bilatérales les membres du cercle de confiance partagent un niveau de confiance un cadre technique des méta-données SAML 25/03/

25 La fédération Education-Recherche https://federation.renater.fr/ un cercle de confiance pour la communauté E/R française opéré par le RENATER Concrètement c est : les chartes membre/partenaire, articulation avec SAGA le cadre technique, SAML2, Supann 2009 les méta-données SAML + filtres d attributs le guichet de la fédération 25/03/

26 Qui utilise la fédération? https://federation.renater.fr/registry?action=view_all&federation=renater 234 fournisseurs d identités uniquement des établissement E/R français 580 services fédérés incluant des services commerciaux typologie ressources documentaires e-learning outils collaboratifs accès Wi-Fi applications métier mutalisées distribution de logiciel 25/03/

27 D autres cercles de confiance D autres fédérations E/R dans 46 pays https://refeds.org/resources/resources_list.html edugain inter-fédération une inter-connexion de fédérations E/R inscription depuis le guichet RENATER par défaut pour les IdP optionnelle pour les SP gérer une fédération, hébergée par RENATER principe : fédération as a service via le guichet RENATER https://services.renater.fr/federation/docs/fiches/fed-locale 25/03/

28 Attributs utilisateurs Un fournisseur de services a besoin d'authentifier des utilisateurs Le fournisseur d'identités lui transmet un profil utilisateur Composé d'attributs Attributs issus d'un référentiel (LDAP) Norme SupAnn

29 Filtrage d'attributs L'IdP Shibboleth permet de filtrer les attributs utilisateurs sortants Pour limiter la diffusion d'attributs nominatifs (aspects informatique et liberté) Fichier attribute-filter.xml Configurable pour chaque SP Configurable pour chaque attribut Impacts non désirés Certains IdP mal configurés 29

30 Transmission des attributs utilisateurs urn:oid: uid REMOTE_USER LDAP IdP SAML2 SP Application attribute-resolver.xml attribute-filter.xml attribute-map.xml 30

31 Redirections HTTP Usage intensif des redirections HTTP Comme SSO-CAS L'utilisateur est redirigé en permanence Application > SP > WAYF > IdP > CAS > IdP > SP > Application Plugins Firefox utiles : Web developer (gestion des cookies...) Tamper data (études des redirections HTTP...) + modules pour visionner l'assertion base64 XML 31

32 Les briques logicielles IdP mod_ssl mod_proxy SAML2 Ressource de test Apache AJP Client CAS Servlet IdP Shibboleth Tomcat Java Connexion Cer&ficat & clé privée AC de test Serveur CAS de test Annuaire de test 32

33 Services de Test Fédération de Test Enregistrement automatique Ouvert à tout SP/IdP Pas d usages en production SP de test Utilisable avec n importe quel IdP de test Fonctionnement : liste les attributs reçus Référentiel de test quelques enregistrements uid = etudiant1, enseignant1 Serveur CAS de test Mot de passe == uid 33

34 Utilisation des certificats 3 type de certificats interviennent : Certificats pour sécuriser Apache Fournis par RENATER pour les besoins du TP Chapitre 2.3 du support Certificat utilisés par Shibboleth (couche SAML) Certificat + clé privée Générés à l'installation de Shibboleth Certificat de signature Vérification de la signature des méta-données Téléchargé au chapitre

35 A vous de jouer https://services.renater.fr/federation/ docs/installation 35

36 Partie 2 Configuration Shibboleth Forma&on fédéra&on Mars Strasbourg 36

37 Configuration de Shibboleth Les fichiers de configuration Les logs Définition des attributs utilisateurs Diffusion des attributs utilisateurs 37

38 Les fichiers de configuration relying-party.xml Configuration principale : profils SAML, méta-données, certificats, paramètres de sécurité attribute-resolver.xml extraction et préparation des attributs attribute-filter.xml Politiques de filtrage des attributs logging.xml configuration des différents fichiers de log (process, access, et audit) login.config Authentification via l IdP (JAAS) handler.xml contrôle les points de contact de l IdP 38

39 Prise en compte dynamique de ces fichiers Pas de redémarrage nécessaire pour les fichiers : logging.xml, login.config Les autres nécessitent un redémarrage de Tomcat : Redémarrer tomcat en mode service plutôt qu avec l interface web. Mais on peut programmer la prise en compte à chaud dans service.xml 39

40 La gestion des journaux Trois journaux de logs idp-process.log permet de vérifier le processus IdP idp-access.log Fichier à la Apache permettant de tracer les accès à l IdP idp-audit.log Fichier facilement parsable journalisant les informations transitant par l IdP: type de requêtes, attributs fournis, SP de provenance, etc. Mode DEBUG (voir TRACE) déconseillé en production Surtout utile pour visualiser les assertions SAML (PROTOCOLE_MESSAGE) 40

41 Fichier web.xml Si on modifie le fichier web.xml Configurations de filtres Java (Comme CAS) On peut éviter de l écraser lors d un redéploiement ou mise à jour de l IdP ; En gardant la version modifiée dans $IDP_HOME/ conf/ ; Possibilité valable depuis la version

42 attribute-resolver.xml : DataConnector Définit le branchement à une source de données En cas d échec un autre Data connector peut prendre le relais Les types de connectors : Static : déclaration d une donnée statique RelationalDatabase : connexion à une base SQL LDAPDirectory : connexion à un annuaire 42

43 DataConnector - exemple <resolver:dataconnector id="monldap" xsi:type="ldapdirectory ldapurl="ldap://ldap.exemple.org basedn="ou=people,dc=exemple,dc=org principal="uid=monservice,ou=system principalcredential= monservicepassword"> <FilterTemplate> <![CDATA[(uid= $requestcontext.principalname) ]]> </FilterTemplate> </resolver:dataconnector> Identifiant unique Définition d'un connecteur Type du connecteur : LDAP Filtre LDAP Paramètres de Connexion au référentiel d établissement 43

44 Attribute Definition Déclare un attribut avec un identifiant unique dans le fichier du resolver Selon les valeurs d un attribut, on peut actionner une nouvelle source d attributs, ou définir un autre attribut Il existe plusieurs définitions possible : Simple: extrait tel quel d une source Scoped : ajoute un «scope» à un attribut Script : manipule/modifie un attribut RegexSplit : manipule un attribut selon des expressions régulières 44

45 Les «scoped attributes» Exemple : Association d une valeur et d un domaine permet de rendre la valeur globalement unique le(s) scope(s) d un IdP sont publiées dans les métadonnées le SP effectue une vérification du scope Les attributs «scoped» edupersonprincipalname edupersonscopedaffiliation 45

46 Le filtrage en sortie des attributs Le fichier attribute-filter.xml définit les politiques de fourniture d attributs aux SP. peut contenir plusieurs politiques d attributs Par défaut, ce fichier est pauvre en règles de filtrage : aucun attribut envoyé 46

47 Attributs particuliers Deux attributs, très utiles et générés par l IdP : edupersonentitlement Exprime un privilège au niveau de la ressource accédée persistentid Identifiant unique, pérenne et opaque = CNIL 47

48 L attribut edupersonentitlement Usage : définition d un privilège pour l utilisateur Utilisation L IdP fournit une information binaire au SP L algorithme de calcul varie en fonction du SP Pratique dans les cas où le SP doit déléguer la prise de décision d accès à la ressource 48

49 L attribut edupersontargetedid (persistentid) Utilisé pour identifier une seule et même personne d une session à une autre. Possède les caractéristiques suivantes : opaque, persistant, différent pour chaque SP Non réassignable Modes de génération Calculé (ComputedID) Obsolète (ne plus utiliser) Stocké (StoredID) : meilleur choix, mais nécessite une base de données. Généré à la première authentification, à partir de l identifiant de l IDP, SP et de l utilisateur 49

50 Shibboleth et SSO-CAS L IdP Shibboleth peut être un client CAS via le handler RemoteUser Inconvénient du couplage ne permet pas le Single Logout ne permet pas de forcer la réauthentification Documentation https://services.renater.fr/federation/docs/fiches/ cas-shib 50

51 Partie 3 Passage en production Module uapprove Présentation fédération Éducation-Recherche Forma&on fédéra&on Mars Strasbourg 51

52 Installer un IdP dans votre organisme Comme en TP, mais aussi : Configuration d attributs supplémentaires Nommer un idpmaster Haute disponibilité «Versionner» les fichiers de configuration Utilisation des méta-données de la fédération de production 52

53 Gestion des filtres d attributs Gestion manuelle Enregistrement d un SP Envoi d un message à tous les gestionnaires d IdP Mise à jour manuelle du fichier attribute-filters.xml Limites de cette organisation Délai de mise à jour des filtres Erreurs liées à l édition manuelle de fichiers XML Difficulté de gestion du fichier Passage à l échelle... 53

54 Gestion des filtres d attributs Gestion automatisée (obligatoire dans le cadre technique) Génération automatique de filtres par RENATER Plusieurs fichiers attribute-filters.xml proposés pour toutes les ressources par catégorie de ressources par portée de ressources L IdP pointe vers ce(s) attribute-filters.xml 54

55 Gestion des filtres d attributs Nos recommandations Utiliser renater-attribute-filters-all.xml Au quotidien Vous continuez à recevoir des notifications pour les nouvelles ressources Vous gardez la possibilité de définir une règle DenyValueRule Documentation https://federation.renater.fr/docs/fiches/attribute-filters 55

56 Module uapprove Module d'information et/ou de recueil de consentement de l utilisateur En interruption de flux = avant la transmission des attributs vers le SP Extension qui s'installe avec un IdP shibboleth 2.3+ Bientôt en standard avec l IdP Shibboleth Servlet Java Configurable grâce à un fichier de properties 56

57 Module uapprove Avantage pour l IdP Informer l'utilisateur préalablement à l accès à une ressource Recueillir le consentement de celui-ci surtout en cas de ressources hors Union Européenne Intérêt pour l'utilisateur : Avoir connaissance des conditions d'utilisation de l IdP Connaître les données à caractère personnel transmises à chaque ressource 57

58 Module uapprove Fonc&onnement sans le module uapprove IdP Preuve d authen&fica&on + Transmission d'aaributs Redirec&on pour authen&fica&on SP 58

59 Module uapprove Fonc&onnement avec le module uapprove IdP uapprove Accepta6on des condi6ons Accepta6on de transmission des a9ributs Accord de l'u6lisateur Preuve d authentification + Transmission d'attributs SP Redirec&on pour authen&fica&on 59

60 Haute disponibilité Répartition de charge L'IdP Shibboleth peut gérer 50 connexions/sec Une seule instance peut donc suffire dans la majorité des cas Sauf pour un organisme multi-site Tolérance aux pannes Contrainte de disponibilité liée aux nombreuses applications clientes Un serveur de secours est opportun Perte des sessions actives acceptable dans ce contexte https://2009.jres.org/planning?planning_aid=77&ajax 60

61 Bug IdP https://issues.shibboleth.net/jira/browse/sidp-624 symptome arrêt synchronisation des méta-données si les filtres d attributs distants sont indisponibles expiration des méta-données 6 jours plus tard paliatif redémarrage IdP régulièrement correctif dans IdP (du 26/02/2015) à plus long terme suppression des filtres automatiques utilisation des extensions MDUI dans les méta-données SAML 61

62 Shibboleth IdP 3.x Dates de sortie le 22/12/ le 10/03/2015 Nouveautés réorganisation des handlers d authentification U-Approve intégré nativement Environnement compatible servlet 3.0 conteneurs supportés : Tomcat 8 et Jetty 9.2 Jetty recommandé par les développeurs 62

63 Utiliser l IdP 3.x? Evolution du format des fichiers de configuration migration automatisée RENATER a évalué la version documentation d installation incomplète difficultés de mise en oeuvre avec Tomcat Evolution de nos supports de formation courant

64 Procédures d'inscription dans la fédération Éducation-Recherche Activation du service dans SAGA par responsable technique désigne 2 responsables fédération Signature charte fédération par responsable administratif (profil président d'université ou délégation de signature) Inscription technique par responsables fédération (nommés) description technique du service 64

65 Gestion d un IdP, gestion des identités Confiance dans la fédération = confiance dans les identités gérées par vos établissement Documentations sur la gestion des identités Best Current Practices for SWITCHaai service operations Mettre en oeuvre un référentiel d identités https://www.renater.fr/campus-best-practice-en-france 65

66 Le guichet de la fédération les fonctionnalités enregistrement d'un SP/IdP dans fédération de Test dans fédération Education-Recherche publication des données génération des méta-données affichage des IdP/SP sur le site de la fédération processus de validation délégué aux contacts fédération des organismes 66

67 Le guichet de la fédération Qui y accède? les contacts techniques des entités SAML déclarées inscription d'une entité SAML (SP, IdP) édition des informations techniques les contacts fédération des organismes membres vue synthétique des entités SAML validation des inscriptions, mises à jour 67

68 Le guichet de la fédération https://federation.renater.fr/registry 68

69 Le guichet de la fédération Workflows qui peut ajouter une entité SAML? n'importe qui après authentification rattachement à un organisme après validation par contacts fédération requis pour inscription dans une fédération de production fédération Education-Recherche ou edugain 69

70 Le guichet de la fédération Workflow type 1. ajout d'une nouvelle entité SAML sélection organisme de rattachement 2. inscription dans la fédération de test permet de valider le fonctionnement 3. validation par contact fédération de l'organisme notifié par mail 4. inscription dans la fédération Education- Recherche passage en production 5. inscription dans edugain 70

71 Votre fédération hébergée? principe d'une Fédération as a Service un organisme peut gérer ses propres méta-données via le guichet RENATER cas d'utilisation contexte COMUE, PRES, groupement d'écoles pour des applications locales 71

72 Votre fédération hébergée https://services.renater.fr/federation/docs/fiches/fed-locale Fonctionnalités Guichet et workflows de validation Publication méta-données + filtres d attributs Visibilité contrôlée Modalités d inscription dans votre fédération Via le guichet RENATER En fonction du domaine des utilisateurs Pour créer votre fédération Contactez 72

73 edugain c'est quoi? une interconnexion de fédérations plus compliqué à réaliser que pour eduroam périmètre initial = UE finalement plus large (Brésil, Canada, Japon, Australie, Chili, Nouvelle Zélande, Turquie, USA) 73

74 edugain Architecture 74

75 edugain Cas d utilisation Pour un IdP français Participation par défaut Opt-out via le guichet Mise en place d un filtre d attribut supplémentaire Pour un SP français Inscription via le guichet Chargement des méta-données Utilisation DS edugain Adaptation au contexte international Format d attributs Conformité au Code of Conduct https://services.renater.fr/federation/docs/fiches/edugain 75

76 edugain Data Protection Code Of Conduct Objectif : engagement des SP concernant le traitement des données à caractère personnel publication d'une Privacy Policy (en Anglais au moins) entité légale finalité des traitements catégorie des attributs destinataire des données droit accès/rectification des données? demande d'attributs minimale pas d'utilisation des données pour autres traitements pas de traitements secondaires des données sécurisation des données International CoCo en cours de rédaction Pour les SP hors UE 76

77 Obligations Informatique & Liberté https://services.renater.fr/federation/docs/federation-cnil Responsabilités du fournisseur d identités Évaluer la pertinence du traitement Informer les utilisateurs Réaliser les formalités CNIL adéquates Fait par le CIL de l établissement Inscrit le type de traitement au registre de l établissement Pas de différences de traitement pour SP universitaire vs SP commercial SP français vs SP européen Impliquez votre CIL! 77

78 CNIL contexte international Contexte edugain On connait les attributs demandés par un SP Dans les méta-données edugain Exploitable dans un filtre d attributs de l IdP le Code of Conduct edugain garanties de bonne gestion des données à caractère personnel Exploitable dans un filtre d attributs de l IdP 78

79 CNIL contexte international Cas des SP hors UE C est plus compliqué Lire Mise en oeuvre pour l IdP Ok! Si contrat entre IdP et SP Recueil du consentement utilisateur pas suffisant Signature charte fédération pourrait permettre le transfert des données... CoCo international de edugain Une piste intéressante 79

80 Formation fédération d identités Jour 2 Forma&on fédéra&on Mars Strasbourg 80

81 Déroulement de la formation Installation des pré-requis (cert, Apache, NTP) Installation du SP Shibboleth Configuration Apache + SP Test du SP Installation du WAYF Adaptation de l'application myblog Conseils pour mise en production Pour aller plus loin... 81

82 Shibboleth SP Produit en deux briques techniques : Module pour Apache ou IIS Démon Shibd 6 RPM à installer via les dépôts YUM 82

83 Fonctionnement du SP Shibboleth Environnement Apache ou IIS Scénario 1. Redirection vers WAYF 2. Redirection vers IdP 3. Retour vers le SP 4. Récupération des attributs Application Attributs utilisateur Apache / IIS SP WAYF IdP 83

84 Les Comptes CRU IdP ouvert à tous Pas limité à la communauté ESR Validation de l adresse Les attributs utilisateurs + nom + prénom + eppn + eptid Pas de notion de privilèges Ne fait pas partie de la fédération Pour qu'un SP utilise les comptes CRU Ajouter confiance dans sac-metadata.xml Inscription du SP dans la Fédération Education-Recherche 84

85 Compte CRU Passerelles sociales IdP comptes CRU devient (en plus) client des IdP sociaux Facebook Twitter Yahoo Google Microsoft Passerelle monde social vers SAML Evite création d un compte supplémentaire Évite l installation de connecteurs au niveau d une application «fédérée» ISO fonctionnelle avec Comptes CRU Preuve d authentification Adresse + identifiant pérenne (d IdP Social) Mise en production courant

86 Synchronisation des métadonnées Fédération Education- Recherche MD SP MD IdP MD 86

87 Synchronisation des métadonnées SP et IdP ont une copie locale des méta-données de la fédération /opt/shibboleth-idp/metadata/ /etc/shibboleth/ Rafraichissement des MD paramétrable Pour IdP : refreshdelayfactor et maxrefreshdelay Pour SP : maxrefreshdelay Préconisation en production : Refresh toutes les heures 87

88 À vous de jouer https://services.renater.fr/ federation/docs/installation/sp 88

89 Seconde partie : Configurer Shibboleth Forma&on fédéra&on Mars Strasbourg 89

90 Définir une nouvelle ressource Un unique SP shibboleth peut protéger plusieurs ressources Définition d un élément ApplicationOverride Surcharger les définitions de ApplicationDefaults Correspond à la configuration requise pour une nouvelle ressource Factoriser autant que possible au niveau Application Defaults Protéger cette ressource par une règle Apache Pour chaque ressource ajoutée 90

91 Le handler URL URL racine pour les URL de service du SP Valeur par défaut : /Shibboleth.sso Exemples : /Shibboleth.sso/Metadata /Shibboleth.sso/Login /Shibboleth.sso/SAML2/POST Activation du handler URL dans Apache <Location /> AuthType shibboleth Require shibboleth </Location> 91

92 Le Discovery Service (ex-wayf) Possibilité d utiliser un DS par établissement ou National Il faut redonder cette brique logicielle Car, si en panne, il bloque l accès à toutes les applications qui se basent sur lui Plusieurs implémentations existent : SWITCH WAYF Shibboleth DS Disco juice 25/03/2015 forma&on CIREN - Septembre

93 Protocole «Discovery Service» Version normalisée (SAML2) du WAYF Workflow différent WAYF : SP --> WAYF --> IdP DS : SP --> DS --> SP --> IdP Permet d'initier une session SAML2 Le WAYF de SWITCH supporte ce protocole Le SP doit être configuré pour utiliser ce protocole (élément Sessions) 93

94 Un WAYF mieux intégré Objectif intégrer le menu déroulant dans l application avec une liste d IdP contextuelle fonction «search as you type» Fonction Embedded WAYF native dans le SWITCH WAYF Principe de fonctionnement application inclut du code Javascript paramétrage possible Documentation https://services.renater.fr/federation/docs/fiches/filtreridp 25/03/

95 Un WAYF mieux intégré 25/03/

96 Embedded WAYF + DiscoFeed Objectif : Un WAYF intégré dans l application Avec une liste d IdP contextuelle Fonctionnalités utilisées: Embedded WAYF DiscoFeed du SP Doc : https://services.renater.fr/federation/docs/fiches/ filtreridp 96

97 Embedded WAYF + DiscoFeed Fédération Education- Recherche MD SP MD filtrées DiscoFeed JSON WAYF 97

98 Deux méthodes pour court-circuiter le WAYF 1 IdP < -- > 1 SP IdP-initiated session Voir https://federation.renater.fr/docs/faq/wayf#court-circuiter_le_wayf Adapté pour des liens depuis un ENT 98

99 Mécanisme des lazy sessions Spécifique à Shibboleth Principe : Une API pour déclencher l authentification Cas d utilisation : Permettre une navigation anonyme Maintenir plusieurs modes Intégrer la fonction WAYF dans l application 99

100 Le mécanisme des lazy sessions Navigation anonyme Déclenchement de la lazy session Application Application Login Shibboleth Apache / IIS SP Apache / IIS SP WAYF URL : /Shibboleth.sso/Login 100

101 Troisième partie : «Shibboliser» une application Forma&on fédéra&on Mars Strasbourg 101

102 Différents cas de figure Application nativement compatible avec SAML2 Utilisant le SP Shibboleth ou pas Application implémentant des modes d authentification externes Possibilité d utiliser REMOTE_USER? Application devant être adaptées Cas logiciel open source Contacter les développeurs Prévoir un développement (plugin) Cas logiciel propriétaire Demander un développement 102

103 Quelques applications déjà compatibles https://federation.renater.fr/technique/applications/index 103

104 Cerner le contexte d utilisation La fédération d identités couvre-t-elle tous les utilisateurs potentiels du service? Sinon gestion des exceptions Comment contrôler l accès des utilisateurs? Quels attributs utilisateurs? 104

105 La population cible Une question importante la population cible du service est-elle couverte? élargir la population maintenir plusieurs modes d authentification les comptes CRU edugain rétrécir la population relations bilatérales fédération hébergée par RENATER 25/03/

106 Identifier les utilisateurs Objectif Utilisation des attributs utilisateur gérer des contrôles d accès personnaliser les contenus Gestion des attributs pas l application associer le compte fédéré à un compte utilisateur attribuer dynamiquement des droits population non connue a priori Quel attribut SAML utiliser comme identifiant? 25/03/

107 Identifier les utilisateurs Quel identifiant utiliser? a9ribut exemples Persistant? Opaque? Facilement Manipulable? nameid edupersontargetedid uid edupersonprincipalname _e2310ee043088cfda194 1eacbb50a6c" haps://services- federa&on.renater.fr/ test/idp!haps://services- federa&on.renater.fr/ test/ressource!jo/ UJs5h2MoXPRzgoLLl2xyw f4o= Jdupont x.fr x.fr NON OUI NON OUI OUI NON OUI NON VARIABLE OUI NON VARIABLE mail x.fr OUI, mais NON OUI 25/03/

108 Réaliser le contrôle d'accès au niveau Apache AuthType shibboleth ShibRequestSeHng requiresession 1 require affiliation student require homeorganization ~ ^univ-test.fr$ 108

109 Identifier les utilisateurs Où est le référentiel utilisateurs? côté IdP l IdP fournit tous les attributs nécessaires cas standard côté application l application interroge son propre référentiel ailleurs LDAP, SQL, Web Service plusieurs applications partagent un référentiel utilisateur exemple : Mathrice possibilité d utiliser un Attribute Provider SAML cf le service d autorisation de RENATER 25/03/

110 Agrégation d'attributs https://federation.renater.fr/docs/fiches/idpgroupes Usage gestion de groupes pour communautés dispersée alternative à une fédération Pré-requis SP Shibboleth >= 2.2 mettre en oeuvre l IdP 2 un identifiant commun SP IdP 2 IdP 1 110

111 Un service d autorisation basé sur les groupes Forma&on fédéra&on Mars Strasbourg 111

112 Service d autorisation RENATER Principe de fonctionnement permettre un contrôle d accès unifié à plusieurs applications pour une population issue de différents organismes le référentiel de groupes est géré par un serveur de groupe avec le logiciel Sympa interrogé via le protocole SAML Attribute Authority intégration applicative non intrusive configuration du SP pour interroger le référentiel de groupes 25/03/

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien Formation fédération d identités Jour 1/2 Formateurs : Hached Mehdi Médard Sébastien 15/09/2014 Forma.on CIREN - Septembre 2014 1 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014 Adapter un service pour la fédération d'identités Olivier Salaün, RENATER ANF Mathrice 2014 24/09/2014 1 Supports de formation https://services.renater.fr/federation/docs/installation supports des formations

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

La fédération Education Education Recherche

La fédération Education Education Recherche La fédération Education Recherche JoSy 6 mai 2010 Petit historique Fin 2005 : Fédération du CRU créée Couverture enseignement supérieur Implémentation choisie : Shibboleth Janvier 2009 : Migration vers

Plus en détail

Evolutions du guichet de la fédération et gestion des métadonnées SAML

Evolutions du guichet de la fédération et gestion des métadonnées SAML Evolutions du guichet de la fédération et gestion des métadonnées SAML 17/07/2015 1 Evolutions Guichet ajout des logos des IdP/SP collecte des URL de Single Logout vérifications sur les certificats X.509

Plus en détail

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Retour sur les déploiements eduroam et Fédération Éducation/Recherche Séminaire Aristote Sécurité et Mobilité Retour sur les déploiements eduroam et Fédération Éducation/Recherche 7 février2013 Agenda La communauté RENATER L offre de service La mobilité numérique avec la

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Présentation de Shibboleth

Présentation de Shibboleth Présentation de Shibboleth Journée d information sur la fédération du CRU, 25 Janvier 2007 Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1 Intérêt Présentation de Shibboleth - journée

Plus en détail

Un service d autorisation pour les groupes (VOs) avec Sympa. Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris

Un service d autorisation pour les groupes (VOs) avec Sympa. Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris Un service d autorisation pour les groupes (VOs) avec Sympa Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris Comment gérer facilement les autorisations pour un groupe?

Plus en détail

Fédération du CRU pour la propagation d identités et d attributs

Fédération du CRU pour la propagation d identités et d attributs Fédération du CRU pour la propagation d identités et d attributs ou «Comment partager des ressources web entre établissements d enseignement supérieur» 1/47 1 Plan de la présentation 1. Problématique :

Plus en détail

Shibboleth sur REAUMUR

Shibboleth sur REAUMUR REAUMUR / ACO TIC/PRES Université de Bordeaux Shibboleth sur REAUMUR Journée Fédération du CRU Paris, 25 Janvier 2007 Laurent FACQ - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs

Plus en détail

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010. 5 mai 2010 1

Shibboleth. David Verdin - JOSY Authentification centralisée pour les applications web - Paris - 4 février 2010. 5 mai 2010 1 Shibboleth David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010 5 mai 2010 1 Plan de l'exposé Position du problème L'architecture de Shibboleth Shibboleth

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

REAUMUR-ACO-PRES. Wifi : Point et perspectives

REAUMUR-ACO-PRES. Wifi : Point et perspectives REAUMUR-ACO-PRES Wifi : Point et perspectives 26 Octobre 2005 www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche Version du 11/06/2006 09:03:32 1 26/10/2005 REAUMUR-ACO

Plus en détail

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Journée fédération 2013 Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Plan P. 2 Contexte Janus et Web Services Cas d usage & typologies Réflexions,

Plus en détail

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Plan Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Les Scénarios d autorisation Le format TT2 Les familles de

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

REAUMUR-ACO-PRES. Unification des mots de passes : perspectives pour l'inter-u

REAUMUR-ACO-PRES. Unification des mots de passes : perspectives pour l'inter-u REAUMUR-ACO-PRES Unification des mots de passes : perspectives pour l'inter-u Raisin 13 Octobre 2005 L. Facq - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire

Plus en détail

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS Roland Dirlewanger CNRS Délégation Aquitaine-Limousin P. 201 SOMMAIRE Les prérequis Adapter une application existante : Cas d'une application locale :

Plus en détail

Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU

Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU Mehdi Hached Comité Réseau des Universités CRU Campus Centre de Ressources Informatiques

Plus en détail

Gestion des accès, fédération d identités. Olivier Salaün - RENATER

Gestion des accès, fédération d identités. Olivier Salaün - RENATER Gestion des accès, fédération d identités Olivier Salaün - RENATER La fédération d'identités? mécanisme standardisé de délégation d'authentification pour l'accès à des ressources numériques (web) très

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam 26/01/2007 lieu de presentation 1 Attributs Exportation des attributs et réglementation CNIL Problématique

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Et si l'infrastructure ENT servait à gérer le nomadisme!

Et si l'infrastructure ENT servait à gérer le nomadisme! Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université

Plus en détail

CAS, la théorie. R. Ferrere, S. Layrisse

CAS, la théorie. R. Ferrere, S. Layrisse CAS, la théorie R. Ferrere, S. Layrisse ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plus en détail

GED ECM :Alfresco. S I A T. T é l : ( + 2 1 6 ) 7 1 7 9 9 7 4 4. F a x : ( + 2 1 6 ) 7 1 7 9 8 3 6 3

GED ECM :Alfresco. S I A T. T é l : ( + 2 1 6 ) 7 1 7 9 9 7 4 4. F a x : ( + 2 1 6 ) 7 1 7 9 8 3 6 3 GED ECM :Alfresco Alfresco est une solution de gestion de contenu d'entreprise (ECM) : elle propose une gestion de contenu d'entreprise complète : gestion documentaire, collaboration, gestion de cycle

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Annuaire LDAP, SSO-CAS, ESUP Portail...

Annuaire LDAP, SSO-CAS, ESUP Portail... Annuaire LDAP, SSO-CAS, ESUP Portail... Patrick DECLERCQ CRI Lille 1 Octobre 2006 Plan Annuaire LDAP : - Présentation - Recommandations (SUPANN) - Architecture - Alimentation, mises à jour - Consultation

Plus en détail

Gestion d identités PSL Installation IdP Authentic

Gestion d identités PSL Installation IdP Authentic Gestion d identités PSL Installation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com 2 avril 2015 Table des matières 1 Installation du système de base 1 1.1 Rappel sur la la synchronisation des

Plus en détail

WebSSO, synchronisation et contrôle des accès via LDAP

WebSSO, synchronisation et contrôle des accès via LDAP 31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration

Plus en détail

La gestion des identités au CNRS Le projet Janus

La gestion des identités au CNRS Le projet Janus La gestion des identités au CNRS Le projet Janus Claude Gross CNRS/UREC Janus : les origines Fin 2007 : Annonce de l ouverture d un service ouvert à toutes les unités CNRS Besoin d une solution d authentification

Plus en détail

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011 SAML et services hors web SAML @ ESPCI ParisTech (1) Connexion unique à tous les services web 142 SP au 16/1/2011, beaucoup mutualisés 40 instances de SPIP 17 instances de Mediawiki 16 instances de MRBS

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

Apache Tomcat 8 Guide d'administration du serveur Java EE 7 sous Windows et Linux

Apache Tomcat 8 Guide d'administration du serveur Java EE 7 sous Windows et Linux Avant-propos 1. À qui s adresse ce livre? 11 2. Les pré-requis 12 Préambule 1. Rappel sur les architectures Internet/Intranet/Extranet 13 1.1 Le protocole HTTP 14 1.1.1 Les méthodes HTTP 16 1.1.2 Les codes

Plus en détail

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject)

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Objectifs et Enjeux Contexte et objectifs du projet Objectifs Mettre à disposition

Plus en détail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Application des Spécifications détaillées pour la Retraite, architecture portail à portail Pour Application des Spécifications détaillées pour la Retraite, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques ESUP Portail Un ENT universitaire! ESUP Portail Présentation générale du projet Jean-Michel Antoine Jean-Guy Avelin Raymond Bourges Architecture Intégration au SI de l établissement Développement de canaux

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

SAML et services hors web

SAML et services hors web SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne

Plus en détail

Joomla! Création et administration d'un site web - Version numérique

Joomla! Création et administration d'un site web - Version numérique Avant-propos 1. Objectifs du livre 15 1.1 Orientation 15 1.2 À qui s adresse ce livre? 16 2. Contenu de l ouvrage 17 3. Conclusion 18 Introduction 1. Un peu d histoire pour commencer... 19 1.1 Du web statique

Plus en détail

Fédération d'identités et propagation d'attributs avec Shibboleth

Fédération d'identités et propagation d'attributs avec Shibboleth Fédération d'identités et propagation d'attributs avec Shibboleth Olivier Salaün Comité Réseau des Universités olivier.salaun cru.fr Florent Guilleux Comité Réseau des Universités florent.guilleux cru.fr

Plus en détail

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006 Schéma directeur des espaces numériques de travail Annexe AAS Authentification-Autorisation-SSO Version 2.0 SOMMAIRE 1. Introduction... 3 1.1 Contexte... 3 1.2 Objectifs et contenu du document... 4 1.3

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

SharePoint Server 2013 Déploiement et administration de la plate-forme

SharePoint Server 2013 Déploiement et administration de la plate-forme Présentation des technologies SharePoint 1. Historique des technologies SharePoint 13 1.1 SharePoint Team Services v1 14 1.2 SharePoint Portal Server 2001 14 1.3 Windows SharePoint Services v2 et Office

Plus en détail

Architecture Constellio

Architecture Constellio Architecture Constellio Date : 12 novembre 2013 Version 3.0 Contact : Nicolas Bélisle nicolas.belisle@doculibre.com 5146555185 1 Table des matières Table des matières... 2 Présentation générale... 4 Couche

Plus en détail

Application des Spécifications détaillées pour le RNIAM, architecture portail à portail

Application des Spécifications détaillées pour le RNIAM, architecture portail à portail Pour Application des Spécifications détaillées pour le RNIAM, architecture portail à portail Version 1.0 ON-X S.A. est une société du Groupe ON-X 15, quai Dion Bouton 92816 PUTEAUX cedex. Tél : 01 40 99

Plus en détail

Gestion d identités PSL Exploitation IdP Authentic

Gestion d identités PSL Exploitation IdP Authentic Gestion d identités PSL Exploitation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com Table des matières 1 Arrêt et démarrage 2 2 Configuration 2 2.1 Intégration à la fédération............................

Plus en détail

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr Auteur du document : ESRI France Version de la documentation : 1.2.0.0 Date de dernière

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

La fédération pour les CROUS et le CNOUS. Journée «fédération d identité» Paris 27 Mai 2013

La fédération pour les CROUS et le CNOUS. Journée «fédération d identité» Paris 27 Mai 2013 La fédération pour les CROUS et le CNOUS Journée «fédération d identité» Paris 27 Mai 2013 1 Une fédération pour les Crous Les Crous sont composés de 30 établissements administratifs autonomes. Ils sont

Plus en détail

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION)

MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION) MANUEL D INSTALLATION DE WATCHDOC 2011 (EVALUATION) SOMMAIRE AVANT PROPOS... 3 PRÉSENTATION FONCTIONNELLE WATCHDOC... 4 APERÇU DU MANUEL... 5 INTRODUCTION... 5 CONTACTER DOXENSE... 5 PRÉPARER L INSTALLATION...

Plus en détail

TX A081025: Délégation de l authentification pour les Services Web

TX A081025: Délégation de l authentification pour les Services Web TX A081025: Délégation de l authentification pour les Services Web Jérémy Vauchelle Enseignant: Aurélien Bénel Intervenants: Chao Zhou Arnaud Pagnier Plan 1. Présentation du sujet 2. Présentation du protocole

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Introduction à OpenIDConnect

Introduction à OpenIDConnect Introduction à OpenIDConnect COURS ANF Authentification Mathrice Angers 25/09/2014 laurent.facq@math.u-bordeaux1.fr Institut de Mathématiques de Bordeaux 1/'49 «OpenID» vu de l'utilisateur L'utilisateur

Plus en détail

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION YPERPLANNING 2011 Cette notice est destinée aux personnes gérant l ENT. HYPERPLANNING cas Ce module est mis en œuvre à l attention des ENT. Aucune assistance n est assurée pour l installation de ce module

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

PRONOTE 2010. utilisation de PRONOTEcas INDEX-EDUCATION.COM. PRONOTEcas sert à interfacer PRONOTE.net. à un ENT utilisant l authentification avec CAS.

PRONOTE 2010. utilisation de PRONOTEcas INDEX-EDUCATION.COM. PRONOTEcas sert à interfacer PRONOTE.net. à un ENT utilisant l authentification avec CAS. PRONOTE 200 utilisation de PRONOTEcas PRONOTEcas sert à interfacer PRONOTE.net à un ENT utilisant l authentification avec CAS. Ce manuel est destiné au gestionnaire de l ENT. Aucune assistance n est assurée

Plus en détail

PLAN PROJET. Binôme ou monôme (B/M): M. : abdlhaqmilan@gmail.com GSM : 00212640108250. : Gestion d'une agence de location de voiture.

PLAN PROJET. Binôme ou monôme (B/M): M. : abdlhaqmilan@gmail.com GSM : 00212640108250. : Gestion d'une agence de location de voiture. Développement d une application JAVA EE PLAN PROJET Binôme ou monôme (B/M): M Nom & Prénom : AZRAGUE Abdelhaq Email : abdlhaqmilan@gmail.com GSM : 00212640108250 Organisme Scolaire : Gestion d'une agence

Plus en détail

Projet de Système d Information National (SIN) SAMU Grippe A H1N1 / Déploiement dans les SAMU Centre 15

Projet de Système d Information National (SIN) SAMU Grippe A H1N1 / Déploiement dans les SAMU Centre 15 Projet de Système d Information National (SIN) SAMU Grippe A H1N1 Déploiement dans les SAMU-Centre 15 Mission de préfiguration ASIP 9, rue Georges Pitard 75 015 Paris Tél 01 58 45 32 50 Fax 01 58 45 33

Plus en détail

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

Avant-propos. Contexte et présentation des technologies SharePoint. Méthodologie et préparation du projet Chapitre 2. Chapitre 1

Avant-propos. Contexte et présentation des technologies SharePoint. Méthodologie et préparation du projet Chapitre 2. Chapitre 1 Les éléments à télécharger sont disponibles à l'adresse suivante : http://www.editions-eni.fr Saisissez la référence ENI de l'ouvrage RI210SHAF dans la zone de recherche et validez. Cliquez sur le titre

Plus en détail

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012

Internet Information Services 8 (IIS 8) Installation, configuration et maintenance du serveur Web IIS 8 sous Windows Server 2012 Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

Chapitre 1 Windows Server 2008 11

Chapitre 1 Windows Server 2008 11 Chapitre 1 Windows Server 2008 11 1.1. Les fondations du système... 15 1.2. La virtualisation... 16 1.3. La sécurité... 18 1.4. Le Web... 20 1.5. Fonctionnalité disponible dans Windows Server 2008... 21

Plus en détail

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web

Sécurisation des accès Internet dans les écoles primaires. de l'académie de LIMOGES. Solution académique de filtrage des accès aux contenus du web Sécurisation des accès Internet dans les écoles primaires de l'académie de LIMOGES Solution académique de filtrage des accès aux contenus du web Paramétrage du Proxy Ecole Académique sur les stations de

Plus en détail

GOOGLE, OUTILS EN LIGNE

GOOGLE, OUTILS EN LIGNE Powered by TCPDF (www.tcpdf.org) GOOGLE, OUTILS EN LIGNE Powered by TCPDF (www.tcpdf.org) Sommaire Formation Google Apps, utilisateur - 3 Google Apps, administrateur - 5 Office 365, prise en main - 8 Google

Plus en détail

SITE WEB E-COMMERCE ET VENTE A DISTANCE

SITE WEB E-COMMERCE ET VENTE A DISTANCE Développement d une application JAVA EE SITE WEB E-COMMERCE ET VENTE A DISTANCE PLAN PROJET Binôme ou monôme (B/M): M Nom & Prénom : AIT NASSER Btissam Email : aitnasser.btissam123@gmail.com GSM : Organisme

Plus en détail

Scoop 0.9 Guide d'installation

Scoop 0.9 Guide d'installation Scoop 0.9 Guide d'installation Le logiciel décrit dans ce manuel est fourni sous contrat de licence et ne peut être utilisé qu'en conformité avec les termes de l'accord. Mentions légales Copyright 2013

Plus en détail

Kit d'intégration FAS+

Kit d'intégration FAS+ Guide d'intégration de l'application IAM - Annexe Kit d'intégration FAS+ Date 24/08/2012 Version 3.0 TABLE DES MATIÈRES 1 Introduction...3 2 Kit d'intégration FAS+...3 2.1 Pages JSP...4 2.2 Classes Java...7

Plus en détail

Projet ORI-OAI Outil de Référencement et d Indexation Réseau de portails OAI. Rencontres Mondiales du Logiciel Libre 2007 Amiens, 13 juillet 2007

Projet ORI-OAI Outil de Référencement et d Indexation Réseau de portails OAI. Rencontres Mondiales du Logiciel Libre 2007 Amiens, 13 juillet 2007 Projet ORI-OAI Outil de Référencement et d Indexation Réseau de portails OAI Rencontres Mondiales du Logiciel Libre 2007 Amiens, 13 juillet 2007 Sommaire Introduction - contexte Les fonctions du système

Plus en détail

Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup

Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup Sébastien MEDARD GIP RENATER 263 avenue du Général Leclerc CS 74205 35042 Rennes Cedex Résumé L intégration

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

Gérer vos domaines sur la nouvelle plateforme antispam de RENATER

Gérer vos domaines sur la nouvelle plateforme antispam de RENATER Gérer vos domaines sur la nouvelle plateforme antispam de RENATER Webinar du 30 septembre 2013, 14h Laurent Aublet-Cuvelier et Olivier Salaün support-antispam@support.renater.fr 30 septembre 2013 Service

Plus en détail

Retour d expérience Inria sur sa GED

Retour d expérience Inria sur sa GED Retour d expérience Inria sur sa GED DSI SESI 13 octobre 2015 SOMMAIRE 1. Solution Alfresco 2. Implémentation Alfresco chez Inria 3. Cas d usage 13 octobre 2015-2 1 Solution Alfresco 13 octobre 2015-3

Plus en détail

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels Introduction 1. Avant-propos 15 1.1 Cibles et objectifs de l'ouvrage 16 1.2 Organisation du livre 16 1.3 Pré-requis techniques et ressources documentaires 17 1.3.1 Pré-requis techniques 17 1.3.2 Ressources

Plus en détail

OFFRE DE SERVICE. Pôle national de compétences FOAD (Formation Ouverte et A Distance) https://foad.orion.education.fr/

OFFRE DE SERVICE. Pôle national de compétences FOAD (Formation Ouverte et A Distance) https://foad.orion.education.fr/ OFFRE DE SERVICE TRAVAIL COLLABORATIF POUR ÉCHANGER, COLLABORER ET TRAVAILLER ENSEMBLE EN RESTANT LIBRE DE SON ORGANISATION Pôle national de compétences FOAD (Formation Ouverte et A Distance) https://foad.orion.education.fr/

Plus en détail

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets Introduction à Project Server 1. La gestion de projets par Microsoft 11 1.1 Une histoire liée à l'évolution des organisations 11 1.2 Fonctionnalités de Project Server 2013 14 2. Concepts et terminologie

Plus en détail

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO Séminaire EOLE Dijon 23/24 novembre 2011 Architecture Envole/EoleSSO Sommaire Présentation du socle Envole EoleSSO : modes de fonctionnement Fédération et gestion des annuaires Accès aux services académiques

Plus en détail

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 Informations juridiques Informations juridiques Pour les informations juridiques, voir http://help.adobe.com/fr_fr/legalnotices/index.html.

Plus en détail

Comment seront gérées les sources du prochain package ESUP-Portail?

Comment seront gérées les sources du prochain package ESUP-Portail? Comment seront gérées les sources du prochain package ESUP-Portail? En utilisant GIT. Cet outil facilitera l'intégration de la démarche Open-Source JASIG GIT JASIG GIT ESUP sourcesup Votre ENT Quel est

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

Administrateur Système et Réseau

Administrateur Système et Réseau Titre professionnel : Reconnu par l Etat de niveau II (Bac), inscrit au RNCP (arrêté du 28/01/09, J.O. n 32 du 07/02/09) (53 semaines) page 1/7 Unité 1 : Gestion du poste de travail 4 semaines Module 1

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

OpenText Content Server v10 Cours 3-0126 (ex 215)

OpenText Content Server v10 Cours 3-0126 (ex 215) v10 Cours 3-0126 (ex 215) Administration système et indexation-recherche Durée : 5 jours Ce cours de 5 jours apprendra aux administrateurs, aux architectes système et aux services support comment installer,

Plus en détail

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40

Sommaire. Cegedim Logiciels Médicaux Guide d utilisation de SMM 2/40 Secure Médical Mail Guide d utilisation Sommaire Sommaire... 2 Glossaire Technique... 3 Messagerie Sécurisée... 4 Quels sont les plus d une messagerie homologuée GIP-CPS?... 5 Pré-requis techniques...

Plus en détail

Installation / Sauvegarde Restauration / Mise à jour

Installation / Sauvegarde Restauration / Mise à jour Installation / Sauvegarde Restauration / Mise à jour SPIP version 1.8.x Serveur (Linux) Jean Sébastien BARBOTEU dev.jsb@laposte.net Introduction Nous allons aborder tous les aspects techniques liés à la

Plus en détail

Messagerie & Groupeware. augmentez l expertise de votre capital humain

Messagerie & Groupeware. augmentez l expertise de votre capital humain Messagerie & Groupeware augmentez l expertise de votre capital humain OUTLOOK 2010* Etude des fonctionnalités d un logiciel de messagerie Tout public 1 journée MG01 Maîtrise de l environnement Windows

Plus en détail

StreamServe Persuasion SP4 Control Center

StreamServe Persuasion SP4 Control Center StreamServe Persuasion SP4 Control Center Manuel utilisateur Rév. PA23 StreamServe Persuasion SP4 Control Center - Manuel utilisateur Rév. PA23 2001-2009 STREAMSERVE, INC. TOUS DROITS RESERVES Brevet américain

Plus en détail

DOSSIER TECHNIQUE INSTALLATION PASEO

DOSSIER TECHNIQUE INSTALLATION PASEO DOSSIER TECHNIQUE INSTALLATION PASEO TABLE DES MATIERES 1 Description des produits installés... 3 2 Descriptif des processus d installation produits... 4 2.1 Sql server 2000... 4 2.2 Sql server 2000 service

Plus en détail

INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC

INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC 23/11/2014 e-sidoc et Cartable en Ligne Documentation sur les procédures à suivre pour mettre en place l authentification unique entre e-sidoc et l ENT Cartable

Plus en détail

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM) Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM) Entre: Le Centre National pour la Recherche Scientifique et Technique (CNRST), établissement public

Plus en détail

Statistiques des Sites ARS

Statistiques des Sites ARS 5 M a r s 2 0 1 4 - V 1. 1 Statistiques des Sites ARS Note d'opportunité Paternité, Copyright Date, version 5 Mars 2014 - V1.1 Sommaire Contexte...4 I Choix de l'outil...5 A Choix de la DICOM...5 B Préconisations

Plus en détail