Sécurisation des architectures traditionnelles et des SOA

Dimension: px
Commencer à balayer dès la page:

Download "Sécurisation des architectures traditionnelles et des SOA"

Transcription

1 Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures SOA dans l entreprise SAM J2EE, un serveur d authentification SAML JAAS Intégration des applications héritées, Web et SAML J2EE Les architectures SOA pour applications internes nécessitent des services de contrôle des accès et d authentification de base homogènes

2 2013 Evidian Les informations contenues dans ce document reflètent l opinion d Evidian sur les questions abordées à la date de publication. En raison de l évolution constante des conditions de marché auxquelles Evidian doit s adapter, elles ne représentent cependant pas un engagement de la part d Evidian, qui ne peut garantir l exactitude de ces informations passée la date de publication. Ce document est fourni à des fins d information uniquement. EVIDIAN NE FAIT AUCUNE GARANTIE IMPLICITE NI EXPLICITE DANS LE PRESENT DOCUMENT. Les droits des propriétaires des marques citées dans cette publication sont reconnus.

3 Table des matières Émergence des architectures SOA dans l entreprise... 4 Développement d une architecture d applications modulaire pour une intégration du système d information de l entreprise... 4 Caractérisation des «services» dans une architecture SOA... 5 Conception et mise en œuvre d une architecture SOA... 6 Internet ou Intranet? Architectures SOA et Web Services... 7 Sécurisation d une architecture SOA... 7 Déploiement de fonctions de sécurité spécifiques... 8 Intégration dans des environnements non-soa... 8 Exemple d une plate-forme de gestion des accès et des identités... 8 SAM J2EE, un serveur d authentification SAML JAAS SAM J2EE utilise la connexion JASS et l authentification SAML Module de connexion JAAS Point d application des politiques Serveur d authentification SAML Point de décision des politiques SAM J2EE - Architecture SAM J2EE Caractéristiques principales Authentification des utilisateurs Fonction SSO (Single Sign-On) Audit de l authentification des utilisateurs Haute disponibilité et extensibilité Administration centralisée Une solution de gestion et de sécurité basée sur les annuaires Intégration des applications héritées, Web et SAML J2EE 14 SAM J2EE est un module AccessMaster A l opposé d une approche «big bang» Administration cohérente Authentification unique Scénario avec authentification forte des utilisateurs. 16 Scénario avec administration centralisée et fonction SSO Scénario dans un environnement Web Les architectures SOA pour applications internes nécessitent des services de contrôle des accès et d authentification de base homogènes F2 09LS Rev02 3

4 Émergence des architectures SOA dans l entreprise Dans les grandes entreprises, une large part du budget informatique est affectée à la gestion et à la maintenance des réseaux développés au fil des années. Il reste, par conséquent, peu de ressources disponibles pour financer les nouveaux projets dont ces sociétés ont besoin pour demeurer compétitives. Par ailleurs, dans une architecture informatique classique, les informations stratégiques (sur les recettes, les coûts, la concurrence, les tarifs, les politiques et modèles, etc.) nécessaires aujourd hui, et cruciales pour l avenir, sont difficiles d accès. Dans son ensemble, le système d information, grevé par une disponibilité médiocre et des redondances (au mieux) ou des incohérences (au pire), affiche donc de faibles performances générales. Enfin, l organisation des systèmes d information classiques est telle que les applications ou les données sont fortement dépendantes de leurs environnements techniques. En conséquence, tout effort de modernisation requiert un lourd investissement. Il y a quelques années, plusieurs tentatives ont été menées pour améliorer la factorisation des applications et l accessibilité des données partagées. Les premières ont été la conception orientée objet et CORBA. Elles n ont toutefois bénéficié qu aux seules applications, sans transformer radicalement le système d information. La recherche s est poursuivie avec les solutions EAI (Enterprise Application Integration), dont le principal défaut est de rendre toute l architecture dépendante de formats propriétaires, alors qu à bien des égards, les applications et les données évoluent vers une standardisation généralisée de leurs interfaces. Il fallait donc développer un concept architectural rendant possible l interconnexion des applications et des données, dont l indépendance vis-à-vis de l infrastructure matérielle soit basée sur des standards. Ce concept est généralement connu sous le nom d architecture SOA (Service Oriented Architecture, architecture orientée services). Développement d une architecture d applications modulaire pour une intégration du système d information de l entreprise Pour développer une architecture SOA, il faut organiser et analyser le système d information selon les processus métier de l entreprise. Avant de mettre en œuvre cette nouvelle architecture, vous devez évaluer les besoins liés à ces différents processus. Ceci aboutit à une organisation en domaines. Par la suite un ensemble de «services» doit être défini dans chaque domaine. Ces services constitueront les seules interfaces stables sur lesquelles reposeront les processus métier d un domaine. Celles-ci permettront également d échanger des ressources ou des données entre les domaines. Avec cette structure en services, de nouveaux processus peuvent rapidement être développés. 39 F2 09LS Rev02 4

5 Le département informatique ou les chefs de projet n ont plus qu à concentrer leur activité sur ces processus, au lieu de s efforcer à recréer des interfaces ou à générer des solutions presque identiques et des bases de données redondantes. Les divers projets sont basés sur un annuaire commun de services, qui constituent les services d applications ou de données «de base». Caractérisation des «services» dans une architecture SOA Si vous prenez les domaines comme seul objet de travail, vous risquez de les considérer comme des groupes isolés sans interaction entre eux. Les «services» sont donc essentiels pour intégrer les domaines dans l architecture unique, flexible et modulaire d un système d information. Mais comment définir un «service»? C est la question la plus souvent posée lorsqu un projet d architecture SOA est lancé. Vous trouverez quelques réponses ci-dessous : Les services sont l interface donnant accès à la logique métier des domaines. Chaque service est fourni par une application dédiée («fournisseur de service»). Les services ne doivent pas être spécifiques à un seul type de consommateur de service. Ils doivent être de conception suffisamment large pour pouvoir être utilisés par plusieurs consommateurs de service («forte granularité»). Ceci permet d accroître leur efficacité et de réaliser des économies d échelle. Les services sont stables sur le long terme. Ils décrivent les principales interactions au sein d une entreprise, qui sont habituellement bien plus durables que la mise en œuvre de besoins métier particuliers. Un service distingue le fournisseur du consommateur ; leurs implémentations sont ainsi rapidement modifiables de manière autonome (tant que le service reste stable). Un service établit un lien entre les domaines et l infrastructure informatique sous-jacente. La figure ci-après représente la structure d une architecture SOA. Figure 1. Principes d une architecture SOA Processus métier Domaine A Domaine B Domaine C Services A Services B Services C Infrastructures 39 F2 09LS Rev02 5

6 Conception et mise en œuvre d une architecture SOA Pour organiser une architecture SOA, vous devez mettre en œuvre une plate-forme de gestion (d intégration) des services. Elle est souvent appelée plate-forme NAP (Network Application Platform, plate-forme d applications réseau). La plate-forme NAP ne tient pas compte de la logique métier. En tant que participants au service, le fournisseur et le consommateur de service sont chargés de définir la logique métier, de la mettre en œuvre et d assurer son support. Ils sont inclus dans une organisation décentralisée et distribuée, conformément au paradigme du service intégré. Les services techniques de base (par exemple, les fonctions SSO, la supervision, la gestion des droits des utilisateurs, etc.) sont fournis par la plate-forme, ce qui rend l architecture encore plus souple. La figure 2 présente la mise en œuvre d une architecture SOA générale. Figure 2. Exemple de la mise en oeuvre d une architecture SOA Services techniques de base Gestion de la sécurité et des utilisateurs Administration du réseau des services Plate-forme NAP (Network Application Platform) pour l intégration Service Service Consumer Consommateur Consumer de service Service Service Provider Fournisseur Provider de service 39 F2 09LS Rev02 6

7 Internet ou Intranet? Architectures SOA et Web Services Pour mettre en place une architecture SOA, des investissements non négligeables doivent être engagés, pour des avantages considérables. Le système d information est progressivement révisé afin d être intégralement rationalisé et rendu compatible. L architecture SOA agit comme une sorte de système d exploitation réparti. Principal atout, un projet SOA ne nécessite pas de changement complet du jour au lendemain (approche «big bang»). Une fois la plate-forme NAP mise en place, les «services» sont progressivement définis et créés, puis les «fournisseurs» et les «consommateurs» s abonnent à la plate-forme. Vous pouvez alors abandonner les interfaces classiques par phases successives. Il serait dommage de restreindre les éléments clés des architectures SOA à quelques «services» fournis par le Web (certains types de transactions et d échanges via l extranet, par exemple). Une architecture SOA ne requiert pas nécessairement des Web Services. Il est important, au-delà de l implémentation de Web Services, de comprendre les principes architecturaux et les liens entre les services, les processus métier et les infrastructures techniques. Cependant, les standards de Web Services, qui sont en phase de maturation, constitueront à l avenir le jeu d outils le plus complet pour créer une architecture SOA. Sécurisation d une architecture SOA Pour sécuriser une architecture SOA, vous pouvez mettre en oeuvre au sein de la plate-forme NAP un ensemble de mécanismes permettant de protéger les échanges entre les fournisseurs et les consommateurs de service. Ces mécanismes font partie d un groupe de services nommé services techniques de base. Ils comprennent l adressage de services, la gestion des messages, la supervision de l architecture SOA, ainsi que la gestion des accès et des identités. Ces deux derniers services de base doivent permettre à tout fournisseur ou consommateur de service de vérifier l identité de l utilisateur associé à une transaction en cours (même si c est un serveur) et de s assurer qu il a le droit d effectuer cette transaction. De manière générale, les «fournisseurs de service» et les «consommateurs de service» utilisent ces services techniques de base de gestion des identités et des accès à deux niveaux : Lors de la première authentification d un utilisateur, la validité des informations que celui-ci fournit est vérifiée par les services techniques de base. Dans ce cas, l utilisateur peut tirer profit de la fonction SSO (Single Sign-On ou authentification unique). Lors d une demande «Consommateur/Fournisseur», le fournisseur de service doit pouvoir, grâce aux services techniques de base, vérifier l identité et les droits de l utilisateur. Les opérations sur les droits des utilisateurs et leur identité sont gérées directement par les services techniques de base sur la plate-forme NAP. 39 F2 09LS Rev02 7

8 Déploiement de fonctions de sécurité spécifiques En raison des contraintes géographiques liées à l organisation de l entreprise ou du niveau de confidentialité des applications utilisées, il peut être nécessaire de déployer une architecture de sécurité spécifique au niveau de la plate-forme NAP, sans pour autant impacter les applications. Par exemple, si une société fédère ses annuaires LDAP au niveau NAP dans un annuaire virtuel (V-Directory), elle sera en mesure d utiliser tous les processus existants de gestion des identités d utilisateur. Voici d autres exemples d architectures pouvant être déployées par les services de sécurité de base en toute transparence pour les applications : environnement de gestion multi-domaines des utilisateurs, solution de traçabilité des accès aux applications ou encore authentification des utilisateurs via des certificats X.509 (PKI). Intégration dans des environnements non-soa Les services de sécurité de base permettent également d assurer la cohérence entre la toute nouvelle architecture SOA et le système d information classique : mainframe, client-serveur, Web, etc. Comme ils sont indépendants des fournisseurs et des consommateurs de service, les services de sécurité de base d une architecture SOA peuvent être intégrés dans une solution plus globale de gestion des accès et des identités s appliquant au système d information. Exemple d une plate-forme de gestion des accès et des identités Pour doter une plate-forme NAP de fonctions d accès et d authentification en y intégrant une plate-forme IAM (Identity and Access Management Platform, plate-forme de gestion des accès et des identités), vous devez mettre en place trois niveaux distincts. Chacun traite distinctement la politique d authentification et d autorisation : Point de gestion des politiques (Policy Management Point, PMP), où cette politique est définie. Point de décision des politiques 1 (Policy Decision Point, PDP), où des décisions sont prises en fonction de cette politique. Point d'application des politiques (Policy Enforcement Point, PEP), où les décisions sont mises en oeuvre. 1 D habitude, les points de décision des politiques sont dédiés aux politiques d autorisation. Toutefois, le mot «politique» s applique également aux étapes d authentification. 39 F2 09LS Rev02 8

9 Sources d'identité Annuaire + flux Méta-annuaire Base de données RH Liberty Alliance Point de gestion des politiques Gestion des identités Gestion des politiques Point de décision des politiques Moteur d identification Moteur d autorisation Point d'application des politiques Poste de travail Passerelle Agent Les points de gestion des politiques et les points de décision des politiques sont indépendants de la technologie utilisée par les fournisseurs et les consommateurs de service. Les points d'application des politiques, en interface directe avec les consommateurs et les fournisseurs de service, sont très dépendants de la technologie que ceux-ci utilisent. Par exemple, le module SDM (Security Data Manager, module situé sur les PC) d AccessMaster est un point d application des politiques installé sur un poste de travail et mettant en oeuvre des règles dynamiques. L interface LDAP d AccessMaster connecte le serveur AccessMaster (point de gestion des politiques) à une source d identité LDAP. Le module SAM J2EE (Secure Access Manager J2EE) d AccessMaster met en œuvre un modèle SAML 2 dans lequel les modules de connexion JAAS sont des points d'application des politiques et les serveurs d authentification sont des points de décision des politiques. 2 SAML est un standard développé par OASIS (Organization for the Advancement of Structured Information Standards, et qui rend possible l interopérabilité des systèmes de sécurité fournissant des services d autorisation et d authentification. 39 F2 09LS Rev02 9

10 SAM J2EE, un serveur d authentification SAML JAAS SAM J2EE utilise la connexion JASS et l authentification SAML SAM J2EE (Secure Access Manager J2EE) est un service d authentification et d autorisation basé sur les standards ouverts de sécurisation des Web Services et des applications Java. Module de connexion JAAS Point d application des politiques SAM J2EE dispose d un module de connexion (Login Module) conçu pour l interface standard JAAS (Java Authentication and Authorization Service), et qui s'exécute dans un environnement Java. JAAS est une interface de programmation dotée de mécanismes souples et évolutifs de sécurisation des applications Java client et serveur. Elle agit également comme une couche d abstraction entre une application et les procédures d authentification et d autorisation, ce qui permet aux développeurs d applications d utiliser n importe quel mécanisme de sécurité. Avec le module de connexion JAAS de SAM J2EE, une application Java ou J2EE peut rapidement et facilement être sécurisée à l aide de mécanismes d authentification et d autorisation. C est une solution compatible avec toute application Java utilisant l interface JAAS à un degré d intégration peu poussé. Serveur d authentification SAML Point de décision des politiques Il s agit d un serveur qui effectue l'authentification puis, pour chaque authentification réussie, fournit une assertion SAML (Secure Assertion Markup Language). SAML procure un mécanisme de sécurité inter-opérable par lequel des applications dotées de leur propre système d autorisation et d authentification échangent des éléments d'authentification. Il apporte un cadre de sécurisation aux environnements multi-domaines ou aux architectures multi-niveaux. Ainsi, grâce au partage d informations de sécurité nécessaires à la réalisation d une transaction entre deux sites, celle-ci peut être initialisée sur un site et validée sur un autre. Lorsque les fonctionnalités SAML de SAM J2EE sont exploitées par les applications de l entreprise, celles-ci peuvent interagir plus facilement et en toute sécurité avec d autres entités, comme des partenaires commerciaux ou des clients. Le jeton SAML d un utilisateur peut circuler entre des partenaires commerciaux de confiance liés par une relation de type SSO (Single Sign-On). Les assertions SAML sont signées et vérifiées par les applications via une infrastructure PKI (Public Key Infrastructure). Une administration conviviale permet de définir le contenu des assertions, de gérer les infrastructures PKI associées nécessaires et, à un plus large niveau, toutes les configurations. 39 F2 09LS Rev02 10

11 SAM J2EE - Architecture Figure 3. Modules de connexion JAAS de SAM J2EE et serveur d authentification SAML Modules de connexion JAAS Demande d'authentification Serveur d'authentification HTTPS SAML Console d'administration Annuaire uitlisateurs Annuaire SAM J2EE Definition des utilisateurs Annuaires LDAP Définition des contenus SAML, Clés, certifications, listes CRL Le module de connexion JAAS est en interface avec le serveur d authentification utilisant le protocole SAML. Les applications sont alors en mesure d authentifier les demandeurs dans toutes les organisations, mais aussi de fournir des attributs utilisateur permettant de contrôler l accès aux ressources dans des zones multidomaines de sécurité. Les assertions SAML (authentification et attributs) sont signées par l autorité hébergée par le serveur d authentification. La signature SAML (XML) requiert le déploiement de certificats et la prise en charge des listes CRL (Certificate Revocation List). Ces fonctionnalités, transparentes pour l utilisateur, sont fournies par SAM J2EE. 39 F2 09LS Rev02 11

12 SAM J2EE Caractéristiques principales Les principales caractéristiques de SAM J2EE sont les suivantes : Authentification des utilisateurs Fonction SSO (Single Sign-On) SAM J2EE prend en charge plusieurs types d authentification. Les utilisateurs peuvent être authentifiés par l un des éléments suivants : par un nom d utilisateur et un mot de passe, par un mot de passe à usage unique reconnu dans les jetons matériels, par les dispositifs OTP (One-Time Password, mot de passe à usage unique) pris en charge par SAM SE (Secure Access Manager Standard Edition). Dans ce cas, le module de connexion installé sur le poste de travail obtient du module SDM de SAM SE le mot de passe à usage unique, qu il utilise pour authentifier l utilisateur et lui fournir une signature unique (fonction SSO). L utilisation du protocole SSL (Secure Socket Layer) garantit la confidentialité des échanges entre le module de connexion JAAS et le serveur d authentification. La fonction SSO est intégrée à SAM J2EE au niveau du jeton SAML de l utilisateur. Lorsque ce jeton est présenté aux applications, celles-ci n ont pas besoin de demander à l utilisateur de s identifier à nouveau. Audit de l authentification des utilisateurs Avec SAM J2EE, vous pouvez effectuer l audit des opérations d authentification des utilisateurs. Les messages d audit sont stockés dans des fichiers journaux consultables à tout moment. Haute disponibilité et extensibilité Les fonctions intégrées de SAM J2EE de haute disponibilité et de partage de charge permettent de garantir le maintient d'un niveau de performance satisfaisant et prévisible. Administration centralisée Au lieu de gérer séparément les règles d authentification, d infrastructure PKI (Public Key Infrastructure) et de contrôle d accès pour chaque application, SAM J2EE réunit toutes ces fonctionnalités en une seule console. Cette console d administration est une application Java exécutée sur des navigateurs Web prenant en charge le module d extension Java Run-time Environment. En outre, SAM J2EE dispose d une administration personnalisable à l aide d un jeu d interfaces API Java. Les programmeurs peuvent ainsi utiliser toutes les fonctions de la console d administration pour développer une application d administration personnalisée. 39 F2 09LS Rev02 12

13 Une solution de gestion et de sécurité basée sur les annuaires SAM J2EE incorpore en toute conformité les standards relatifs aux annuaires LDAP en mode natif. Deux annuaires sont utilisés : L annuaire SAM contient les descriptions des objets de sécurité et la configuration. L annuaire Utilisateurs (annuaire LDAP de l entreprise) contient les informations relatives aux utilisateurs et aux groupes. Il est possible qu un tel annuaire existe déjà dans votre société. Pour cette raison, cette instance peut être séparée de l annuaire SAM. Il n est donc pas nécessaire d'installer et de gérer des annuaires d utilisateurs distincts et redondants. 39 F2 09LS Rev02 13

14 Intégration des applications héritées, Web et SAML J2EE SAM J2EE est un module AccessMaster SAM J2EE fait partie de la suite de gestion des identités et de contrôle des accès intégrée et modulaire AccessMaster. Les modules "Secure Access Manager" présentent des fonctions avancées de contrôle des accès et d administration, utilisables même dans des architectures très hétérogènes. Dotés de solides fonctions d authentification, ils peuvent traiter plusieurs annuaires LDAP, réaliser des audits et possèdent de nombreuses fonctions d administration : Secure Access Manager - Standard Edition (SAM SE) est la solution avancée de contrôle des accès et d administration pour toutes les applications Intranet. Secure Access Manager - Web Edition (SAM Web) est la solution avancée de contrôle des accès et d administration dédiée aux projets Web Internet et Intranet. SSO Xpress SE est une solution SSO simple, sûre et auto-administrable pour tous les utilisateurs de l environnement Active Directory. Déployable sur les postes de travail Windows, elle peut aussi être installée sur des clients légers, tels que Windows Terminal Server ou Citrix. Pour mettre en oeuvre le «cycle de vie des utilisateurs», les modules de gestion des identités proposent une console d administration intégrée permettant de gérer les identités des utilisateurs, leurs comptes d application et leurs certificats : Identity Manager, pour l administration de tous les utilisateurs et de leurs attributs dans plusieurs annuaires LDAP. Provisioning Manager, pour l administration des comptes d utilisateur dans les divers systèmes, applications et bases de données de l entreprise. Certificate Manager, pour l administration des certificats d utilisateur. En fonction de la politique de sécurité de l entreprise, chaque module peut être déployé séparément ou intégré aux autres de manière homogène. 39 F2 09LS Rev02 14

15 A l opposé d une approche «big bang» Une nouvelle architecture peut être déployée selon trois approches. La première consiste à déployer une nouvelle architecture complètement séparée avec notamment son propre référentiel d utilisateurs, ses interfaces utilisateur, ses concepts, et dotée d un nouveau jeu d applications développées sur une longue période. Cette refonte globale (approche «big bang») peut probablement réussir, mais c est une démarche risquée. En effet, les phases de développement s étalent sur plusieurs années et, en général, lorsque les applications sont enfin prêtes, les besoins réels ne correspondent plus aux spécifications initiales. La deuxième approche repose sur le développement d une première application utilisant de nouveaux concepts. Toutefois, les avantages apportés par cette seule application ne permettent pas de compenser le coût de l implantation de la nouvelle architecture. Enfin, la troisième approche consiste à mettre en oeuvre une architecture prenant en charge les deux environnements coexistants : le système classique comprenant toutes les applications utiles déjà implémentées (applications mainframe, client-serveur, etc.) et le jeu d applications de pointe nouvellement développées. La solution de gestion des accès et des identités AccessMaster convient parfaitement à cette dernière approche car elle fonctionne aussi bien dans un environnement classique que dans un nouveau système. Administration cohérente Le serveur d authentification SAM J2EE est une extension du serveur AccessMaster. Il peut donc utiliser les déclarations d utilisateur du référentiel AccessMaster. Via le module Identity Manager, SAM J2EE peut exploiter les définitions d utilisateur disponibles dans l annuaire LDAP de l entreprise. Dans ce cas, la console d administration SAM J2EE sert uniquement à déclarer et à gérer les assertions SAML. Authentification unique Lorsqu un utilisateur s authentifie via AccessMaster, il peut accéder indifféremment aux applications classiques et SAML J2EE. Pour ces deux environnements, AccessMaster fournit des fonctionnalités SSO et de contrôle des accès. 39 F2 09LS Rev02 15

16 Scénario avec authentification forte des utilisateurs L accès aux applications SAML J2EE peut s appuyer sur les méthodes d authentification d AccessMaster, telles que les jetons Windows Kerberos, les certificats de clé publique ou les mots de passe à usage unique. Dans le scénario suivant (voir figure 4), le module Secure Access Manager - Standard Edition (SAM SE) d AccessMaster procède à l authentification forte des utilisateurs et contrôle l accès à toutes les applications. Figure 4. Authentification forte pour les environnements classique et SAML J2EE Users LDAP repository Validation de l'uitlisateur dans le référentiel des utilisateurs Assertions utilisateur SAML Signature SAML Validation de l'uitlisateur dans le référentiel des utilisateurs Extraction de l'assertion et de la combinaison nom d'utilisateur/mot de passe Authentification Authentification AccessMaster Console d'adminisatration Verification SAML Fourniture des attributs utilisateur SAML Authentification de l'utilisateur Obtention des privilèges noms d'utilisateur/mot de passe/assertions Connexion aux applications Vers les applications J2EE côté serveur Application Client Module de connexion JAAS AccessMaster (Module SDM) Vers les applications classiques AccessMaster côté client Lorsqu il joue le rôle de point d application des politiques sur le poste de travail, le module client SDM d AccessMaster exécute les tâches suivantes : authentification initiale de l utilisateur, connexion aux applications classiques à l aide d un nom d utilisateur et d un mot de passe, connexion aux applications SAML J2EE. 39 F2 09LS Rev02 16

17 AccessMaster côté serveur Lorsqu il agit comme un point de décision des politiques, le serveur AccessMaster valide l authentification initiale de l utilisateur de la manière suivante : il vérifie la validité du nom d utilisateur et du mot de passe, il extrait le nom d utilisateur et le mot de passe dédiés aux applications, ainsi que les assertions SAML. Le serveur traite ensuite les demandes SAML transmises par les applications comme suit : il vérifie les assertions SAML, il valide les utilisateurs, il extrait les privilèges et les droits. Scénario avec administration centralisée et fonction SSO Dans le présent scénario, il n est pas nécessaire que l accès aux applications SAML J2EE soit géré par le module SDM d AccessMaster installé sur le PC. L utilisateur n a besoin que d un seul identifiant pour se connecter à son environnement classique via le module SDM d AccessMaster (point d application des politiques sur le poste de travail) ou à ses applications SAML J2EE via le module client de connexion JAAS (point d application des politiques sur le poste de travail, sur une passerelle ou sur le serveur de l application souhaitée). Figure 5. SSO pour les environnements classiques et SAML J2EE Utilisateurs Répertoires LDAP Console d'administration Validation de l utilisateur dans LDAP Récupération des identifiants et mots de passe secondaires Validation de l'utilisateur dans LDAP Récupération de l'assertion SAML Authentification de l'utilisateur Obtention de l assertion SAML Connexion aux applications Authentification SAM Authentification de l'utilisateur Obtention des privilèges noms d'utilisateur/mot de passe/assertions Connexion aux applications Vers les applications SAML J2EE Client Application JAAS Login Module AccessMaster (SDM) Vers les applicaions classiques 39 F2 09LS Rev02 17

18 Dans cette situation, le module SDM d AccessMaster et le module de connexion JAAS sont tous deux en interaction avec le serveur AccessMaster (point de décision des politiques) pour authentifier l utilisateur. Les tâches d administration telles que la déclaration ou la modification de l identité de l utilisateur sont effectuées dans un seul référentiel, qui peut être un référentiel LDAP. Scénario dans un environnement Web Le module Secure Access Manager Web Edition (SAM Web) d AccessMaster est dédié aux environnements Web et ne nécessite aucun client côté PC. Par exemple, vous pouvez l utiliser afin de gérer l accès des partenaires commerciaux à un extranet. Dans ce scénario, le module SAM Web (point d application des politiques sur une passerelle) authentifie l utilisateur lorsqu il se connecte. Le module SAM Web contrôle ensuite l accès aux applications suivantes : applications Web classiques auxquelles l utilisateur se connecte en entrant son identifiant dans une fenêtre ou un masque de saisie, applications SAML J2EE auxquelles l utilisateur se connecte à l aide d assertions SAML transmises via le module de connexion JAAS. 39 F2 09LS Rev02 18

19 Les architectures SOA pour applications internes nécessitent des services de contrôle des accès et d authentification de base homogènes Avec l annuaire et la gestion des messages, les services de contrôle des accès et d authentification sont au coeur d une architecture SOA. Pour éviter les inconvénients liés à l approche «big bang», une architecture SOA englobant des applications internes doit pouvoir fournir des services aux applications existantes (mainframe, client-serveur ou Web) ainsi qu aux nouvelles applications SAML, telles que J2EE. Les services de sécurité de base doivent donc inclure les fonctionnalités suivantes : Authentification des utilisateurs basée sur une fonction SSO sécurisée et interfaçage entre les applications existantes et les nouvelles applications SAML. Gestion des identités des utilisateurs reposant sur l annuaire LDAP de l entreprise, pour une intégration aisée dans le processus existant de gestion des utilisateurs. Gestion des assertions et des privilèges, de façon à contrôler l accès aux applications J2EE, client-serveur ou mainframe. AccessMaster permet de mettre en œuvre une solution centralisé de gestion des identités et des accès au sein des architectures traditionnelles et des infrastructures SAML. 39 F2 09LS Rev02 19

20 Pour plus d informations, consultez le site

Evidian Secure Access Manager Standard Edition

Evidian Secure Access Manager Standard Edition Evidian Secure Access Manager Standard Edition LDAP SSO un contrôle d accès modulaire et extensible - V 1.1 Par Dominique Castan dominique.castan@evidian.com et Michel Bastien michel.bastien@evidian.com

Plus en détail

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France Gestion des Identités : 5 règles d'or Patrice Kiotsekian Directeur Evidian France Page 1 - Mai 2005 Défi N 1 : la gestion de la cohérence Alors que les référentiels et bases d identité et de sécurité sont

Plus en détail

Solutions Microsoft Identity and Access

Solutions Microsoft Identity and Access Solutions Microsoft Identity and Access 2 Solutions Microsoft Identity and Access Microsoft Identity and Access (IDA) permet aux entreprises d améliorer leur efficacité et leurs connexions internes et

Plus en détail

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones. PERSPECTIVES Le Single Sign-On mobile vers Microsoft Exchange avec OWA et ActiveSync Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour les établissements publics et les collectivités territoriales Par Cathy

Plus en détail

AccessMaster PortalXpert

AccessMaster PortalXpert AccessMaster PortalXpert Sommaire 1. Historique du document.....3 2. Sécuriser les ressources web...4 3. Description du produit PortalXpert.....7 Instant Secure Single Sign-on 4. Scénarios de déploiement

Plus en détail

Gestion et contrôle des accès informatiques

Gestion et contrôle des accès informatiques Gestion et contrôle des accès informatiques Un livre blanc de Bull Evidian Mot de passe unique et gestion centralisée des accès pour une Chambre de Commerce et d Industrie Par Cathy Demarquois Responsable

Plus en détail

Evidian IAM Suite 8.0 Identity Management

Evidian IAM Suite 8.0 Identity Management Evidian IAM Suite 8.0 Identity Management Un livre blanc Evidian Summary Evidian ID synchronization. Evidian User Provisioning. 2013 Evidian Les informations contenues dans ce document reflètent l'opinion

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès. Etat de l art Synchronisation des identités pour un référentiel d identités multi-annuaires La construction d un référentiel d identité est au cœur des approches de gestion des identités et des accès.

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

PortWise Access Management Suite

PortWise Access Management Suite Créez un bureau virtuel pour vos employés, partenaires ou prestataires depuis n importe quel endroit et n importe quel appareil avec Portwise Access Manager et Authentication Server. Fournir des accès

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité La sécurité des processus métiers et des transactions Stéphane Marcassin Bull Services Sécurité Bull : leader européen de la sécurité Spécialiste des infrastructures sécurisées Conseil Intégrateur Editeur

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

L accès sécurisé. aux données. médicales

L accès sécurisé. aux données. médicales L accès sécurisé aux données médicales Le décret confidentialité N 2007-960 du 15 mai 2007 La responsabilité personnelle des chefs d établissement et des médecins vis-à-vis de la confidentialité des données

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance L authentification de confiance Digital DNA Server Serveur d authentification multifacteurs par ADN du Numérique Simplicité Rapidité Economie Liberté Evolutivité Fiabilité FR mar 205 www.loginpeople.com

Plus en détail

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper

Conformité PCI DSS. Réduire les risques en gérant les identités et les accès. white paper Conformité PCI DSS Réduire les risques en gérant les identités et les accès Ce livre blanc explique comment la suite IAM d Evidian peut vous aider à vous conformer aux exigences PCI DSS. white paper 39

Plus en détail

Gestion des identités Christian-Pierre Belin

Gestion des identités Christian-Pierre Belin Gestion des identités Christian-Pierre Belin Architecte Microsoft France La gestion des identités Le périmètre et les rôles Services d annuaire Point de stockage et d administration des comptes, des informations

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail

NFS Maestro 8.0. Nouvelles fonctionnalités

NFS Maestro 8.0. Nouvelles fonctionnalités NFS Maestro 8.0 Nouvelles fonctionnalités Copyright Hummingbird 2002 Page 1 of 10 Sommaire Sommaire... 2 Généralités... 3 Conformité à la section 508 de la Rehabilitation Act des Etats-Unis... 3 Certification

Plus en détail

Business Central Wireless Manager

Business Central Wireless Manager Business Central Wireless Manager Guide de présentation Sommaire CATÉGORIE DE PRODUIT... 3 PRÉSENTATION... 3 PRÉSENTATION DE BUSINESS CENTRAL... 3 FONCTIONNALITÉS ET ATOUTS... 4 POINTS D ACCÈS WIFI PRIS

Plus en détail

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES. Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO DAVION Didier 33 avenue Paul Cézanne 59116 HOUPLINES Auditeur n NPC007570 URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO I. Définition d un SSO Tout à d abord SSO veut dire Single

Plus en détail

PostFiles. La solution de partage et de synchronisation de fichiers dédiée aux professionnels. www.oodrive.com

PostFiles. La solution de partage et de synchronisation de fichiers dédiée aux professionnels. www.oodrive.com La solution de partage et de synchronisation de fichiers dédiée aux professionnels www.oodrive.com Partager tout type de fichiers sans contrainte de taille et de format. Synchroniser et consulter ses fichiers

Plus en détail

Construire un annuaire d entreprise avec LDAP

Construire un annuaire d entreprise avec LDAP Construire un annuaire d entreprise avec LDAP Marcel Rizcallah Éditions Eyrolles ISBN : 2-212-09154-0 2000 Introduction L économie en réseau ou la Net-économie est au cœur des débats et des stratégies

Plus en détail

Architecture des systèmes d information

Architecture des systèmes d information Architecture des systèmes d information Table des matières 1 La décennie 70 1 2 Le modèle relationnel (les années 80) 1 3 Enrichissement du relationnel (les années 80/90) 2 4 Système d informations (les

Plus en détail

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

WEB SSO & IDENTITY MANAGEMENT PARIS 2013 PARIS 2013 WEB SSO & IDENTITY MANAGEMENT PARIS 2013 AGENDA La problématique Quelques statistiques Identité & Authentification Les challenges Les solutions La problématique X Comptes - Mots de passe triviaux

Plus en détail

Architecture Constellio

Architecture Constellio Architecture Constellio Date : 12 novembre 2013 Version 3.0 Contact : Nicolas Bélisle nicolas.belisle@doculibre.com 5146555185 1 Table des matières Table des matières... 2 Présentation générale... 4 Couche

Plus en détail

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Présentation SafeNet Authentication Service (SAS) Octobre 2013 Bâtir un environnement d'authentification très fiable Présentation SafeNet Authentication Service (SAS) Octobre 2013 Insérez votre nom Insérez votre titre Insérez la date 1 Présentation de l offre SAS

Plus en détail

Business et contrôle d'accès Web

Business et contrôle d'accès Web Business et contrôle d'accès Web Un livre blanc d Evidian Augmentez vos revenus et le ROI de vos portails Web Sommaire Description du cas client Solution mise en place par le client Contrôler et sécuriser

Plus en détail

FORMATION WS0801. Centre de formation agréé 11 94 052 9794. formation@insia.net

FORMATION WS0801. Centre de formation agréé 11 94 052 9794. formation@insia.net FORMATION WS0801 CONFIGURATION, GESTION ET DEPANNAGE DES SERVICES DE DOMAINE ET DES SOLUTIONS D'IDENTITE ET D'ACCES SOUS ACTIVE DIRECTORY AVEC WINDOWS SERVER 2008 Directory avec Windows Server 2008 Page

Plus en détail

DESCRIPTION DU COMPOSANT

DESCRIPTION DU COMPOSANT Gestion des utilisateurs et des accès Composant pour un Egov intégré Qu'est-ce qu'un composant? C est un élément indispensable à l intégration des systèmes e-gov des différents niveaux politiques. Cet

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs HASH LOGIC s e c u r i t y s o l u t i o n s Version 1.0 de Janvier 2007 PKI Server Une solution simple, performante et économique Les projets ayant besoin d'une infrastructure PKI sont souvent freinés

Plus en détail

EJBCA Le futur de la PKI

EJBCA Le futur de la PKI EJBCA Le futur de la PKI EJBCA EJBCA c'est quoi? EJBCA est une PKI (Public Key infrastructure) ou IGC (Infrastructure de gestion de clés) sous licence OpenSource (LGPL) développée en Java/J2EE. EJBCA bien

Plus en détail

Comment assurer la gestion des identités et des accès sous forme d un service Cloud?

Comment assurer la gestion des identités et des accès sous forme d un service Cloud? FICHE DE PRÉSENTATION DE SOLUTION CA CloudMinder Comment assurer la gestion des identités et des accès sous forme d un service Cloud? agility made possible Grâce à CA CloudMinder, vous bénéficiez de fonctionnalités

Plus en détail

Solutions de gestion de la sécurité Livre blanc

Solutions de gestion de la sécurité Livre blanc Solutions de gestion de la sécurité Livre blanc L intégration de la gestion des identités et des accès avec l authentification unique Objectif : Renforcer la politique de sécurité et améliorer la productivité

Plus en détail

Alcatel-Lucent VitalQIP Appliance Manager

Alcatel-Lucent VitalQIP Appliance Manager Alcatel-Lucent Appliance Manager Solution complète de gestion des adresses IP et de bout en bout basée sur des appliances Rationalisez vos processus de gestion et réduisez vos coûts d administration avec

Plus en détail

WiseGuard. Sommaire. Un livre blanc de Bull Evidian. Un SSO distribué qui s'appuie sur votre infrastructure d'annuaire LDAP. Version 2.

WiseGuard. Sommaire. Un livre blanc de Bull Evidian. Un SSO distribué qui s'appuie sur votre infrastructure d'annuaire LDAP. Version 2. Un livre blanc de Bull Evidian Un SSO distribué qui s'appuie sur votre infrastructure d'annuaire LDAP Version 2.0 Sommaire Petite leçon sur la "Gestion des mots de passe" au restaurant d'entreprise Introduction

Plus en détail

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Solutions d accès sécurisées pour opérer une Market Place Saas multitenante Plan de la présentation Le Saas et les enjeux économiques des services en ligne La notion de shops multi-tenantes dans une market

Plus en détail

Description de la maquette fonctionnelle. Nombre de pages :

Description de la maquette fonctionnelle. Nombre de pages : Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS

Plus en détail

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0

Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Groupe Eyrolles, 2004 ISBN : 2-212-11504-0 Table des matières Avant-propos................................................ 1 Quel est l objectif de cet ouvrage?............................. 4 La structure

Plus en détail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian Les 7 méthodes d authentification les plus utilisées Un livre blanc Evidian Appliquez votre politique d authentification grâce au SSO d entreprise. Par Stéphane Vinsot Chef de produit Version 1.0 Sommaire

Plus en détail

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM

Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM BROCHURE SOLUTIONS Axe de valeur BMC Identity Management, la stratégie d optimisation de la gestion des identités de BMC Software TM L IDENTITE AU COEUR DE VOTRE PERFORMANCE «En tant que responsable informatique,

Plus en détail

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006 Schéma directeur des espaces numériques de travail Annexe AAS Authentification-Autorisation-SSO Version 2.0 SOMMAIRE 1. Introduction... 3 1.1 Contexte... 3 1.2 Objectifs et contenu du document... 4 1.3

Plus en détail

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible les activités en ligne évoluent rapidement... Il y a quelques années, les clients entraient timidement

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

FONCTIONS CLEFS. Gestion documentaire. Chaîne de validation des documents. Espaces de travail collaboratif. Gestion des accès basée sur des rôles

FONCTIONS CLEFS. Gestion documentaire. Chaîne de validation des documents. Espaces de travail collaboratif. Gestion des accès basée sur des rôles Nuxeo Collaborative Portal Server 1 FONCTIONS CLEFS Gestion documentaire Chaîne de validation des documents Espaces de travail collaboratif Gestion des accès basée sur des rôles Sécurité Suivi des versions

Plus en détail

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc

CONNECTIVITÉ. Options de connectivité de Microsoft Dynamics AX. Microsoft Dynamics AX. Livre blanc CONNECTIVITÉ Microsoft Dynamics AX Options de connectivité de Microsoft Dynamics AX Livre blanc Ce document décrit les possibilités offertes par Microsoft Dynamics AX en terme de connectivité et de montée

Plus en détail

C. Configuration des services de transport

C. Configuration des services de transport Page 282 Chapitre 8 Dans la version 2013 d'exchange, les dossiers publics sont devenus un type de boîtes aux lettres et utilisent les mêmes mécanismes de routage que les e-mails. - Le message est destiné

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO Séminaire EOLE Dijon 23/24 novembre 2011 Architecture Envole/EoleSSO Sommaire Présentation du socle Envole EoleSSO : modes de fonctionnement Fédération et gestion des annuaires Accès aux services académiques

Plus en détail

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D.

Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. 2013 Windows Server 2008 Sécurité ADMINISTRATION ET CONFIGURATION DE LA SECURITE OLIVIER D. Table des matières 1 Les architectures sécurisées... 3 2 La PKI : Autorité de certification... 6 3 Installation

Plus en détail

PERSPECTIVES. Projet. Nomadisme : fédérer et protéger les accès Web. Augmenter l efficacité des utilisateurs nomades grâce aux accès Web.

PERSPECTIVES. Projet. Nomadisme : fédérer et protéger les accès Web. Augmenter l efficacité des utilisateurs nomades grâce aux accès Web. PERSPECTIVES Projet Nomadisme : fédérer et protéger les accès Web Augmenter l efficacité des utilisateurs nomades grâce aux accès Web. Mettre en place de nouveaux services par un portail «Corporate» Cas

Plus en détail

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008

Windows Server 2008. Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Windows Server 2008 Chapitre 2: Les roles et fonctionnalités de Windows server 2008 Objectives À la fin de ce module, vous serez capable de : Comprendre les méthodes d installation de Windows Server 2008

Plus en détail

B-COMM. ERP 4 HR Access. Solutions d acquisition des temps de travail pour la gestion des temps et des activités d HR Access

B-COMM. ERP 4 HR Access. Solutions d acquisition des temps de travail pour la gestion des temps et des activités d HR Access B-COMM ERP 4 HR Access Solutions d acquisition des temps de travail pour la gestion des temps et des activités d HR Access HR Access et Kaba un partenariat à fort potentiel Depuis plus de 10 ans, nous

Plus en détail

Intégration d un poste Linux dans un domaine W2K

Intégration d un poste Linux dans un domaine W2K Intégration d un poste Linux dans un domaine W2K Pascal Gachet EIVD pascal.gachet@eivd.ch mai 2003 Intégration d un poste Linux dans un domaine W2K 2 Table des matières Introduction... 2 Terminologie...

Plus en détail

Evolutions des solutions d accès aux mainframes

Evolutions des solutions d accès aux mainframes Evolutions des solutions d accès aux mainframes Web Access 2 Sommaire Table des matières p 2 Essentiel p 3 Introduction p 4 1- Solutions d émulation d accès aux applications mainframe IBM (Emulation 3270)

Plus en détail

FICHE DE PRÉSENTATION TECHNIQUE : CA SiteMinder Avril 2011. CA SiteMinder vous prépare pour l avenir

FICHE DE PRÉSENTATION TECHNIQUE : CA SiteMinder Avril 2011. CA SiteMinder vous prépare pour l avenir FICHE DE PRÉSENTATION TECHNIQUE : CA SiteMinder Avril 2011 CA SiteMinder vous prépare pour l avenir Table des matières Résumé 3 Section 1 : 4 Principes élémentaires de la gestion des accès Web Objectifs

Plus en détail

EJB avancés. Transactions Sécurité Ressources Performances

EJB avancés. Transactions Sécurité Ressources Performances EJB avancés Transactions Sécurité Ressources Performances Les transactions Concept fondamental dans les applications distribuées Indispensable pour une exécution sure des services Difficile à mettre en

Plus en détail

Evidian IAM Access Management

Evidian IAM Access Management Evidian IAM Access Management Un livre blanc Evidian L authentification unique (SSO) la plus rapide à déployer Sommaire Version 1.0 Evidian Enterprise SSO, une solution complète de connexion unique Démarrez

Plus en détail

5 piliers de la gestion des API

5 piliers de la gestion des API 5 piliers de la gestion des API Introduction : Gestion de la nouvelle entreprise ouverte Les nouvelles opportunités de l économie des API Dans tous les secteurs d activité, les frontières de l entreprise

Plus en détail

Sécurisation du réseau

Sécurisation du réseau Sécurisation du réseau La sécurisation du réseau d entreprise est également une étape primordiale à la sécurisation générale de votre infrastructure. Cette partie a pour but de présenter les fonctionnalités

Plus en détail

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés

Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Innovation technologique dans les établissements scolaires : l ENT, les impacts sur l organisation du travail et les risques associés Version destinée aux enseignants qui exercent dans des établissements

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

La haute disponibilité de la CHAINE DE

La haute disponibilité de la CHAINE DE Pare-feu, proxy, antivirus, authentification LDAP & Radius, contrôle d'accès des portails applicatifs La haute disponibilité de la CHAINE DE SECURITE APPLICATIVE 1.1 La chaîne de sécurité applicative est

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

Single Sign-On : Risques & Enjeux

Single Sign-On : Risques & Enjeux Single Sign-On : Risques & Enjeux TAM esso Tivoli Access Manager for Entreprise Single-Sign ON Charles Tostain charles.tostain@fr.ibm.com 13 Agenda Risques & Définition Tivoli Access Manager for E-SSO

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

Exercices Active Directory (Correction)

Exercices Active Directory (Correction) Exercices Active Directory (Correction) Exercice : Scénarios pour l'implémentation de composants logiques AD DS Lire les scénarios suivants et déterminer les composants logiques AD DS à déployer dans chaque

Plus en détail

www.qualios.com QUALIOS le logiciel au service du management et de la qualité Lauréat Prix France Qualité Performance 2014

www.qualios.com QUALIOS le logiciel au service du management et de la qualité Lauréat Prix France Qualité Performance 2014 www.qualios.com QUALIOS le logiciel au service du management et de la qualité Lauréat Prix France Qualité Performance 2014 Certifié ISO9001 depuis 2006 Les portails collaboratifs Les portails sont les

Plus en détail

La sécurité des Réseaux Partie 7 PKI

La sécurité des Réseaux Partie 7 PKI La sécurité des Réseaux Partie 7 PKI Fabrice Theoleyre Enseignement : INSA Lyon / CPE Recherche : Laboratoire CITI / INSA Lyon Références C. Cachat et D. Carella «PKI Open Source», éditions O REILLY Idealx,

Plus en détail

Les serveurs applicatifs et les architectures Java

Les serveurs applicatifs et les architectures Java 03 Lucas Part 02 Page 179 Lundi, 20. août 2001 2:58 14 Chapitre 15 Les serveurs applicatifs et les architectures Java Nous avons vu jusqu ici, dans les chapitres précédents, que les utilisateurs accèdent

Plus en détail

Meilleures pratiques de l authentification:

Meilleures pratiques de l authentification: Meilleures pratiques de l authentification: mettre le contrôle à sa place LIVRE BLANC Avantages d un environnement d authentification totalement fiable : Permet au client de créer son propre token de données

Plus en détail

NFP111 Systèmes et Applications Réparties

NFP111 Systèmes et Applications Réparties NFP111 Systèmes et Applications Réparties 1 de 38 NFP111 Systèmes et Applications Réparties Cours 11 - Les Enterprise Java Beans (Introduction aux Enterprise Claude Duvallet Université du Havre UFR Sciences

Plus en détail

Gestion des identités

Gestion des identités HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet Gestion des identités 17 décembre 2004 Hervé Schauer CISSP, ProCSSI

Plus en détail

Présentation de la société. Aout 2011

Présentation de la société. Aout 2011 Présentation de la société Aout 2011 En quelques mots SonicWALL Inc, (Nasdaq SNWL), est un leader mondial de solutions intelligentes de sécurité des réseaux et de protection de données. Fournisseur de

Plus en détail

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua. SÉCURITÉ POUR LES ENTREPRISES DANS UN MONDE NUAGEUX ET MOBILE Sophia-Antipolis 01/07/2013 Cyril Grosjean cgrosjean@janua.fr 0950 677 462 Cyril Grosjean - Directeur technique de Janua depuis 2004 Expert

Plus en détail

IBM Tivoli Identity Manager

IBM Tivoli Identity Manager Automatise la gestion du cycle de vie des identités IBM Tivoli Identity Manager Points forts Gérer l accès aux systèmes hérités et e-business Un moteur de dimensionnement intégré pour automatiser la Permet

Plus en détail

Vers un nouveau modèle de sécurité

Vers un nouveau modèle de sécurité 1er décembre 2009 GS Days Vers un nouveau modèle de sécurité Gérôme BILLOIS - Manager sécurité gerome.billois@solucom.fr Qui sommes-nous? Solucom est un cabinet indépendant de conseil en management et

Plus en détail

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO) LDAP Mise en place Introduction Limitation et Sécurité Déclarer un serveur MySQL dans l annuaire LDAP Associer un utilisateur DiaClientSQL à son compte Windows (SSO) Créer les collaborateurs DiaClientSQL

Plus en détail

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger L intégration du pare-feu de nouvelle génération dans l environnement Citrix et Terminal Services Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client

Plus en détail

Objectif : Etudier la configuration du contexte d exécution

Objectif : Etudier la configuration du contexte d exécution EJB avancés Objectif : Etudier la configuration du contexte d exécution Sa mise en œuvre implicite Et explicite Transactions Sécurité Timer Récapitulatif Performances Les transactions Concept fondamental

Plus en détail

Conception Exécution Interopérabilité. Déploiement. Conception du service. Définition du SLA. Suivi du service. Réception des mesures

Conception Exécution Interopérabilité. Déploiement. Conception du service. Définition du SLA. Suivi du service. Réception des mesures Software propose une offre d intégration unique, qui apporte l équilibre parfait entre investissements et performances pour les entreprises qui doivent sans cesse améliorer leurs processus. Des caractéristiques

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux Sommaire Concepts du SSO Intégration du SSO dans un projet d IAM Spécifications fonctionnelles et techniques

Plus en détail

REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE

REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE REPUBLIQUE ISLAMIQUE DE MAURITANIE HONNEUR FRATERNITE JUSTICE INSPECTION GENERALE D'ÉTAT TERMES DE REFERENCE POUR LA MISE EN PLACE D UN SYSTEME DE GESTION DES MISSIONS DE L IGE Liste des abréviations IGE

Plus en détail

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0

CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 CONFIGURATION D ADOBE DIGITAL ENTERPRISE PLATFORM DOCUMENT SERVICES - CONNECTOR FOR MICROSOFT SHAREPOINT 10.0 Informations juridiques Informations juridiques Pour les informations juridiques, voir http://help.adobe.com/fr_fr/legalnotices/index.html.

Plus en détail

Solution sécurisée de partage de fichiers dédiée aux Comités de Direction, Conseils d'administration et de Surveillance. www.oodrive.

Solution sécurisée de partage de fichiers dédiée aux Comités de Direction, Conseils d'administration et de Surveillance. www.oodrive. Solution sécurisée de partage de fichiers dédiée aux Comités de Direction, Conseils d'administration et de Surveillance www.oodrive.com Organiser des séances (dates, participants, intervenants, lieux, sujets).

Plus en détail

agility made possible

agility made possible LIVRE BLANC Solution de gestion de la sécurité Web de CA Technologies Février 2012 Sécurisation des architectures informatiques basées sur les services avec CA SiteMinder Web Services Security agility

Plus en détail

Synthèse de son offre logicielle

Synthèse de son offre logicielle Connecting your business Synthèse de son offre logicielle Copyright 2006, toute reproduction ou diffusion non autorisée est interdite STREAM MIND Créateur de produits logiciels innovants dans le traitement

Plus en détail

GOUVERNANCE DES ACCÈS,

GOUVERNANCE DES ACCÈS, GESTION DES IDENTITÉS, GOUVERNANCE DES ACCÈS, ANALYSE DES RISQUES Identity & Access Management L offre IAM de Beta Systems Beta Systems Editeur européen de logiciels, de taille moyenne, et leader sur son

Plus en détail