Formation fédération d identités Jour 1

Dimension: px
Commencer à balayer dès la page:

Download "Formation fédération d identités Jour 1"

Transcription

1 Formation fédération d identités Jour 1 Formateurs : Sébastien Médard Olivier Salaün Forma&on fédéra&on Mars Strasbourg 1

2 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des RSSI Certificats TCS Fédération Education-Recherche Services applicatifs Eduroam, eduspot RENAvisio, Rendez-vous Universalistes, FileSender, Partage, Antispam Sympa, Sourcesup 2

3 RENATER Autres activités Formations (Fédération, IPv6, Sympa) Organisation des JRES Relations internationales (GEANT, TERENA) En savoir plus Contact 3

4 Déroulement de la formation Forma&on fédéra&on Mars Strasbourg 4

5 La formule 2 jours Jour 1 : installer un fournisseur d identités Jour 2 : installer un fournisseur de services Fonctionnement TP par binômes Entrecoupé par des présentations Objectif Comprendre les principes, la technologie Prenez votre temps! Aboutir à une installation fonctionnelle Pour reproduire chez vous 5

6 Timing Lundi 23 mars 2015 : 14h-17h30 mardi 24 mars 2015 : 9h30-12h ; 14h-17h30 mercredi 25 mars 2015 : 9h-12h 6

7 Les postes de travail Postes form-shibxx.renater.fr XX = 01->12 Environnement CentOS 6.x Comptes stagiaire root 7

8 Le support de formation https://services.renater.fr/federation/docs/installation Utilisable aussi pour de l auto-formation Très détaillé et progressif Mis à jour lors de chaque formation La forme Wiki avec une variable (monposte.fr) Permet le copier/coller Si rechargement de la page => ressaisir le nom du serveur 8

9 Jour 1 : installer un fournisseur d identités 1. Installation des pré-requis Java, Tomcat, certificats, NTP 2. Installation de l'idp Shibboleth 3. Configuration Shibboleth 4. Tests 5. Connexion LDAP, CAS 6. Configuration avancée 7. uapprove 9

10 Le tour de table 10

11 La fédération d identités Forma&on fédéra&on Mars Strasbourg 11

12 Fédération d identités Principes de fonctionnement un client SAML délègue l authentification à un serveur SAML autoritatif pour l utilisateur le client SAML connait la liste des serveurs SAML l utilisateur ne divulgue pas ses éléments d authentification au client SAML serveur SAML client SAML Etablissement A serveur SAML Etablissement B 25/03/

13 Terminologie SAML Fournisseur d identités ou IdP Fournisseur de service ou SP Service de découverte ou DS/WAYF IdP serveur SAML Etablissement A DS SP client SAML IdP serveur SAML Etablissement B 25/03/

14 Principe de fonctionnement le fournisseur d identités (IdP) Authentification de l'utilisateur Peut être un client CAS Preuve d'authentification = assertion SAML Session utilisateur Transmet le profil de l'utilisateur Via le protocole SAML2 Données issues des référentiels (LDAP ou SQL) Richesse du profil utilisateur paramétrable 25/03/

15 Principe de fonctionnement le fournisseur de service (SP) en amont d une application API varie selon implémentation SP renvoie l utilisateur vers son IdP passage par le service de découverte (DS/WAYF) retour de l IdP avec un profil utilisateur Session utilisateur gestion du contrôle d accès dans l application à partir des attributs utilisateur reçus 25/03/

16 Demonstration https://filesender.renater.fr/ https://antispam.renater.fr/ https://neugrid4you.eu/ 25/03/

17 Le workflow d authentification IdP Etablissement A SP DS Applica&on IdP Etablissement B 25/03/

18 L envers du décor le service de découverte (DS/WAYF) fonction d orientation de l utilisateur vers son IdP fonctionnement menu déroulant search as you type pré-sélection qui l opère? RENATER ou l établissement gérant l application cible 25/03/

19 L envers du décor le protocole SAML Protocole d authentification normalisé par le consortium OASIS basé sur XML Fonctionnalités Assertions d'authentification Assertions d'échange d'attributs Signature et chiffrement Version 2.0 publié en 2005 Interopérabilité possible avec les produits SAML 2 25/03/

20 Les implémentations SAML un large choix Shibboleth, SimpleSAMLPhp, EZProxy, modmellon, OIOSaml, OpenSSO spécifications SAML2 complexes interopérabilité pas toujours garantie sauf à définir un cadre technique Ex : 25/03/

21 Les implémentations SAML Shibboleth Une implémentation du protocole SAML logiciel open source issu de la communauté E/R d abord aux USA aujourd hui un consortium Trois logiciels Shibboleth IdP Shibboleth SP Shibboleth DS (pas utilisé par RENATER) 25/03/

22 Les implémentations SAML atouts très configurables éprouvé (depuis 2003) Shibboleth bien adaptés au contexte E/R implémentation de référence pour RENATER supports de formation pour Shibboleth modèles de configuration pour Shibboleth assistance via liste federation-utilisateurs RENATER contribue financièrement au consortium 25/03/

23 L envers du décor les méta-données SAML fichier descriptif d une entité SAML un SP, un IdP un ensemble de SPs et d IdPs permet les échanges entre entités SAML délégation de l authentification signature/chiffrement des assertions contenu d un fichier de méta-données Identifiant de l entité, URL, certificat, profils SAML supportés, contacts, description,... Exemple https://federation.renater.fr/test/renater-test-metadata.xml 25/03/

24 Le cercle de confiance terminologie fédération = cercle de confiance ex : fédération Education-Recherche constitution des SPs des IdPs résout la problématique des relations bilatérales les membres du cercle de confiance partagent un niveau de confiance un cadre technique des méta-données SAML 25/03/

25 La fédération Education-Recherche https://federation.renater.fr/ un cercle de confiance pour la communauté E/R française opéré par le RENATER Concrètement c est : les chartes membre/partenaire, articulation avec SAGA le cadre technique, SAML2, Supann 2009 les méta-données SAML + filtres d attributs le guichet de la fédération 25/03/

26 Qui utilise la fédération? https://federation.renater.fr/registry?action=view_all&federation=renater 234 fournisseurs d identités uniquement des établissement E/R français 580 services fédérés incluant des services commerciaux typologie ressources documentaires e-learning outils collaboratifs accès Wi-Fi applications métier mutalisées distribution de logiciel 25/03/

27 D autres cercles de confiance D autres fédérations E/R dans 46 pays https://refeds.org/resources/resources_list.html edugain inter-fédération une inter-connexion de fédérations E/R inscription depuis le guichet RENATER par défaut pour les IdP optionnelle pour les SP gérer une fédération, hébergée par RENATER principe : fédération as a service via le guichet RENATER https://services.renater.fr/federation/docs/fiches/fed-locale 25/03/

28 Attributs utilisateurs Un fournisseur de services a besoin d'authentifier des utilisateurs Le fournisseur d'identités lui transmet un profil utilisateur Composé d'attributs Attributs issus d'un référentiel (LDAP) Norme SupAnn

29 Filtrage d'attributs L'IdP Shibboleth permet de filtrer les attributs utilisateurs sortants Pour limiter la diffusion d'attributs nominatifs (aspects informatique et liberté) Fichier attribute-filter.xml Configurable pour chaque SP Configurable pour chaque attribut Impacts non désirés Certains IdP mal configurés 29

30 Transmission des attributs utilisateurs urn:oid: uid REMOTE_USER LDAP IdP SAML2 SP Application attribute-resolver.xml attribute-filter.xml attribute-map.xml 30

31 Redirections HTTP Usage intensif des redirections HTTP Comme SSO-CAS L'utilisateur est redirigé en permanence Application > SP > WAYF > IdP > CAS > IdP > SP > Application Plugins Firefox utiles : Web developer (gestion des cookies...) Tamper data (études des redirections HTTP...) + modules pour visionner l'assertion base64 XML 31

32 Les briques logicielles IdP mod_ssl mod_proxy SAML2 Ressource de test Apache AJP Client CAS Servlet IdP Shibboleth Tomcat Java Connexion Cer&ficat & clé privée AC de test Serveur CAS de test Annuaire de test 32

33 Services de Test Fédération de Test Enregistrement automatique Ouvert à tout SP/IdP Pas d usages en production SP de test Utilisable avec n importe quel IdP de test Fonctionnement : liste les attributs reçus Référentiel de test quelques enregistrements uid = etudiant1, enseignant1 Serveur CAS de test Mot de passe == uid 33

34 Utilisation des certificats 3 type de certificats interviennent : Certificats pour sécuriser Apache Fournis par RENATER pour les besoins du TP Chapitre 2.3 du support Certificat utilisés par Shibboleth (couche SAML) Certificat + clé privée Générés à l'installation de Shibboleth Certificat de signature Vérification de la signature des méta-données Téléchargé au chapitre

35 A vous de jouer https://services.renater.fr/federation/ docs/installation 35

36 Partie 2 Configuration Shibboleth Forma&on fédéra&on Mars Strasbourg 36

37 Configuration de Shibboleth Les fichiers de configuration Les logs Définition des attributs utilisateurs Diffusion des attributs utilisateurs 37

38 Les fichiers de configuration relying-party.xml Configuration principale : profils SAML, méta-données, certificats, paramètres de sécurité attribute-resolver.xml extraction et préparation des attributs attribute-filter.xml Politiques de filtrage des attributs logging.xml configuration des différents fichiers de log (process, access, et audit) login.config Authentification via l IdP (JAAS) handler.xml contrôle les points de contact de l IdP 38

39 Prise en compte dynamique de ces fichiers Pas de redémarrage nécessaire pour les fichiers : logging.xml, login.config Les autres nécessitent un redémarrage de Tomcat : Redémarrer tomcat en mode service plutôt qu avec l interface web. Mais on peut programmer la prise en compte à chaud dans service.xml 39

40 La gestion des journaux Trois journaux de logs idp-process.log permet de vérifier le processus IdP idp-access.log Fichier à la Apache permettant de tracer les accès à l IdP idp-audit.log Fichier facilement parsable journalisant les informations transitant par l IdP: type de requêtes, attributs fournis, SP de provenance, etc. Mode DEBUG (voir TRACE) déconseillé en production Surtout utile pour visualiser les assertions SAML (PROTOCOLE_MESSAGE) 40

41 Fichier web.xml Si on modifie le fichier web.xml Configurations de filtres Java (Comme CAS) On peut éviter de l écraser lors d un redéploiement ou mise à jour de l IdP ; En gardant la version modifiée dans $IDP_HOME/ conf/ ; Possibilité valable depuis la version

42 attribute-resolver.xml : DataConnector Définit le branchement à une source de données En cas d échec un autre Data connector peut prendre le relais Les types de connectors : Static : déclaration d une donnée statique RelationalDatabase : connexion à une base SQL LDAPDirectory : connexion à un annuaire 42

43 DataConnector - exemple <resolver:dataconnector id="monldap" xsi:type="ldapdirectory ldapurl="ldap://ldap.exemple.org basedn="ou=people,dc=exemple,dc=org principal="uid=monservice,ou=system principalcredential= monservicepassword"> <FilterTemplate> <![CDATA[(uid= $requestcontext.principalname) ]]> </FilterTemplate> </resolver:dataconnector> Identifiant unique Définition d'un connecteur Type du connecteur : LDAP Filtre LDAP Paramètres de Connexion au référentiel d établissement 43

44 Attribute Definition Déclare un attribut avec un identifiant unique dans le fichier du resolver Selon les valeurs d un attribut, on peut actionner une nouvelle source d attributs, ou définir un autre attribut Il existe plusieurs définitions possible : Simple: extrait tel quel d une source Scoped : ajoute un «scope» à un attribut Script : manipule/modifie un attribut RegexSplit : manipule un attribut selon des expressions régulières 44

45 Les «scoped attributes» Exemple : Association d une valeur et d un domaine permet de rendre la valeur globalement unique le(s) scope(s) d un IdP sont publiées dans les métadonnées le SP effectue une vérification du scope Les attributs «scoped» edupersonprincipalname edupersonscopedaffiliation 45

46 Le filtrage en sortie des attributs Le fichier attribute-filter.xml définit les politiques de fourniture d attributs aux SP. peut contenir plusieurs politiques d attributs Par défaut, ce fichier est pauvre en règles de filtrage : aucun attribut envoyé 46

47 Attributs particuliers Deux attributs, très utiles et générés par l IdP : edupersonentitlement Exprime un privilège au niveau de la ressource accédée persistentid Identifiant unique, pérenne et opaque = CNIL 47

48 L attribut edupersonentitlement Usage : définition d un privilège pour l utilisateur Utilisation L IdP fournit une information binaire au SP L algorithme de calcul varie en fonction du SP Pratique dans les cas où le SP doit déléguer la prise de décision d accès à la ressource 48

49 L attribut edupersontargetedid (persistentid) Utilisé pour identifier une seule et même personne d une session à une autre. Possède les caractéristiques suivantes : opaque, persistant, différent pour chaque SP Non réassignable Modes de génération Calculé (ComputedID) Obsolète (ne plus utiliser) Stocké (StoredID) : meilleur choix, mais nécessite une base de données. Généré à la première authentification, à partir de l identifiant de l IDP, SP et de l utilisateur 49

50 Shibboleth et SSO-CAS L IdP Shibboleth peut être un client CAS via le handler RemoteUser Inconvénient du couplage ne permet pas le Single Logout ne permet pas de forcer la réauthentification Documentation https://services.renater.fr/federation/docs/fiches/ cas-shib 50

51 Partie 3 Passage en production Module uapprove Présentation fédération Éducation-Recherche Forma&on fédéra&on Mars Strasbourg 51

52 Installer un IdP dans votre organisme Comme en TP, mais aussi : Configuration d attributs supplémentaires Nommer un idpmaster Haute disponibilité «Versionner» les fichiers de configuration Utilisation des méta-données de la fédération de production 52

53 Gestion des filtres d attributs Gestion manuelle Enregistrement d un SP Envoi d un message à tous les gestionnaires d IdP Mise à jour manuelle du fichier attribute-filters.xml Limites de cette organisation Délai de mise à jour des filtres Erreurs liées à l édition manuelle de fichiers XML Difficulté de gestion du fichier Passage à l échelle... 53

54 Gestion des filtres d attributs Gestion automatisée (obligatoire dans le cadre technique) Génération automatique de filtres par RENATER Plusieurs fichiers attribute-filters.xml proposés pour toutes les ressources par catégorie de ressources par portée de ressources L IdP pointe vers ce(s) attribute-filters.xml 54

55 Gestion des filtres d attributs Nos recommandations Utiliser renater-attribute-filters-all.xml Au quotidien Vous continuez à recevoir des notifications pour les nouvelles ressources Vous gardez la possibilité de définir une règle DenyValueRule Documentation https://federation.renater.fr/docs/fiches/attribute-filters 55

56 Module uapprove Module d'information et/ou de recueil de consentement de l utilisateur En interruption de flux = avant la transmission des attributs vers le SP Extension qui s'installe avec un IdP shibboleth 2.3+ Bientôt en standard avec l IdP Shibboleth Servlet Java Configurable grâce à un fichier de properties 56

57 Module uapprove Avantage pour l IdP Informer l'utilisateur préalablement à l accès à une ressource Recueillir le consentement de celui-ci surtout en cas de ressources hors Union Européenne Intérêt pour l'utilisateur : Avoir connaissance des conditions d'utilisation de l IdP Connaître les données à caractère personnel transmises à chaque ressource 57

58 Module uapprove Fonc&onnement sans le module uapprove IdP Preuve d authen&fica&on + Transmission d'aaributs Redirec&on pour authen&fica&on SP 58

59 Module uapprove Fonc&onnement avec le module uapprove IdP uapprove Accepta6on des condi6ons Accepta6on de transmission des a9ributs Accord de l'u6lisateur Preuve d authentification + Transmission d'attributs SP Redirec&on pour authen&fica&on 59

60 Haute disponibilité Répartition de charge L'IdP Shibboleth peut gérer 50 connexions/sec Une seule instance peut donc suffire dans la majorité des cas Sauf pour un organisme multi-site Tolérance aux pannes Contrainte de disponibilité liée aux nombreuses applications clientes Un serveur de secours est opportun Perte des sessions actives acceptable dans ce contexte https://2009.jres.org/planning?planning_aid=77&ajax 60

61 Bug IdP https://issues.shibboleth.net/jira/browse/sidp-624 symptome arrêt synchronisation des méta-données si les filtres d attributs distants sont indisponibles expiration des méta-données 6 jours plus tard paliatif redémarrage IdP régulièrement correctif dans IdP (du 26/02/2015) à plus long terme suppression des filtres automatiques utilisation des extensions MDUI dans les méta-données SAML 61

62 Shibboleth IdP 3.x Dates de sortie le 22/12/ le 10/03/2015 Nouveautés réorganisation des handlers d authentification U-Approve intégré nativement Environnement compatible servlet 3.0 conteneurs supportés : Tomcat 8 et Jetty 9.2 Jetty recommandé par les développeurs 62

63 Utiliser l IdP 3.x? Evolution du format des fichiers de configuration migration automatisée RENATER a évalué la version documentation d installation incomplète difficultés de mise en oeuvre avec Tomcat Evolution de nos supports de formation courant

64 Procédures d'inscription dans la fédération Éducation-Recherche Activation du service dans SAGA par responsable technique désigne 2 responsables fédération Signature charte fédération par responsable administratif (profil président d'université ou délégation de signature) Inscription technique par responsables fédération (nommés) description technique du service 64

65 Gestion d un IdP, gestion des identités Confiance dans la fédération = confiance dans les identités gérées par vos établissement Documentations sur la gestion des identités Best Current Practices for SWITCHaai service operations Mettre en oeuvre un référentiel d identités https://www.renater.fr/campus-best-practice-en-france 65

66 Le guichet de la fédération les fonctionnalités enregistrement d'un SP/IdP dans fédération de Test dans fédération Education-Recherche publication des données génération des méta-données affichage des IdP/SP sur le site de la fédération processus de validation délégué aux contacts fédération des organismes 66

67 Le guichet de la fédération Qui y accède? les contacts techniques des entités SAML déclarées inscription d'une entité SAML (SP, IdP) édition des informations techniques les contacts fédération des organismes membres vue synthétique des entités SAML validation des inscriptions, mises à jour 67

68 Le guichet de la fédération https://federation.renater.fr/registry 68

69 Le guichet de la fédération Workflows qui peut ajouter une entité SAML? n'importe qui après authentification rattachement à un organisme après validation par contacts fédération requis pour inscription dans une fédération de production fédération Education-Recherche ou edugain 69

70 Le guichet de la fédération Workflow type 1. ajout d'une nouvelle entité SAML sélection organisme de rattachement 2. inscription dans la fédération de test permet de valider le fonctionnement 3. validation par contact fédération de l'organisme notifié par mail 4. inscription dans la fédération Education- Recherche passage en production 5. inscription dans edugain 70

71 Votre fédération hébergée? principe d'une Fédération as a Service un organisme peut gérer ses propres méta-données via le guichet RENATER cas d'utilisation contexte COMUE, PRES, groupement d'écoles pour des applications locales 71

72 Votre fédération hébergée https://services.renater.fr/federation/docs/fiches/fed-locale Fonctionnalités Guichet et workflows de validation Publication méta-données + filtres d attributs Visibilité contrôlée Modalités d inscription dans votre fédération Via le guichet RENATER En fonction du domaine des utilisateurs Pour créer votre fédération Contactez 72

73 edugain c'est quoi? une interconnexion de fédérations plus compliqué à réaliser que pour eduroam périmètre initial = UE finalement plus large (Brésil, Canada, Japon, Australie, Chili, Nouvelle Zélande, Turquie, USA) 73

74 edugain Architecture 74

75 edugain Cas d utilisation Pour un IdP français Participation par défaut Opt-out via le guichet Mise en place d un filtre d attribut supplémentaire Pour un SP français Inscription via le guichet Chargement des méta-données Utilisation DS edugain Adaptation au contexte international Format d attributs Conformité au Code of Conduct https://services.renater.fr/federation/docs/fiches/edugain 75

76 edugain Data Protection Code Of Conduct Objectif : engagement des SP concernant le traitement des données à caractère personnel publication d'une Privacy Policy (en Anglais au moins) entité légale finalité des traitements catégorie des attributs destinataire des données droit accès/rectification des données? demande d'attributs minimale pas d'utilisation des données pour autres traitements pas de traitements secondaires des données sécurisation des données International CoCo en cours de rédaction Pour les SP hors UE 76

77 Obligations Informatique & Liberté https://services.renater.fr/federation/docs/federation-cnil Responsabilités du fournisseur d identités Évaluer la pertinence du traitement Informer les utilisateurs Réaliser les formalités CNIL adéquates Fait par le CIL de l établissement Inscrit le type de traitement au registre de l établissement Pas de différences de traitement pour SP universitaire vs SP commercial SP français vs SP européen Impliquez votre CIL! 77

78 CNIL contexte international Contexte edugain On connait les attributs demandés par un SP Dans les méta-données edugain Exploitable dans un filtre d attributs de l IdP le Code of Conduct edugain garanties de bonne gestion des données à caractère personnel Exploitable dans un filtre d attributs de l IdP 78

79 CNIL contexte international Cas des SP hors UE C est plus compliqué Lire Mise en oeuvre pour l IdP Ok! Si contrat entre IdP et SP Recueil du consentement utilisateur pas suffisant Signature charte fédération pourrait permettre le transfert des données... CoCo international de edugain Une piste intéressante 79

80 Formation fédération d identités Jour 2 Forma&on fédéra&on Mars Strasbourg 80

81 Déroulement de la formation Installation des pré-requis (cert, Apache, NTP) Installation du SP Shibboleth Configuration Apache + SP Test du SP Installation du WAYF Adaptation de l'application myblog Conseils pour mise en production Pour aller plus loin... 81

82 Shibboleth SP Produit en deux briques techniques : Module pour Apache ou IIS Démon Shibd 6 RPM à installer via les dépôts YUM 82

83 Fonctionnement du SP Shibboleth Environnement Apache ou IIS Scénario 1. Redirection vers WAYF 2. Redirection vers IdP 3. Retour vers le SP 4. Récupération des attributs Application Attributs utilisateur Apache / IIS SP WAYF IdP 83

84 Les Comptes CRU IdP ouvert à tous Pas limité à la communauté ESR Validation de l adresse Les attributs utilisateurs + nom + prénom + eppn + eptid Pas de notion de privilèges Ne fait pas partie de la fédération Pour qu'un SP utilise les comptes CRU Ajouter confiance dans sac-metadata.xml Inscription du SP dans la Fédération Education-Recherche 84

85 Compte CRU Passerelles sociales IdP comptes CRU devient (en plus) client des IdP sociaux Facebook Twitter Yahoo Google Microsoft Passerelle monde social vers SAML Evite création d un compte supplémentaire Évite l installation de connecteurs au niveau d une application «fédérée» ISO fonctionnelle avec Comptes CRU Preuve d authentification Adresse + identifiant pérenne (d IdP Social) Mise en production courant

86 Synchronisation des métadonnées Fédération Education- Recherche MD SP MD IdP MD 86

87 Synchronisation des métadonnées SP et IdP ont une copie locale des méta-données de la fédération /opt/shibboleth-idp/metadata/ /etc/shibboleth/ Rafraichissement des MD paramétrable Pour IdP : refreshdelayfactor et maxrefreshdelay Pour SP : maxrefreshdelay Préconisation en production : Refresh toutes les heures 87

88 À vous de jouer https://services.renater.fr/ federation/docs/installation/sp 88

89 Seconde partie : Configurer Shibboleth Forma&on fédéra&on Mars Strasbourg 89

90 Définir une nouvelle ressource Un unique SP shibboleth peut protéger plusieurs ressources Définition d un élément ApplicationOverride Surcharger les définitions de ApplicationDefaults Correspond à la configuration requise pour une nouvelle ressource Factoriser autant que possible au niveau Application Defaults Protéger cette ressource par une règle Apache Pour chaque ressource ajoutée 90

91 Le handler URL URL racine pour les URL de service du SP Valeur par défaut : /Shibboleth.sso Exemples : /Shibboleth.sso/Metadata /Shibboleth.sso/Login /Shibboleth.sso/SAML2/POST Activation du handler URL dans Apache <Location /> AuthType shibboleth Require shibboleth </Location> 91

92 Le Discovery Service (ex-wayf) Possibilité d utiliser un DS par établissement ou National Il faut redonder cette brique logicielle Car, si en panne, il bloque l accès à toutes les applications qui se basent sur lui Plusieurs implémentations existent : SWITCH WAYF Shibboleth DS Disco juice 25/03/2015 forma&on CIREN - Septembre

93 Protocole «Discovery Service» Version normalisée (SAML2) du WAYF Workflow différent WAYF : SP --> WAYF --> IdP DS : SP --> DS --> SP --> IdP Permet d'initier une session SAML2 Le WAYF de SWITCH supporte ce protocole Le SP doit être configuré pour utiliser ce protocole (élément Sessions) 93

94 Un WAYF mieux intégré Objectif intégrer le menu déroulant dans l application avec une liste d IdP contextuelle fonction «search as you type» Fonction Embedded WAYF native dans le SWITCH WAYF Principe de fonctionnement application inclut du code Javascript paramétrage possible Documentation https://services.renater.fr/federation/docs/fiches/filtreridp 25/03/

95 Un WAYF mieux intégré 25/03/

96 Embedded WAYF + DiscoFeed Objectif : Un WAYF intégré dans l application Avec une liste d IdP contextuelle Fonctionnalités utilisées: Embedded WAYF DiscoFeed du SP Doc : https://services.renater.fr/federation/docs/fiches/ filtreridp 96

97 Embedded WAYF + DiscoFeed Fédération Education- Recherche MD SP MD filtrées DiscoFeed JSON WAYF 97

98 Deux méthodes pour court-circuiter le WAYF 1 IdP < -- > 1 SP IdP-initiated session Voir https://federation.renater.fr/docs/faq/wayf#court-circuiter_le_wayf Adapté pour des liens depuis un ENT 98

99 Mécanisme des lazy sessions Spécifique à Shibboleth Principe : Une API pour déclencher l authentification Cas d utilisation : Permettre une navigation anonyme Maintenir plusieurs modes Intégrer la fonction WAYF dans l application 99

100 Le mécanisme des lazy sessions Navigation anonyme Déclenchement de la lazy session Application Application Login Shibboleth Apache / IIS SP Apache / IIS SP WAYF URL : /Shibboleth.sso/Login 100

101 Troisième partie : «Shibboliser» une application Forma&on fédéra&on Mars Strasbourg 101

102 Différents cas de figure Application nativement compatible avec SAML2 Utilisant le SP Shibboleth ou pas Application implémentant des modes d authentification externes Possibilité d utiliser REMOTE_USER? Application devant être adaptées Cas logiciel open source Contacter les développeurs Prévoir un développement (plugin) Cas logiciel propriétaire Demander un développement 102

103 Quelques applications déjà compatibles https://federation.renater.fr/technique/applications/index 103

104 Cerner le contexte d utilisation La fédération d identités couvre-t-elle tous les utilisateurs potentiels du service? Sinon gestion des exceptions Comment contrôler l accès des utilisateurs? Quels attributs utilisateurs? 104

105 La population cible Une question importante la population cible du service est-elle couverte? élargir la population maintenir plusieurs modes d authentification les comptes CRU edugain rétrécir la population relations bilatérales fédération hébergée par RENATER 25/03/

106 Identifier les utilisateurs Objectif Utilisation des attributs utilisateur gérer des contrôles d accès personnaliser les contenus Gestion des attributs pas l application associer le compte fédéré à un compte utilisateur attribuer dynamiquement des droits population non connue a priori Quel attribut SAML utiliser comme identifiant? 25/03/

107 Identifier les utilisateurs Quel identifiant utiliser? a9ribut exemples Persistant? Opaque? Facilement Manipulable? nameid edupersontargetedid uid edupersonprincipalname _e2310ee043088cfda194 1eacbb50a6c" haps://services- federa&on.renater.fr/ test/idp!haps://services- federa&on.renater.fr/ test/ressource!jo/ UJs5h2MoXPRzgoLLl2xyw f4o= Jdupont x.fr x.fr NON OUI NON OUI OUI NON OUI NON VARIABLE OUI NON VARIABLE mail x.fr OUI, mais NON OUI 25/03/

108 Réaliser le contrôle d'accès au niveau Apache AuthType shibboleth ShibRequestSeHng requiresession 1 require affiliation student require homeorganization ~ ^univ-test.fr$ 108

109 Identifier les utilisateurs Où est le référentiel utilisateurs? côté IdP l IdP fournit tous les attributs nécessaires cas standard côté application l application interroge son propre référentiel ailleurs LDAP, SQL, Web Service plusieurs applications partagent un référentiel utilisateur exemple : Mathrice possibilité d utiliser un Attribute Provider SAML cf le service d autorisation de RENATER 25/03/

110 Agrégation d'attributs https://federation.renater.fr/docs/fiches/idpgroupes Usage gestion de groupes pour communautés dispersée alternative à une fédération Pré-requis SP Shibboleth >= 2.2 mettre en oeuvre l IdP 2 un identifiant commun SP IdP 2 IdP 1 110

111 Un service d autorisation basé sur les groupes Forma&on fédéra&on Mars Strasbourg 111

112 Service d autorisation RENATER Principe de fonctionnement permettre un contrôle d accès unifié à plusieurs applications pour une population issue de différents organismes le référentiel de groupes est géré par un serveur de groupe avec le logiciel Sympa interrogé via le protocole SAML Attribute Authority intégration applicative non intrusive configuration du SP pour interroger le référentiel de groupes 25/03/

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014 Adapter un service pour la fédération d'identités Olivier Salaün, RENATER ANF Mathrice 2014 24/09/2014 1 Supports de formation https://services.renater.fr/federation/docs/installation supports des formations

Plus en détail

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien Formation fédération d identités Jour 1/2 Formateurs : Hached Mehdi Médard Sébastien 15/09/2014 Forma.on CIREN - Septembre 2014 1 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

La fédération Education Education Recherche

La fédération Education Education Recherche La fédération Education Recherche JoSy 6 mai 2010 Petit historique Fin 2005 : Fédération du CRU créée Couverture enseignement supérieur Implémentation choisie : Shibboleth Janvier 2009 : Migration vers

Plus en détail

Evolutions du guichet de la fédération et gestion des métadonnées SAML

Evolutions du guichet de la fédération et gestion des métadonnées SAML Evolutions du guichet de la fédération et gestion des métadonnées SAML 17/07/2015 1 Evolutions Guichet ajout des logos des IdP/SP collecte des URL de Single Logout vérifications sur les certificats X.509

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010. 5 mai 2010 1

Shibboleth. David Verdin - JOSY Authentification centralisée pour les applications web - Paris - 4 février 2010. 5 mai 2010 1 Shibboleth David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010 5 mai 2010 1 Plan de l'exposé Position du problème L'architecture de Shibboleth Shibboleth

Plus en détail

Présentation de Shibboleth

Présentation de Shibboleth Présentation de Shibboleth Journée d information sur la fédération du CRU, 25 Janvier 2007 Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1 Intérêt Présentation de Shibboleth - journée

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Plan Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Les Scénarios d autorisation Le format TT2 Les familles de

Plus en détail

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Journée fédération 2013 Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Plan P. 2 Contexte Janus et Web Services Cas d usage & typologies Réflexions,

Plus en détail

Gestion des accès, fédération d identités. Olivier Salaün - RENATER

Gestion des accès, fédération d identités. Olivier Salaün - RENATER Gestion des accès, fédération d identités Olivier Salaün - RENATER La fédération d'identités? mécanisme standardisé de délégation d'authentification pour l'accès à des ressources numériques (web) très

Plus en détail

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Retour sur les déploiements eduroam et Fédération Éducation/Recherche Séminaire Aristote Sécurité et Mobilité Retour sur les déploiements eduroam et Fédération Éducation/Recherche 7 février2013 Agenda La communauté RENATER L offre de service La mobilité numérique avec la

Plus en détail

Un service d autorisation pour les groupes (VOs) avec Sympa. Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris

Un service d autorisation pour les groupes (VOs) avec Sympa. Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris Un service d autorisation pour les groupes (VOs) avec Sympa Rafael Diaz Maurin, RENATER Journées Fédération d Identités, 2 juillet 2015, Paris Comment gérer facilement les autorisations pour un groupe?

Plus en détail

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam 26/01/2007 lieu de presentation 1 Attributs Exportation des attributs et réglementation CNIL Problématique

Plus en détail

Gestion d identités PSL Installation IdP Authentic

Gestion d identités PSL Installation IdP Authentic Gestion d identités PSL Installation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com 2 avril 2015 Table des matières 1 Installation du système de base 1 1.1 Rappel sur la la synchronisation des

Plus en détail

REAUMUR-ACO-PRES. Unification des mots de passes : perspectives pour l'inter-u

REAUMUR-ACO-PRES. Unification des mots de passes : perspectives pour l'inter-u REAUMUR-ACO-PRES Unification des mots de passes : perspectives pour l'inter-u Raisin 13 Octobre 2005 L. Facq - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

Fédération du CRU pour la propagation d identités et d attributs

Fédération du CRU pour la propagation d identités et d attributs Fédération du CRU pour la propagation d identités et d attributs ou «Comment partager des ressources web entre établissements d enseignement supérieur» 1/47 1 Plan de la présentation 1. Problématique :

Plus en détail

L hébergement d IdP par RENATER

L hébergement d IdP par RENATER L hébergement d IdP par RENATER Anass Chabli RENATER c/o CRI Campus de Beaulieu, Bat 12 D 263, Avenue du Gal Leclerc CS 74205 35042 RENNES Cedex France Résumé Actuellement, pour utiliser les ressources

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

Gestion d identités PSL Exploitation IdP Authentic

Gestion d identités PSL Exploitation IdP Authentic Gestion d identités PSL Exploitation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com Table des matières 1 Arrêt et démarrage 2 2 Configuration 2 2.1 Intégration à la fédération............................

Plus en détail

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011 SAML et services hors web SAML @ ESPCI ParisTech (1) Connexion unique à tous les services web 142 SP au 16/1/2011, beaucoup mutualisés 40 instances de SPIP 17 instances de Mediawiki 16 instances de MRBS

Plus en détail

REAUMUR-ACO-PRES. Wifi : Point et perspectives

REAUMUR-ACO-PRES. Wifi : Point et perspectives REAUMUR-ACO-PRES Wifi : Point et perspectives 26 Octobre 2005 www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche Version du 11/06/2006 09:03:32 1 26/10/2005 REAUMUR-ACO

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS Roland Dirlewanger CNRS Délégation Aquitaine-Limousin P. 201 SOMMAIRE Les prérequis Adapter une application existante : Cas d'une application locale :

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels Introduction 1. Avant-propos 15 1.1 Cibles et objectifs de l'ouvrage 16 1.2 Organisation du livre 16 1.3 Pré-requis techniques et ressources documentaires 17 1.3.1 Pré-requis techniques 17 1.3.2 Ressources

Plus en détail

OpenText Content Server v10 Cours 3-0126 (ex 215)

OpenText Content Server v10 Cours 3-0126 (ex 215) v10 Cours 3-0126 (ex 215) Administration système et indexation-recherche Durée : 5 jours Ce cours de 5 jours apprendra aux administrateurs, aux architectes système et aux services support comment installer,

Plus en détail

Et si l'infrastructure ENT servait à gérer le nomadisme!

Et si l'infrastructure ENT servait à gérer le nomadisme! Et si l'infrastructure ENT servait à gérer le nomadisme! Patrick PETIT (DSI Grenoble-Universités) Philippe BEUTIN (DSI Grenoble-Universités) Jean-François SCARIOT (INRIA Grenoble - Rhône-Alpes) Université

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

Annuaire LDAP, SSO-CAS, ESUP Portail...

Annuaire LDAP, SSO-CAS, ESUP Portail... Annuaire LDAP, SSO-CAS, ESUP Portail... Patrick DECLERCQ CRI Lille 1 Octobre 2006 Plan Annuaire LDAP : - Présentation - Recommandations (SUPANN) - Architecture - Alimentation, mises à jour - Consultation

Plus en détail

La gestion des identités au CNRS Le projet Janus

La gestion des identités au CNRS Le projet Janus La gestion des identités au CNRS Le projet Janus Claude Gross CNRS/UREC Janus : les origines Fin 2007 : Annonce de l ouverture d un service ouvert à toutes les unités CNRS Besoin d une solution d authentification

Plus en détail

SAML et services hors web

SAML et services hors web SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne

Plus en détail

Retour d expérience Inria sur sa GED

Retour d expérience Inria sur sa GED Retour d expérience Inria sur sa GED DSI SESI 13 octobre 2015 SOMMAIRE 1. Solution Alfresco 2. Implémentation Alfresco chez Inria 3. Cas d usage 13 octobre 2015-2 1 Solution Alfresco 13 octobre 2015-3

Plus en détail

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole : www.arcopole.fr Auteur du document : ESRI France Version de la documentation : 1.2.0.0 Date de dernière

Plus en détail

Présentation de la solution Open Source «Vulture» Version 2.0

Présentation de la solution Open Source «Vulture» Version 2.0 Présentation de la solution Open Source «Vulture» Version 2.0 Advens IST Day 15 septembre 2011 http://www.vultureproject.org 1 s/apache/mod_perl/ LE PROJET VULTURE Advens IST Day 15 septembre 2011 http://www.vultureproject.org

Plus en détail

Apache Tomcat 8 Guide d'administration du serveur Java EE 7 sous Windows et Linux

Apache Tomcat 8 Guide d'administration du serveur Java EE 7 sous Windows et Linux Avant-propos 1. À qui s adresse ce livre? 11 2. Les pré-requis 12 Préambule 1. Rappel sur les architectures Internet/Intranet/Extranet 13 1.1 Le protocole HTTP 14 1.1.1 Les méthodes HTTP 16 1.1.2 Les codes

Plus en détail

Shibboleth sur REAUMUR

Shibboleth sur REAUMUR REAUMUR / ACO TIC/PRES Université de Bordeaux Shibboleth sur REAUMUR Journée Fédération du CRU Paris, 25 Janvier 2007 Laurent FACQ - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs

Plus en détail

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16

CONFIGURATION P 2 P 3 P 3 P 10 P 11 P 13 P 14 P 16 CONFIGURATION 1 Présentation 2 Topologie du projet 3 Installation 4 Configuration 4.1 Création de la DMZ publique 4.2 Accès vers l Internet 4.3 Publication d Exchange 4.4 Rapports d activité et alertes

Plus en détail

Le serveur communication unifiée IceWarp. Guide de mise à jour. Version 10. Février 2010. IceWarp France / DARNIS Informatique

Le serveur communication unifiée IceWarp. Guide de mise à jour. Version 10. Février 2010. IceWarp France / DARNIS Informatique Le serveur communication unifiée IceWarp Guide de mise à jour Version 10 Février 2010 IceWarp France / DARNIS Informatique i Sommaire Guide de mise à jour vers la V10 1 A lire avant de démarrer la mise

Plus en détail

GUIDE DE DEMARRAGE SP Plus

GUIDE DE DEMARRAGE SP Plus GUIDE DE DEMARRAGE SP Plus Secteur public Version 1.2 31/08/2011 Ce document et son contenu sont strictement confidentiels et la propriété de Natixis Paiements. Il n est pas contractuel. Toute reproduction

Plus en détail

Joomla! Création et administration d'un site web - Version numérique

Joomla! Création et administration d'un site web - Version numérique Avant-propos 1. Objectifs du livre 15 1.1 Orientation 15 1.2 À qui s adresse ce livre? 16 2. Contenu de l ouvrage 17 3. Conclusion 18 Introduction 1. Un peu d histoire pour commencer... 19 1.1 Du web statique

Plus en détail

SharePoint Server 2013 Déploiement et administration de la plate-forme

SharePoint Server 2013 Déploiement et administration de la plate-forme Présentation des technologies SharePoint 1. Historique des technologies SharePoint 13 1.1 SharePoint Team Services v1 14 1.2 SharePoint Portal Server 2001 14 1.3 Windows SharePoint Services v2 et Office

Plus en détail

DOSSIER TECHNIQUE INSTALLATION PASEO

DOSSIER TECHNIQUE INSTALLATION PASEO DOSSIER TECHNIQUE INSTALLATION PASEO TABLE DES MATIERES 1 Description des produits installés... 3 2 Descriptif des processus d installation produits... 4 2.1 Sql server 2000... 4 2.2 Sql server 2000 service

Plus en détail

TX A081025: Délégation de l authentification pour les Services Web

TX A081025: Délégation de l authentification pour les Services Web TX A081025: Délégation de l authentification pour les Services Web Jérémy Vauchelle Enseignant: Aurélien Bénel Intervenants: Chao Zhou Arnaud Pagnier Plan 1. Présentation du sujet 2. Présentation du protocole

Plus en détail

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 Informations juridiques Informations juridiques Pour les informations juridiques, voir http://help.adobe.com/fr_fr/legalnotices/index.html.

Plus en détail

ACCEDER A SA MESSAGERIE A DISTANCE

ACCEDER A SA MESSAGERIE A DISTANCE Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile. Cet accès distant est facilité si la messagerie

Plus en détail

Facebook Création d'applications avec PHP et JavaScript - Version numérique

Facebook Création d'applications avec PHP et JavaScript - Version numérique Introduction. Avant-propos 1. Objectif 1 1. Pré-requis 2 1.3 Structure 2 1.4 Conventions 3 1.4.1 Règles 3 1.4.2 Code source 3 2. Historique 4 2.1 2003-200 : les origines 4 2.2 2005-2008 : l'envol 7 2.3

Plus en détail

SEBINA OPENLIBRARY GESTION DES USAGERS ET DES BIBLIOTHÉCAIRES

SEBINA OPENLIBRARY GESTION DES USAGERS ET DES BIBLIOTHÉCAIRES SEBINA OPENLIBRARY GESTION DES USAGERS ET DES BIBLIOTHÉCAIRES GESTION DES REGISTRES : BIBLIOTHÈQUES, LECTEURS ET BIBLIOTHÉCAIRES Lecteur Bibliothécaire Groupe de lecteurs Groupe de bibliothécaires Groupe

Plus en détail

http://www.alfresco.com/fr/community/register/?source=docs Extensions, Documentation, Tutoriels, Astuces

http://www.alfresco.com/fr/community/register/?source=docs Extensions, Documentation, Tutoriels, Astuces Maryem Rhanoui 2013 Alfresco Liens utiles Le site Alfresco : http://www.alfresco.com/fr/ Le Portail Content Community http://www.alfresco.com/fr/community/register/?source=docs Extensions, Documentation,

Plus en détail

ACCÉDER A SA MESSAGERIE A DISTANCE

ACCÉDER A SA MESSAGERIE A DISTANCE ACCÉDER A SA MESSAGERIE A DISTANCE Lorraine Pour garder le contact avec leur entreprise, de plus en plus de collaborateurs ont besoin d accéder à leurs emails lorsqu ils sont en déplacement ou à domicile.

Plus en détail

GUIDE DE DEMARRAGE CYBERPLUS PAIEMENT MIX

GUIDE DE DEMARRAGE CYBERPLUS PAIEMENT MIX GUIDE DE DEMARRAGE CYBERPLUS PAIEMENT MIX Version 1.3 20/05/2010 Ce document et son contenu sont strictement confidentiels et la propriété de Natixis Paiements. Il n est pas contractuel. Toute reproduction

Plus en détail

Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup

Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup Serveur d intégration continue Jenkins et d analyse de code Sonar couplés à la forge logiciel SourceSup Sébastien MEDARD GIP RENATER 263 avenue du Général Leclerc CS 74205 35042 Rennes Cedex Résumé L intégration

Plus en détail

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject)

Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Quel ENT pour Paris 5? 1er Juin 2005 (1ère présentation) 1er Juin 2006 (2ème présentation réunion migration ShareObject) Objectifs et Enjeux Contexte et objectifs du projet Objectifs Mettre à disposition

Plus en détail

Scoop 0.9 Guide d'installation

Scoop 0.9 Guide d'installation Scoop 0.9 Guide d'installation Le logiciel décrit dans ce manuel est fourni sous contrat de licence et ne peut être utilisé qu'en conformité avec les termes de l'accord. Mentions légales Copyright 2013

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Réseau ISO-Raisin. Surveillance des Infections du Site Opératoire. (Surveillance agrégée)

Réseau ISO-Raisin. Surveillance des Infections du Site Opératoire. (Surveillance agrégée) Réseau ISO-Raisin Surveillance des Infections du Site Opératoire (Surveillance agrégée) Guide d utilisation de l application WEBISO Année 2015 Sommaire 1 Introduction... 3 2 Connexion et authentification...

Plus en détail

ModSecurity. Cible de sécurité CSPN Version 0.96

ModSecurity. Cible de sécurité CSPN Version 0.96 Cible de sécurité CSPN Version 0.96 TABLE DES MATIERES 1 IDENTIFICATION... 3 1.1 IDENTIFICATION DE LA CIBLE DE SECURITE... 3 1.2 IDENTIFICATION DU PRODUIT... 3 2 ARGUMENTAIRE (DESCRIPTION) DU PRODUIT...

Plus en détail

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP

FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP FORMATION CN01b CITRIX NETSCALER - IMPLÉMENTATION POUR LES SOLUTIONS XENDESKTOP OU XENAPP Contenu de la formation CN01B CITRIX NETSCALER IMPLEMENT. POUR LES SOLUTIONS XENDESKTOP/XENAPP Page 1 sur 7 I.

Plus en détail

Description de l offre de services

Description de l offre de services Description de l offre de services Prestations en Webconférence... 2 Les prestations :... 3 Etude d éligibilité Microsoft Office 365... 3 Forfait de Mise en service... 4 Migration 5 utilisateurs... 5 Formation

Plus en détail

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM) Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM) Entre: Le Centre National pour la Recherche Scientifique et Technique (CNRST), établissement public

Plus en détail

Connexion d un client lourd à la messagerie e-santé PACA

Connexion d un client lourd à la messagerie e-santé PACA Connexion d un client lourd à la messagerie e-santé PACA La messagerie sécurisée e-santé PACA est un service de type Webmail. Un Webmail est une interface Web rendant possible l émission, la consultation

Plus en détail

Comment utiliser mon compte alumni?

Comment utiliser mon compte alumni? Ce document dispose d une version PDF sur le site public du CI Comment utiliser mon compte alumni? Elena Fascilla, le 23/06/2010 Sommaire 1. Introduction... 2 2. Avant de commencer... 2 2.1 Connexion...

Plus en détail

Alfresco. Point Produit. Michael Harlaut Romain Guinot. Ingénieurs Solutions

Alfresco. Point Produit. Michael Harlaut Romain Guinot. Ingénieurs Solutions Alfresco Point Produit Michael Harlaut Romain Guinot Ingénieurs Solutions Agenda Retour sur l année 2014 + Alfresco One 4.2 + Records Management 2.x Les nouveautés Alfresco One 5.0 + Intégration bureautique

Plus en détail

https://webpub.chu-rennes.fr/cclin/apc/

https://webpub.chu-rennes.fr/cclin/apc/ Audit précautions complémentaires https://webpub.chu-rennes.fr/cclin/apc/ Année 2013 I. Connexion... 4 II. Authentification... 5 III. Accès à l application... 6 IV. Fonctionnalités... 8 V. Organisation

Plus en détail

GED ECM :Alfresco. S I A T. T é l : ( + 2 1 6 ) 7 1 7 9 9 7 4 4. F a x : ( + 2 1 6 ) 7 1 7 9 8 3 6 3

GED ECM :Alfresco. S I A T. T é l : ( + 2 1 6 ) 7 1 7 9 9 7 4 4. F a x : ( + 2 1 6 ) 7 1 7 9 8 3 6 3 GED ECM :Alfresco Alfresco est une solution de gestion de contenu d'entreprise (ECM) : elle propose une gestion de contenu d'entreprise complète : gestion documentaire, collaboration, gestion de cycle

Plus en détail

Manuel Utilisateur V4 MailInBlack V4.1.1.0

Manuel Utilisateur V4 MailInBlack V4.1.1.0 Manuel Utilisateur V4 MailInBlack V4.1.1.0 MailInBlack répond aux nouveaux enjeux liés à l utilisation de l email en entreprise en vous proposant des applications améliorant la performance de vos échanges

Plus en détail

itop : la solution ITSM Open Source

itop : la solution ITSM Open Source itop : la solution ITSM Open Source itop est un portail web multi-clients conçu pour les fournisseurs de services et les entreprises. Simple et facile d utilisation il permet de gérer dans une CMDB flexible

Plus en détail

Utilisation de la messagerie Easy-hebergement

Utilisation de la messagerie Easy-hebergement Utilisation de la messagerie Easy-hebergement VERSION : 1.1 DERNIERE MISE A JOUR : 01/10/2010 www.easy-hebergement.fr 1 Introduction...3 2 Activation de la messagerie...3 3 Elaboration de mon profil d

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.

Plateforme Systempay. Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1. Plateforme Systempay Intégration du module de paiement pour la plateforme VIRTUEMART 2.0 et supérieur PAIEMENT UNITAIRE Version 1.2a Rédaction, Vérification, Approbation Rédaction Vérification Approbation

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr

arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr 4 arcopole Studio Annexe 7 Architectures Site du programme arcopole : www.arcopole.fr Auteur du document : Esri France Version de la documentation : 1.2 Date de dernière mise à jour : 26/02/2015 Sommaire

Plus en détail

La fédération pour les CROUS et le CNOUS. Journée «fédération d identité» Paris 27 Mai 2013

La fédération pour les CROUS et le CNOUS. Journée «fédération d identité» Paris 27 Mai 2013 La fédération pour les CROUS et le CNOUS Journée «fédération d identité» Paris 27 Mai 2013 1 Une fédération pour les Crous Les Crous sont composés de 30 établissements administratifs autonomes. Ils sont

Plus en détail

Dans le cadre de l extension du projet «Point Etude» : Etude de faisabilité Réseau Eduroam. Fourniture, installation et paramétrage de hotspots

Dans le cadre de l extension du projet «Point Etude» : Etude de faisabilité Réseau Eduroam. Fourniture, installation et paramétrage de hotspots Cahier des Clauses Techniques Particulières Dans le cadre de l extension du projet «Point Etude» : Etude de faisabilité Réseau Eduroam Fourniture, installation et paramétrage de hotspots Nom et adresse

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Kit d'intégration FAS+

Kit d'intégration FAS+ Guide d'intégration de l'application IAM - Annexe Kit d'intégration FAS+ Date 24/08/2012 Version 3.0 TABLE DES MATIÈRES 1 Introduction...3 2 Kit d'intégration FAS+...3 2.1 Pages JSP...4 2.2 Classes Java...7

Plus en détail

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets

Project Server 2013 Implémenter, administrer et utiliser la solution Microsoft de gestion de projets Introduction à Project Server 1. La gestion de projets par Microsoft 11 1.1 Une histoire liée à l'évolution des organisations 11 1.2 Fonctionnalités de Project Server 2013 14 2. Concepts et terminologie

Plus en détail

ALAIN BENSOUSSAN SELAS

ALAIN BENSOUSSAN SELAS OUTIL CIL MANUEL UTILISATEUR 05 06 2015 V.0.1 Sommaire analytique 1. Installation de l application 3 1.1 Présentation technique de l architecture de l application CIL 3 1.2 Procédure d installation de

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC

INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC INTERCONNEXION CARTABLE EN LIGNE / E-SIDOC 23/11/2014 e-sidoc et Cartable en Ligne Documentation sur les procédures à suivre pour mettre en place l authentification unique entre e-sidoc et l ENT Cartable

Plus en détail

La mémorisation des mots de passe dans les navigateurs web modernes

La mémorisation des mots de passe dans les navigateurs web modernes 1 La mémorisation des mots de passe dans les navigateurs web modernes Didier Chassignol Frédéric Giquel 6 décembre 2005 - Congrès JRES 2 La problématique Multiplication des applications web nécessitant

Plus en détail

PRISME. Installation sur un poste windows

PRISME. Installation sur un poste windows PRISME Installation sur un poste windows Décembre 2012 Table des matières 1 Introduction... 3 2 La configuration requise... 3 3 Paramétrage du module JAVA... 4 3.1 Vérifier la présence de java et sa version...

Plus en détail

Étape 1: Demander l ajout de votre établissement

Étape 1: Demander l ajout de votre établissement 1. eduroam CAT : présentation 2. Ajouter mon établissement à eduroam CAT a. Etape 1 : demander l ajout de votre établissement b. Etape 2 : connectez-vous à eduroam CAT 3. Configurer les paramètres de mon

Plus en détail

Alfresco Mobile pour Android

Alfresco Mobile pour Android Alfresco Mobile pour Android Guide d'utilisation de l'application Android version 1.1 Commencer avec Alfresco Mobile Ce guide offre une présentation rapide vous permettant de configurer Alfresco Mobile

Plus en détail

Chapitre 1 Windows Server 2008 11

Chapitre 1 Windows Server 2008 11 Chapitre 1 Windows Server 2008 11 1.1. Les fondations du système... 15 1.2. La virtualisation... 16 1.3. La sécurité... 18 1.4. Le Web... 20 1.5. Fonctionnalité disponible dans Windows Server 2008... 21

Plus en détail

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10 Dossier Technique Page 1/10 Sommaire : 1. REPONSE TECHNIQUE A LA DEMANDE 3 1.1. Prise en compte de la dernière version de phpcas 3 1.2. Gestion de la connexion à GRR 3 1.2.1. Récupération des attributs

Plus en détail

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES

NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES NOTE DE CADRAGE DES SERVICES INTRANET / INTERNET D ETABLISSEMENTS SCOLAIRES ET D ECOLES SDTICE/SDITE Version : 1.0 - Date création : 09/01/09 1. Périmètre des S2i2e Les S2i2e ont pour objectif principal

Plus en détail

Messagerie électronique SIMAP/SRELAY

Messagerie électronique SIMAP/SRELAY Messagerie électronique SIMAP/SRELAY Centre de Calcul de l IN2P3 Mai 2007 2.4. Particularités du service Du point de vue de l utilisateur, le service IMAP proposé par le Centre de Calcul de l IN2P3 présente

Plus en détail

Monter un site Intranet

Monter un site Intranet Monter un site Intranet S il n est pas difficile de créer un site Web basique grâce à IIS, ceux d entre vous qui ne sont pas initiés aux langages de développement Web auront du mal à satisfaire les besoins

Plus en détail

La gestion des identités à l École polytechnique Fédérale de Lausanne. Claude Lecommandeur École Polytechnique Fédérale de Lausanne Novembre 2007

La gestion des identités à l École polytechnique Fédérale de Lausanne. Claude Lecommandeur École Polytechnique Fédérale de Lausanne Novembre 2007 La gestion des identités à l École polytechnique Fédérale de Lausanne Claude Lecommandeur École Polytechnique Fédérale de Lausanne Novembre 2007 Plan Gestion des identités. Beaucoup (trop) d intervenants.

Plus en détail

Projet de Système d Information National (SIN) SAMU Grippe A H1N1 / Déploiement dans les SAMU Centre 15

Projet de Système d Information National (SIN) SAMU Grippe A H1N1 / Déploiement dans les SAMU Centre 15 Projet de Système d Information National (SIN) SAMU Grippe A H1N1 Déploiement dans les SAMU-Centre 15 Mission de préfiguration ASIP 9, rue Georges Pitard 75 015 Paris Tél 01 58 45 32 50 Fax 01 58 45 33

Plus en détail

PLATEFORME DE GESTION DE CONGRÈS SCIENTIFIQUES

PLATEFORME DE GESTION DE CONGRÈS SCIENTIFIQUES PLATEFORME DE GESTION DE CONGRÈS SCIENTIFIQUES ANF Sciencesconf Meudon 10/11 octobre 2013 http://www.sciencesconf.org ! Sommaire La plateforme Sciencesconf.org Le portail L espace conférence Site web Gestion

Plus en détail

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail