Liberty Alliance pour FederID. Pierre Cros

Dimension: px
Commencer à balayer dès la page:

Download "Liberty Alliance pour FederID. Pierre Cros "

Transcription

1

2 Liberty Alliance pour FederID Pierre Cros

3 Formateurs Pierre Cros Frédéric Péters

4 Pourquoi Entr'ouvert a choisi Liberty Alliance Consultance en transparence et en démocratie Chantiers potentiellement liberticides Solutions de vote (besoin d'anonymat, éviter l'identifiant unique) Carte de Vie Quotidienne Nécessité de trouver une solution d'authentification forte respectant la vie privée

5 Pourquoi utiliser Liberty Alliance? Standard ouvert Aujourd'hui en production Sécurité et confidentialité Contrôle de l'utilisateur Certification assurant une compatibilité réelle Utilisé par l'administration française (ADAÉ) et recommandé par l'ue Gestion des aspects politiques et organisationnels

6 Standards concurrents : WS-* WS-Federation, WS-Security, WS-Trust, WSMetadataExchange (Microsoft, IBM, Verisign) Centré sur l'entreprise, b2b, b2e Utilisation de la confidentialité optionnelle. Relativement récent et peu déployé CardSpace (InfoCard)

7

8 Standards concurrents : Shibboleth Internet2 Spécifications et produit J2EE Licence Apache 2.0 Compatible SAML 2.0 Déploiements essentiellement universitaires (CRU)

9 Standards concurrents : OpenID Protocole de fédération simple et clair Pas de certification ou de big player Communauté peu étendue Pas de compatibilité SAML 2.0 Yadis = Discovery Service

10 Standards concurrents : LID Light-Weight Identity Pas de fournisseur d'identité Identité juste définie par une URL (CGI scriptable) Protocole de base (MinimumLID) + nombreux profils Communauté restreinte Pas de compatibilité SAML 2.0 Yadis = Discovery Service

11 Panorama des standards concurrents

12 Principales solutions Liberty Alliance Sun : Access Manager, Federation Manager Oracle : Identity Management Hewlett-Packard : OpenView Select Federation IBM : Tivoli Access Manager Novell : Novell Access Manager NTT : i-dlive

13 Solutions LA ouvertes : OpenSSO Sun (Access Manager) J2EE Petite communauté Common Development and Distribution Licence, non compatible GPL

14 Solutions LA ouvertes : Higgins Eclipse Trust Framework Novell, IBM J2EE Licence libre EPL, non compatible GPL CardSpace Liberty Alliance Bandit : WS-* + LA

15 Solutions LA ouvertes : SourceID Ping Identity J2EE Licence? Ping Federate, IdP propriétaire

16 Solutions LA ouvertes : ZXID Symlabs Plusieurs bibliothèques en C Différence avec Federated Identity Access Manager? Licence Apache 2.0 Code semblant difficile à exploiter

17 Solutions LA ouvertes : Lasso Lasso, Larpe, Authentic Les seuls en GPL

18 Le consortium Dirigé par Sun Regroupe les principaux acteurs à l'exception de Microsoft Forte présence des opérateurs de télécom En France : France Télécom, Caisse des Dépôts et Consignations, l'adaé (DGME)... Entr'ouvert!

19 Types d'utilisateur Early adopters Utilisateurs pragmatiques Ceux qui n'ont pas le choix

20 Glossaire Liberty Alliance Fournisseur de Service (SP) Fournisseur d'identité (IdP) Cercle de confiance (CoT) Assertion Identifiant Unique (NameIdentifier) Single Sign On Single Logout Fédération - Défédération

21 Trois types d'acteurs l'utilisateur : personne physique ou morale qui peut acquérir une identité (principal) ; le fournisseur d'identité (IdP) : crée, et gère l'identité des utilisateurs, et les authentifie auprès des fournisseurs de service ; le fournisseur de services (SP) : fournit des services aux utilisateurs une fois qu'ils sont authentifiés par un fournisseur d'identité.

22 Réseau d'identités Identités réparties sur plusieurs fournisseurs Difficulté de gérer plusieurs comptes

23 Fédération d'identités

24 Cercle de confiance

25 Le Single Sign On Utilisateurs : Gérer une seule identité Fournisseur d'identité : Gérer les identités de l'utilisateur et la communiquer aux SP Fournisseurs de Service : faire confiance à ce Fournisseur d'identité

26

27

28

29

30

31 Single Sign On Requête diffusée (du SP vers l'idp) par Redirect (taille limitée) POST Réponse (de l'idp vers le SP) POST Artifact (réponse complète échangée en SOAP)

32 Plusieurs cercles, indépendants

33 Certains services reliés

34 Encore plus de services reliés

35 Liaison par les IdP

36 Les metadata Fichier XML indispensable pour chaque SP et IdP Identifiant du Fournisseur Points d'entrée pour accéder à ses services Liberty Alliance Méthodes supportées par services SSO (POST, SOAP, Redirect...)

37 La sécurité dans Liberty Alliance Couche transport (https) Couche message (certificats signés, validation de la source) Couche application (Assertion, pas d'identification unique en circulation)

38 Les différents frameworks ID-FF, protocole de base ID-WSF, partage d'attributs SAML 2.0

39 ID-FF : plateforme de fédération d'identité Single Sign On / Single Logout Fédération / Déféderation Name registration Identity Provider Introduction

40 ID-WSF : plateforme de partage d'attributs Partage d'informations (attributs) concernant l'utilisateur Discovery Service DST (Data Service Template) Interaction Service

41 SAML 2.0 Norme OASIS Convergence Shibboleth et Liberty Alliance ID-WSF 2.0 s'appuiera sur SAML 2.0 Standrd générique

42 Obstacles à Liberty Pas de solutions libres Implémentation de référence par Sun mais uniquement 1.0 SourceID, accès au source mais liberté «variable» Solutions existantes Intégration difficile, très peu de flexibilité

43 Lasso

44 Développement de Lasso Prototype en Python (juillet 2003) Réimplémentation en C (février 2004)

45 Caractéristiques fonctionnelles Bibliothèque Pas de couche stockage Pas d'obligation de base de données, de schéma de tables particuliers, etc. Pas de couche transport Algorithmes spécifiés par Liberty Utilisation de celles de l'applicatif Pas de couche authentification Du ressort de l'applicatif

46 Caractéristiques techniques Bibliothèque écrite en C Rapide Compatible avec un maximum de langages Utilisation de SWIG pour ces bindings Java, Perl, PHP, Python... Seulement quelques jours pour porter vers un nouveau langage Multi-plateforme Testée sous GNU/Linux, FreeBSD, Mac OS X et Microsoft Windows

47 Bibliothèques S'appuie sur des bibliothèques courantes, écrites en C et libres : GLib et Gobject: portabilité, listes, dictionnaires, structures objet en C libxml2: traitement XML XMLSec: XML Signature, XML Encryption OpenSSL: crypto

48 Interopérabilité Certifiée par le consortium LA en mai 2005 Conformance permettant de tester réellement l'interopérabilité

49 Licence Licence GNU GPL Copyright exclusif Entr'ouvert Donc: Utilisation possible dans les applications ayant une licence compatible avec la GPL Utilisation possible dès lors que l'application n'est pas distribuée Autre cas? licence payante, nous consulter

50 Performances (1) 93% du temps passé dans OpenSSL Énormes gains possibles avec processeurs dédiés mais un petit Opteron (1,6GHz) assure déjà 170 requêtes/secondes

51 Performances (2)

52 Contrôle qualité

53 Développement Public Liste : Bug tracking :

54 IdP basé sur Lasso : Authentic Compatibilité Liberty Alliance : support des protocoles ID-FF 1.2, ID-WSF et SAML 2.0 (en cours). Support de bases d'utilisateurs variées : LDAP V3 (Active Directory), Postgresql, MySQL. Proxy Partage d'attributs Génération et échange de metadata Performant Interface graphique soignée

55 Authentic

56 Fournisseur d'attributs : Candle Partage d'attributs ID-WSF 1.0 Édition de ses informations personnelles Activation et désactivation du partage Application de test

57 Fournisseur de service : Unwind Récupère les attributs depuis Candle et les affiche Demande le consentement de l'utilisateur pour certaines données. Application de test rudimentaire

58 Larpe Liberty Alliance Reverse-Proxy Entr'ouvert Permet l'intégration en quelques heures d'un fournisseur de service sans avoir à modifier le site libertysé Intégration plus rapide mais plus superficielle Version 0.1

59 Applications Adeline, pour une interconnexion sans couture des services d'e-administration locaux et nationaux Services de vie quotidienne, bouquet de services à destinations des communes et des collectivités locales (formulaires, consultations, télépaiement)

60 Futur Compatibilité SAML 2.0 et ID-WSF 2.0 Développement d'authentic Intégration dans un maximum d'applications libres SPIP, WordPress, webcalendar, mailman, sympa, etc. Compatibilité Shibboleth (universités), WS-*?

61 Configuration, compilation et installation

62 Récupération des sources Sources CVS scmcvs/cvsweb.php/lasso/?cvsroot=lasso

63 Dépendances GLib, diverses structures de données, libxml2, XML et XPath, xmlsec, xml-dsig, signature numérique W3C, OpenSSL, (dé-)chiffrement, swig, interfaçage vers autres langages,

64 Configuration./configure Bindings activés automatiquement mais : Java : --disable-java Python : --disable-python PHP : --disable-php Perl : --disable-perl ID-WSF : --enable-wsf

65 Compilation, installation make make install

66 Version CVS dépendances supplémentaires automake (1.8) autoconf libtool export labs.libre-entreprise.org:/cvsroot/lasso cvs login cvs checkout lasso

67 Patchs Un fichier : patch fichier-source < fichier.diff Une arborescence : patch -p1 -s -N -E -d lasso < fichier.diff

68 Tests Tests unitaires Tests en C disponibles dans toutes les versions Tests Java disponibles dans la version CVS Dépendance sur le package JUnit Application de test : souk utilisée pour l'événement «conformance» Liberty ID-FF 1.2

69 Documentation et interface Java java/ Documentation sur l'api C dans les sources : docs/reference/html/index.html Convention de nommage sur les attributs C: ProviderID, NameIdentifier Java, Python, etc: providerid, nameidentifier swig/lasso.i Prérequis : connaissance de Swig

70 Applications Liberty/Lasso existantes Souk Fournisseurs d'identités : Authentic Fournisseurs de services : propres : wcs, candle, unwind, etc. adaptés : egroupware, dotclear, spip, etc.

71 Configuration serveur Liberty Configuration Web : SSL SSLCertificateFile certificate.pem SSLCertificateKeyFile private-key.pem SSLCACertificateFile ca-certificates-chain.pem Configuration Liberty metadata Fichier XML clés publiques, clés privées, certificats

72 Metadata Schéma disponible dans les spécifications liberty-metadata-v1.0.xsd Description du serveur Description fournisseur de service <SPDescriptor/> Description fournisseur d'identités <IDPDescriptor/> Description de l'organisme

73 Développement Lasso

74 Nomenclature (1/5) Base en C : server = lasso_server_new( "sp-metadata.xml", "privatekey.pem", NULL, NULL); lasso_server_add_provider( server, LASSO_PROVIDER_ROLE_IDP, "idp-metadata.xml", "publickey.pem", NULL);

75 Nomenclature (2/5) Java : import com.entrouvert.lasso.*; server = new Server( "sp-metadata.xml", "privatekey.pem", null, null); server.addprovider( lasso.provider_role_idp, "idp-metadata.xml", "publickey.pem", null);

76 Nomenclature (3/5) Python : import lasso server = lasso.server( "sp-metadata.xml", "privatekey.pem", None, None); server.addprovider( lasso.provider_role_idp, "idp-metadata.xml", "publickey.pem", None);

77 Nomenclature (4/5) PHP : lasso_init(); $server = new LassoServer( "sp-metadata.xml", "privatekey.pem", NULL, NULL); $server->addprovider( LASSO_PROVIDER_ROLE_IDP, "idp-metadata.xml", "publickey.pem", NULL);

78 Nomenclature (5/5) Perl : use lasso; $server = lasso::server->new( "sp-metadata.xml", "privatekey.pem", undef, undef); $server->addprovider( $lasso::provider_role_idp, "idp-metadata.xml", "publickey.pem", undef);

79 Objets de base (1/6) Provider, un fournisseur Liberty (SP comme IdP) Server, le fournisseur développé Attributs : providerid metadata_filename Server : providers addprovider(...)

80 Objets de base (2/6) Profile, les différents profils Liberty Login, pour le SSO Logout, pour la déconnexion Defederation, pour la terminaison de fédération NameRegistration, pour le changement de Name Identifier NameIdentifierMapping, pour la correspondance entre Name Identifiers Lecp, pour les clients Liberty

81 Objets de base (3/6) Attributs communs : msgurl, msgbody, msgrelaystate session, issessiondirty identity, isidentitydirty request response nameidentifier

82 Objets de base (4/6) Identity is_dirty providerids[]

83 Objets de base (5/6) Session is_dirty providerids[] assertions[]

84 Objets de base (6/6) Objets de bas niveau requêtes et réponses SAML et Liberty Généralement accédés via profile.getrequest() Exemple : LibAuthnRequest authnrequest; authnrequest = (LibAuthnRequest)login.getRequest(); authnrequest.setprotocolprofile(protocolprofile);

85 Sérialisation Au format XML Objets Server profils : Login, Logout, Defederation, etc. Identity Session dump et newfromdump server.dump() & Server.newFromDump("...") Enregistrement en base de données du ressort de l'application

86 Créer un objet Server java/server.java server = new Server("metadata.xml", "sign-private-key.pem", "private-key-password", null); String dump = server.dump(); server = lasso.server.newfromdump(dump);

87 Sérialisation serveur lasso server dump : <lasso:server xmlns:lasso="..." ProviderID="https://idp/metadata" ProviderDumpVersion="2" ServerDumpVersion="2" SignatureMethod="RSA_SHA1"> <lasso:metadatafilepath>metadata.xml</lasso:metad atafilepath> <lasso:privatekeyfilepath>sp-sign-privatekey.pem</lasso:privatekeyfilepath> <lasso:certificatefilepath>sp-signcertificate.pem</lasso:certificatefilepath> </lasso:server>

88 Ajouter des fournisseurs server.addprovider(lasso.provider_role_idp, "idp-metadata.xml", "sign-public-key.pem", null); server.addprovider(lasso.provider_role_sp, "sp-metadata.xml", "sign-public-key.pem", null);

89 ID-FF Identity Federation Framework

90 Web SSO

91

92

93

94

95

96 Requête : AuthnRequest NameIDPolicy ForceAuthn IsPassive consent RelayState Extension <lib:authnrequest xmlns:lib="urn:liberty:id-ff: " RequestID="RPCUk2ll+GVz+t1lLURp51oFvJXk" MajorVersion="1" MinorVersion="2" consent="urn:liberty:consent:obtained" IssueInstant=" T21:42:4Z"> <ds:signature>... </ds:signature> <lib:providerid>http://service.com</lib:providerid> <lib:nameidpolicy>federated</lib:nameidpolicy> <lib:forceauthn>false</lib:forceauthn> <lib:ispassive>false</lib:ispassive> <lib:protocolprofile> </lib:protocolprofile> <lib:requestauthncontext> <lib:authncontextclassref> </lib:authncontextclassref> <lib:authncontextcomparison>exact </lib:authncontextcomparison> </lib:requestauthncontext> <lib:relaystate>r0lgofqxds8b</lib:relaystate> </lib:authnrequest>

97 NameIDPolicy Les règles sur l'identifiant de fédération Liberty «One-time» Une assertion d'authentification pour la durée de la session utilisateur «Federated» Une assertion d'authentification pour la durée de la session utilisateur et un identifiant de fédération. Nécessite le consentement de l'utilisateur attestant bien qu'il a été informé de la fédération à établir et qu'il a accepté.

98 ForceAuthn Authentification forcée Le fournisseur de service demande à forcer la réauthentification de l'utilisateur Interaction utilisateur si nécessaire Exemple : niveau d'authentification plus élevé

99 IsPassive Mode d'authentification passif Demande l'authentification utilisateur sans interaction avec l'idp Récupère une assertion

100 AuthnContext Contexte d'authentification Le fournisseur de service impose des règles a propos de la méthode d'authentification à utiliser

101 Réponse : AuthnResponse Status Assertion SAML en autorise plusieurs mais Liberty n'en utilise jamais qu'une RelayState Extension

102 Bindings possibles POST Artifact GET POST

103 Cas du SSO initié par l'idp pas de AuthnRequest envoyé par un SP structure néanmoins présente pour le paramétrage généralement pas d'authentification à demander à l'utilisateur vu qu'il doit être identifié pour que l'option lui soit proposée pareil pour le consentement donc pas de login.dump()

104 Sérialisations nécessaires sur l'idp Identité et session à restaurer au début de la procédure à stocker en cas de fédération après l'appel à buildartifactmsg ou après l'appelà buildauthnresponsemsg Artifact stocké après l'appel à buildartifactmsg

105 Contenu des tables Identités : informations diverses dump identity lasso Sessions : dump session lasso éventuellement, liste de name identifiers Artifacts : valeur de l'artifact pointeur vers la session ProviderID

106 Sérialisations nécessaires sur le SP Identité : à stocker ou restaurer après acceptsso() indexée sur le nameidentifier Session : à stocker après l'acceptsso à restaurer dans les autres profils

107 Contenu des tables Identités : dump identity lasso éventuellement liste de name identifiers Sessions : dump session lasso éventuellement liste de name identifiers

108 Implémentation (1/4) Le fournisseur de service initie le SSO : Login login = new Login(spServer); login.initauthnrequest(remoteproviderid, httpmethod); LibAuthnRequest authnrequest; authnrequest = (LibAuthnRequest)login.getRequest(); authnrequest.setprotocolprofile(protocolprofile); authnrequest.setnameidpolicy(nameidpolicy); authnrequest.setconsent(consent); login.buildauthnrequestmsg();

109 Implémentation (2/4) Le fournisseur d'identités traite la requête SSO : Login login = new Login(idpServer); login.processauthnrequestmsg(message); login.mustauthenticate(isalreadyathenticated); login.setsession(idpsession); login.setidentity(idpidentity); login.validaterequestmsg(isauthenticated, consentobtained); login.buildartifactmsg(httpmethod);

110 Implémentation (3/4) Le fournisseur de service demande l'assertion par SOAP : login = new Login(spServer); login.initrequest(artifact); login.buildrequestmsg(); // Envoi et réception de la requête SOAP soapresponsemsg =...; login.processresponsemsg(soapresponsemessage);

111 Implémentation (4/4) Le fournisseur d'identités traite la demande SOAP : lasso.getrequesttypefromsoapmsg(soaprequestmsg); // == lasso.request_type_login login = new Login(idpLassoServer); login.processrequestmsg(soaprequestmsg); login.setsession(idpsession); login.buildresponsemsg(idpremoteproviderid);

112 POST

113 SSO par POST Assertion retournée dans la réponse Liberty Réponse envoyée dans un formulaire AuthnResponse encodée en base64 <html> <body onload="document.forms[0].submit()"> <form action="https://...>" method="post"> <input type="hidden" name="lares" value="xxx..." > </form> </body> </html>

114 Déconnexion Liberty (SLO)

115 Requête : LogoutRequest ProviderID NameIdentifier SessionIndex RelayState consent NotOnOrAfter

116 Réponse : LogoutResponse Extension ProviderID Status RelayState

117 Bindings possibles HTTP-Redirect HTTP-GET Dangereux, facile à perdre uniquement côté IdP SOAP

118 Sérialisations nécessaires Identité : à restaurer au début de la procédure Session : à restaurer au début de la procédure à supprimer : SOAP : avant les appels aux SP Redirect : dans le SingleLogoutReturn

119 Implémentation (1/6) SLO initié depuis un fournisseur de service : Logout logout = new Logout(server); logout.setidentity(spidentity); logout.setsession(spsession); logout.initrequest(remoteproviderid, httpmethod); logout.builtrequestmsg();

120 Implémentation (2/6) Le fournisseur d'identités traite la requête : Logout idplogout = new Logout(idpLassoServer); idplogout.processrequestmsg(message); String nameidentifier = idplogout.getnameidentifier().getcontent(); idplogout.setidentity(idpidentity); idplogout.setsession(idpsession); String remoteproviderid = idplogout.getnextproviderid(); idplogout.validaterequest(); idplogout.buildresponsemsg();

121 Implémentation (3/6) Le fournisseur de service traite la réponse : logout.processresponsemsg(message);

122 Implémentation (4/6) SLO initié depuis un fournisseur d'identités : Logout logout = new Logout(idpLassoServer); logout.setidentity(idpidentity); logout.setsession(idpsession); String nextproviderid = idplogout.getnextproviderid(); logout.initrequest(nextproviderid, httpmethod); logout.buildrequestmsg();

123 Implémentation (5/6) Le fournisseur de service traite la requête : Logout logout = new Logout(idpServer); logout.processrequestmsg(requestmessage); String nameidentifier = logout.getnameidentifier().getcontent(); logout.setidentity(spidentity); logout.setsession(spsession); logout.validaterequest(); spidentity = logout.getidentity(); spsession = logout.getsession(); logout.buildresponsemsg();

124 Implémentation (6/6) Le fournisseur d'identités traite la réponse : logout = new Logout(idpServer); logout.processresponsemsg(responsemessage);

125 Terminaison de fédération Liberty (FedTerm)

126 Notification : Federation TerminationNotification ProviderID NameIdentifier consent RelayState Extension

127 Bindings possibles HTTP-Redirect SOAP Juste une notification Code HTTP de retour : 204, pas 200

128 Sérialisations nécessaires Identité et session à restaurer au début de la procédure à stocker après l'appel à validatenotification Attention, l'identité peut être nulle

129 Implémentation (1/4) FedTerm initié depuis un fournisseur de service : Defederation fedterm = new Defederation(server); fedterm.setidentityfromdump(identitydump); fedterm.initnotification(remoteproviderid, httpmethod); fedterm.buildnotificationmsg();

130 Implémentation (2/4) Le fournisseur d'identités traite la requête : Defederation fedterm = new Defederation(server); fedterm.setidentityfromdump(identitydump); fedterm.processnotificationmsg(requestmessage);

131 Implémentation (3/4) FedTerm initié depuis un fournisseur d'identités : Defederation idpfedterm = new Defederation(idpServer); idpfedterm.setidentity(idpidentity); idpfedterm.initnotification(remoteproviderid, httpmethod); idpfedterm.buildnotificationmsg();

132 Implémentation (4/4) Le fournisseur de service traite la requête : Defederation spfedterm = new Defederation(spServer); spfedterm.setidentity(spidentity); spfedterm.processnotificationmsg(requestmessage);

133 Changement d'identifiant de fédération NameRegistration

134 Requête : Register NameIdentifierRequest ProviderID IDPProvidedNameIdentifier SPProvidedNameIdentifier OldProvidedNameIdentifier RelayState Extension

135 Réponse : Register NameIdentifierResponse Extension ProviderID Status RelayState

136 Bindings possibles HTTP-Redirect SOAP

137 Sérialisations nécessaires Identité à restaurer au début de la procédure à sauvegarder sur l'initiateur : après validaterequest() sur le receveur : après processresposemsg() La session n'est pas touchée car les name identifiers dans les assertions sont laissés tels quels.

138 Implémentation (1/6) RNI initié depuis un fournisseur de service : NameRegistration sprni = new NameRegistration(spLassoServer); sprni.setidentity(spidentity); sprni.initrequest(remoteproviderid, httpmethod); sprni.buildrequestmsg();

139 Implémentation (2/6) Le fournisseur d'identité traite la requête : NameRegistration idprni = new NameRegistration(idpLassoServer); idprni.processrequestmsg(message); String nameidentifier = idprni.getnameidentifier().getcontent(); String oldnameidentifier = idprni.getoldnameidentifier().getcontent(); idprni.setidentity(idpidentity); idprni.validaterequest(); idprni.buildresponsemsg();

140 Implémentation (3/6) Le fournisseur de service traite la réponse : sprni.processresponsemsg(message);

141 Implémentation (4/6) RNI initié depuis un fournisseur d'identité : NameRegistration idprni = new NameRegistration(idpLassoServer); idprni.setidentity(idpidentity); idprni.initrequest(remoteproviderid, httpmethod); idprni.buildrequestmsg();

142 Implémentation (5/6) Le fournisseur de service traite la requête : NameRegistration sprni = new NameRegistration(spServer); sprni.processrequestmsg(message); String nameidentifier = sprni.getnameidentifier().getcontent(); String oldnameidentifier = sprni.getoldnameidentifier().getcontent(); sprni.setidentity(spidentity); sprni.validaterequest(); sprni.buildresponsemsg();

143 Implémentation (6/6) Le fournisseur d'identités traite la réponse : idprni.processresponsemsg(message);

144 Identity Provider Introduction spécification pour un cas particulier IdP et SP ans un sous-domain commun cookie _liberty_idp positionné par l'idp obtenu par le SP

145 Name Identifier Mapping Profil Liberty optionnel

146 Requête : NameIdentifier MappingRequest ProviderID NameIdentifier TargetNamespace consent Extension

147 Réponse : NameIdentifier MappingResponse ProviderID Status NameIdentifier Extension

148 Binding possible SOAP

149 ID-WSF Identity Web Services Framework

150 Support dans Lasso API/ABI non considérées stables mais inchangées depuis longtemps pas compilé par défaut --enable-wsf

151 Différents services Discovery Service Data Service (Template) Personal Profile Employee Profile + (contexte mobile) Authentication Service Interaction Service

152 Différents services

153 Discovery Service Permet d'annoncer les services L'adresse du discovery service est mentionnée dans l'assertion Les serveurs proposant des services s'y annoncent

154 Sérialisations nécesaires Identité : un resource_id idéalement pas l'identifiant local un entry_id

155 Implémentation (1/4) Création d'un objet DiscoServiceInstance instance = lasso.discoserviceinstance( lasso.pp_href, providerid, lasso.discodescription_... newwithbriefsoaphttpdescription( lasso.security_mech_null, soapendpoint))

156 Implémentation (2/4) Création d'un objet DiscoResourceOffering resource_offering = lasso.discoresourceoffering(instance) resource_offering.resourceid = \ lasso.discoresourceid(user_resource_id) resource_offering.abstract = "Personal details about the user"

157 Implémentation (3/4) Annoncer la disponibilité à l'idp disco = lasso.discovery(server) disco.initinsert(resource_offering) disco.buildrequestmsg() // envoi SOAP disco.processmodifyresponsemsg(response) user.entry_id = disco.response.newentryids

158 Implémentation (4/4) Supprimer une annonce disco = lasso.discovery(server) disco.setidentityfromdump(...) disco.setsessionfromdump(...) disco.initremove(user.entry_id) disco.buildrequestmsg() // envoi SOAP disco.processmodifyresponsemsg(response)

159 Data Service Définition d'un squelette pour le partage d'attributs Implémenté dans deux services spécifiés : ID-SIS PP ID-SIS EP principalement la définition d'un schéma de donnée

160 Personal Profile Noms, prénoms, adresses, informations de contact, etc. /pp:pp/pp:informalname /pp:pp/pp:addresscard/pp:address/pp:postalc ode...

161 Employee Profile Informations relatives à la place de l'employé dans l'entreprise (+ diverses infos sur l'enterprise même) /ep:ep/ep:employeeid /ep:ep/ep:manageremployeeid /ep:ep/ep:corplegalentity/ep:vat/ep:idvalue

162 Implémentation (1/3) Recherche du service disco = lasso.discovery(server) disco.setsessionfromdump(...) disco.initquery(none) disco.addrequestedservicetype(lasso.pp_href, None) disco.buildrequestmsg() # soap call disco.processresponsemsg(response) service = disco.getservice()

163 Implémentation (2/3) Demande de l'information service.initquery('/pp:pp/pp:informalname', 'name', None) # des service.addqueryitem(...) service.buildrequestmsg() # soap call service.processqueryresponsemsg(response) #!! lasso.soap_fault_redirect_response name = service.getanswer('/pp:pp/pp:informalname') # -> name: <InformalName>...</InformalName>

164 Implémentation (3/3) Cas du redirect redirect_url = service.getredirectrequesturl() return_url = 'XXX' redirect( redirect_url + '?ReturnURL=' % ( urllib.quote(return_url)))

165 Implémentation (1/1) Traitement côté fournisseur d'attributs service = lasso.dataservice(server) service.processrequestmsg(message) # récup identité sur base de service.resourceid service.resourcedata =... service.buildresponsemsg()

166

Implémentation libre de Liberty Alliance. Frédéric Péters

Implémentation libre de Liberty Alliance. Frédéric Péters <fpeters@entrouvert.com> Lasso Implémentation libre de Liberty Alliance Frédéric Péters Vandœuvre Projet «carte de vie quotidienne» de l'adae Carte démocr@tics Standards PKCS11/15, X.509, etc. Respect

Plus en détail

Pr@tic, plate-forme de téléservices communaux à authentification unique

Pr@tic, plate-forme de téléservices communaux à authentification unique Pr@tic, plate-forme de téléservices communaux à authentification unique Maurice De Bosscher Frédéric Péters Solutions Linux, 16 mars 2010 Cre@tic Un service du Centre de Gestion du Nord (CDG59) dédié à

Plus en détail

mikael.ates@univ st etienne.fr

mikael.ates@univ st etienne.fr 2008 mikael.ates@univ st etienne.fr Sommaire Présentation générale Standards et état de l'art Logiciels et licences Cas d'usage Interopérabilité A venir dans FederID et Avenir de FederID 2 Contexte La

Plus en détail

Formation SSO / Fédération

Formation SSO / Fédération Formation SSO / Fédération CYRIL GROSJEAN (cgrosjean@janua.fr) CONSULTANT JANUA Agenda Objectifs du SSO Terminologie, acronymes et protocoles Présentation d'architectures de SSO Présentation d'architectures

Plus en détail

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM LemonLDAP::NG / SAML2 Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA) WWW.LINAGORA.COM 16, 17 et 18 MARS 2010 SOMMAIRE Définition du WebSSO Présentation de LemonLDAP::NG SAML2 et

Plus en détail

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010

Support de SAML2 dans LemonLDAP::NG. Clément OUDOT. Mercredi 7 juillet 2010 Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010 SOMMAIRE Enjeux et usages du SSO Présentation de LemonLDAP::NG SAML2 et la fédération d'identités Support SAML2 dans LemonLDAP::NG

Plus en détail

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités

Plus en détail

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO Page 1 Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2 Introduction

Plus en détail

Authentification et contrôle d'accès dans les applications web

Authentification et contrôle d'accès dans les applications web Authentification et contrôle d'accès dans les applications web Quelques Rappels Objectifs : contrôler que seulement Certains utilisateurs Exécutent certaines opérations Sur certains objets Trois entités

Plus en détail

Clément OUDOT LINAGORA

Clément OUDOT LINAGORA Clément OUDOT LINAGORA Sommaire Gestion et Fédération des identités Le projet FederID ANR InterLDAP Le logiciel FederID La gestion des identités Une personne (identité physique) possède une ou plusieurs

Plus en détail

SAML et services hors web

SAML et services hors web SAML et services hors web SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne

Plus en détail

Shibboleth sur REAUMUR

Shibboleth sur REAUMUR REAUMUR / ACO TIC/PRES Université de Bordeaux Shibboleth sur REAUMUR Journée Fédération du CRU Paris, 25 Janvier 2007 Laurent FACQ - facq@u-bordeaux.fr www.reaumur.net REseau Aquitain des Utilisateurs

Plus en détail

Architectures de fédération d'identités et interopérabilité

Architectures de fédération d'identités et interopérabilité Architectures de fédération d'identités et interopérabilité Mikaël Ates mikael.ates@univ-st-etienne.fr Christophe Gravier christophe.gravier@univ-st-etienne.fr Jeremy Lardon jeremy.lardon@univ-st-etienne.fr

Plus en détail

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam

Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam Evolutions de la fédération du CRU : attributs, ergonomie, interopérabilité, relation avec eduroam 26/01/2007 lieu de presentation 1 Attributs Exportation des attributs et réglementation CNIL Problématique

Plus en détail

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Guide Share France. Web Single Sign On. Panorama des solutions SSO Web Single Sign On Panorama des solutions SSO Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre

Plus en détail

Présentation générale des Web Services

Présentation générale des Web Services Présentation générale des Web Services Vue Globale Type d'architecture reposant sur les standards de l'internet Alternative aux architectures classiques : Client/serveur n/tiers Orientée services permettant

Plus en détail

Tour d horizon des différents SSO disponibles

Tour d horizon des différents SSO disponibles Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire

Plus en détail

La vie privée dans les environnements fédérés

La vie privée dans les environnements fédérés La vie privée dans les environnements fédérés Kheira BEKARA, Maryline LAURENT Institut Télécom, Télécom SudParis, SAMOVAR UMR 5157, 9 rue Charles Fourier, 91011 Evry, France Cet article présente la problématique

Plus en détail

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014 25/09/2014 1 RENATER Opérateur du réseau enseignement et recherche Sécurité Le CERT RENATER Animation réseau des

Plus en détail

ENVOLE 1.5. Calendrier Envole

ENVOLE 1.5. Calendrier Envole ENVOLE 1.5 Calendrier Envole RSA FIM 1 avril 2008 V 1.13 sur EOLE V 2.0 1 septembre 2008 EOLE V 2.1 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC Prise

Plus en détail

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

Plus en détail

WebSSO, synchronisation et contrôle des accès via LDAP

WebSSO, synchronisation et contrôle des accès via LDAP 31 mars, 1er et 2 avril 2009 WebSSO, synchronisation et contrôle des accès via LDAP Clément Oudot Thomas Chemineau Sommaire général Synchronisation d'identités WebSSO et contrôle des accès Démonstration

Plus en détail

Service d'authentification LDAP et SSO avec CAS

Service d'authentification LDAP et SSO avec CAS Service d'authentification LDAP et SSO avec CAS Clé de l'extension : ig_ldap_sso_auth 2006-2007, Michaël Gagnon, Ce document est publié sous la licence open source, disponible au

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Spécifications fonctionnelles et

Plus en détail

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011

Authentification avec CAS sous PRONOTE.net 2011. Version du lundi 19 septembre 2011 1 Authentification avec CAS sous PRONOTE.net 2011 Version du lundi 19 septembre 2011 2 1 - Vocabulaire employé et documentation... 3 1.1 - SSO (Single Sign-On)... 3 1.2 - CAS (Central Authentication Service)...

Plus en détail

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin

RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS. Roland Dirlewanger CNRS Délégation Aquitaine-Limousin RETOUR D'EXPERIENCE : SHIBBOLISER DES APPLICATIONS Roland Dirlewanger CNRS Délégation Aquitaine-Limousin P. 201 SOMMAIRE Les prérequis Adapter une application existante : Cas d'une application locale :

Plus en détail

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012

Responsable du cours : Héla Hachicha. Année Universitaire : 2011-2012 Chapitre 4- WS-Security Responsable du cours : Héla Hachicha Année Universitaire : 2011-2012 1 WS-Security (Microsoft) WS-Security est le standard proposé par IBM, Microsoft, VeriSign et Forum Systems

Plus en détail

Mémoire de fin d'études

Mémoire de fin d'études Institut de la Francophonie pour Informatique Institut National des Télécommunications Mémoire de fin d'études Support de sources d'authentification multiples dans un portail de travail DANG Quang Vu Responsable

Plus en détail

Support de sources d'authentification multiples dans un portail de travail collaboratif

Support de sources d'authentification multiples dans un portail de travail collaboratif Institut de la Francophonie pour Informatique Institut National des Télécommunications Mémoire de fin d'études Support de sources d'authentification multiples dans un portail de travail collaboratif DANG

Plus en détail

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO

Séminaire EOLE Dijon 23/24 novembre 2011. Architecture Envole/EoleSSO Séminaire EOLE Dijon 23/24 novembre 2011 Architecture Envole/EoleSSO Sommaire Présentation du socle Envole EoleSSO : modes de fonctionnement Fédération et gestion des annuaires Accès aux services académiques

Plus en détail

Kit d'intégration FAS+

Kit d'intégration FAS+ Guide d'intégration de l'application IAM - Annexe Kit d'intégration FAS+ Date 24/08/2012 Version 3.0 TABLE DES MATIÈRES 1 Introduction...3 2 Kit d'intégration FAS+...3 2.1 Pages JSP...4 2.2 Classes Java...7

Plus en détail

Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) JOSY «Authentification Centralisée» Paris, 6 mai 2010 Single Sign-On open source avec CAS (Central Authentication Service) Julien Marchal Consortium ESUP-Portail SSO open source avec CAS Introduction Pourquoi

Plus en détail

Les technologies de gestion de l identité

Les technologies de gestion de l identité Commission Identité Numérique Groupe de travail Gestion des identités Les technologies de gestion de l identité ATELIER 1 Paul TREVITHICK, CEO de Parity Responsable projet Higgins Président Fondation Infocard

Plus en détail

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010. 5 mai 2010 1

Shibboleth. David Verdin - JOSY Authentification centralisée pour les applications web - Paris - 4 février 2010. 5 mai 2010 1 Shibboleth David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février 2010 5 mai 2010 1 Plan de l'exposé Position du problème L'architecture de Shibboleth Shibboleth

Plus en détail

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO) CIBLE DE SECURITE CSPN DU PRODUIT PASS (Product for Advanced SSO) Préparé pour : ANSSI Préparé par: Thales Communications & Security S.A. 4 Avenue des Louvresses 92622 GENNEVILLIERS CEDEX France This document

Plus en détail

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014

Adapter un service pour la fédération d'identités. Olivier Salaün, RENATER ANF Mathrice 2014 Adapter un service pour la fédération d'identités Olivier Salaün, RENATER ANF Mathrice 2014 24/09/2014 1 Supports de formation https://services.renater.fr/federation/docs/installation supports des formations

Plus en détail

Secure Java Card for Federate Identity Management

Secure Java Card for Federate Identity Management Secure Java Card for Federate Identity Management Projet de diplôme 2008 David Olivier Responsables internes : Philippe Joye, Rudolf Scheurer Responsable externe : François Weissbaum Expert : Pierre-Alain

Plus en détail

Extensions à OpenSSO :

Extensions à OpenSSO : Extensions à : compatibilité et gestion des autorisations Philippe BEUTIN DSI Grenoble-Universit Universités Thierry AGUEDA Univ.. Pierre-Mend Mendès-France Gérard FORESTIER Univ.. Joseph-Fourier Le-Quyen

Plus en détail

TX A081025: Délégation de l authentification pour les Services Web

TX A081025: Délégation de l authentification pour les Services Web TX A081025: Délégation de l authentification pour les Services Web Jérémy Vauchelle Enseignant: Aurélien Bénel Intervenants: Chao Zhou Arnaud Pagnier Plan 1. Présentation du sujet 2. Présentation du protocole

Plus en détail

Formation en Logiciels Libres. Fiche d inscription

Formation en Logiciels Libres. Fiche d inscription République Tunisienne Ministère de l'industrie et la Technologie - Secrétariat d'état de la Technologie Unité des Logiciels Libres Formation en Logiciels Libres Fiche d inscription (Une fiche par candidat)

Plus en détail

Service d'authentificationldap et SSO avec CAS

Service d'authentificationldap et SSO avec CAS Service d'authentificationldap et SSO avec CAS Clé de l'extension : ig_ldap_sso_auth 26 27, Michaël Gagnon, Ce document est publié sous la licence open source, disponible au : http://www.opencontent.org/opl.shtml.

Plus en détail

Authentification EoleSSO

Authentification EoleSSO EOLE 2.2 Octobre 2012 V e r s i o n d u d o c u m e n t O c t o b r e 2 0 1 2 D a t e C r é a t i o n 0 3 / 0 6 / 2 0 1 0 E d i t e u r P ô l e d e c o m p é t e n c e E O L E R é d a c t e u r s L i c

Plus en détail

EoleSSO EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014

EoleSSO EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014 EoleSSO EOLE 2.3 révisé : Septembre 2014 Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) V e r s i o n d u d o c u m e n t r é v i s é : S e p t e m b r e

Plus en détail

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS

Journée fédération 2013. Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Journée fédération 2013 Réflexions et retours d'expérience sur l'intégration des web services et du fournisseur d'identité du CNRS Plan P. 2 Contexte Janus et Web Services Cas d usage & typologies Réflexions,

Plus en détail

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011 SAML et services hors web SAML @ ESPCI ParisTech (1) Connexion unique à tous les services web 142 SP au 16/1/2011, beaucoup mutualisés 40 instances de SPIP 17 instances de Mediawiki 16 instances de MRBS

Plus en détail

Zend Framework 2 Industrialisez vos développements PHP

Zend Framework 2 Industrialisez vos développements PHP Avant-propos 1. Lectorat 15 2. Contenu du livre 15 3. Pré-requis 17 Introduction 1. Un peu d histoire 19 1.1 Petite histoire de l informatique 19 1.2 Petite histoire des langages informatiques 20 1.3 Petite

Plus en détail

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Plan Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification Les Scénarios d autorisation Le format TT2 Les familles de

Plus en détail

EoleSSO EOLE 2.5. (documentation en brouillon)

EoleSSO EOLE 2.5. (documentation en brouillon) EoleSSO EOLE 2.5 (documentation en brouillon) création : Mai 2015 Version : révision : Mai 2015 Documentation sous licence Creative Commons by-nc-sa - EOLE 2.5 (documentation en brouillon) Version : révision

Plus en détail

Pourquoi vous devez l adopter? Snorri Giorgetti - Président OpenID Europe Christophe Ducamp - Représentant OpenID France

Pourquoi vous devez l adopter? Snorri Giorgetti - Président OpenID Europe Christophe Ducamp - Représentant OpenID France Pourquoi vous devez l adopter? Snorri Giorgetti - Président OpenID Europe Christophe Ducamp - Représentant OpenID France 30.01.2008 Voulez-vous encore continuer? Quelles solutions? La simplicité Le web

Plus en détail

La gestion de l'identité en ligne

La gestion de l'identité en ligne La gestion de l'identité en ligne Enjeux et état de l'art Yves LIONS - D1 -Mars 2004 Qu'est ce que l'identité? Une notion de plus en plus utilisée, qui est intuitive,mais qui à l'usage n'est pas simple

Plus en détail

Sécurisation des architectures traditionnelles et des SOA

Sécurisation des architectures traditionnelles et des SOA Sécurisation des architectures traditionnelles et des SOA Un livre blanc de Bull Evidian Gestion SAML des accès SSO aux applications classiques et J2EE. Max Vallot Sommaire Émergence des architectures

Plus en détail

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008 La suite logicielle Lin ID Paris Capitale du Libre 25 septembre 2008 Pourquoi Lin ID? Le domaine de la gestion des identités est vaste et complexe L'offre logicielle est réduite, dominée par quelques grands

Plus en détail

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques

ESUP Portail. ESUP Portail Un ENT universitaire! Contexte. Objectifs d ESUP Portail. Grandes orientations technologiques ESUP Portail Un ENT universitaire! ESUP Portail Présentation générale du projet Jean-Michel Antoine Jean-Guy Avelin Raymond Bourges Architecture Intégration au SI de l établissement Développement de canaux

Plus en détail

La gestion des identités au CNRS Le projet Janus

La gestion des identités au CNRS Le projet Janus La gestion des identités au CNRS Le projet Janus Claude Gross CNRS/UREC Janus : les origines Fin 2007 : Annonce de l ouverture d un service ouvert à toutes les unités CNRS Besoin d une solution d authentification

Plus en détail

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111 L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé

Plus en détail

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2). Nom du projet : Zabbix Description : ZABBIX est un logiciel open source créé par Alexei Vladishev. Zabbix permet de surveiller le statut de divers services réseau, serveurs et autres matériels réseau.

Plus en détail

CAHIER DES CHARGES D IMPLANTATION

CAHIER DES CHARGES D IMPLANTATION CAHIER DES CHARGES D IMPLANTATION Tableau de diffusion du document Document : Cahier des Charges d Implantation EVRP Version 6 Etabli par DCSI Vérifié par Validé par Destinataires Pour information Création

Plus en détail

FEDERATION DES IDENTITES

FEDERATION DES IDENTITES 1 FEDERATION DES IDENTITES Quel protocole de fédération pour quel usage? OAUTH & SAML Fabrice VAZQUEZ Consultant Sécurité du SI +331 73 54 3000 Cabinet de conseil et d expertise technique en sécurité du

Plus en détail

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal Cédric Blancher

Stratégie de sécurité grâce au logiciel libre. Frédéric Raynal <pappy@miscmag.com> Cédric Blancher <blancher@cartel-securite.fr> Stratégie de sécurité grâce au logiciel libre Frédéric Raynal Cédric Blancher 1 Agenda du workshop Introduction Le logiciel libre et la sécurité GNU/Linux

Plus en détail

Evolutions du guichet de la fédération et gestion des métadonnées SAML

Evolutions du guichet de la fédération et gestion des métadonnées SAML Evolutions du guichet de la fédération et gestion des métadonnées SAML 17/07/2015 1 Evolutions Guichet ajout des logos des IdP/SP collecte des URL de Single Logout vérifications sur les certificats X.509

Plus en détail

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3. PREM IE R M IN IS T R E Secrétariat général de la défense et de la sécurité nationale Agence nationale de la sécurité des systèmes d information PASS v2.0 : solution d authentification unique basée sur

Plus en détail

REAUMUR-ACO-PRES. Wifi : Point et perspectives

REAUMUR-ACO-PRES. Wifi : Point et perspectives REAUMUR-ACO-PRES Wifi : Point et perspectives 26 Octobre 2005 www.reaumur.net REseau Aquitain des Utilisateurs des Milieux Universitaire et de Recherche Version du 11/06/2006 09:03:32 1 26/10/2005 REAUMUR-ACO

Plus en détail

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 Web SSO SAML Liberty Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005 PLAN Cas d utilisation Déploiement du toolkit Introduction Production depuis

Plus en détail

Joomla! Création et administration d'un site web - Version numérique

Joomla! Création et administration d'un site web - Version numérique Avant-propos 1. Objectifs du livre 15 1.1 Orientation 15 1.2 À qui s adresse ce livre? 16 2. Contenu de l ouvrage 17 3. Conclusion 18 Introduction 1. Un peu d histoire pour commencer... 19 1.1 Du web statique

Plus en détail

Les formations. Développeur Logiciel. ENI Ecole Informatique

Les formations. Développeur Logiciel. ENI Ecole Informatique page 1/5 Titre professionnel : Reconnu par l Etat de niveau III (Bac), inscrit au RNCP (arrêté du 12/10/07, J.O. n 246 du 23/10/07) (32 semaines) Unité 1 : Structurer une application 6 semaines Module

Plus en détail

CAS, un SSO web open source. 14h35-15h25 - La Seine A

CAS, un SSO web open source. 14h35-15h25 - La Seine A CAS, un SSO web open source 14h35-15h25 - La Seine A CAS, un SSO web open source Jérôme LELEU Committer CAS Architecte du CAS chez SFR https://github.com/leleuj @leleuj 27 au 29 mars 2013 Sommaire SSO

Plus en détail

Gestion des utilisateurs et Entreprise Etendue

Gestion des utilisateurs et Entreprise Etendue Gestion des utilisateurs et Entreprise Etendue Laurent Ruyssen 6 rue Beaubourg - 75004 PARIS T 1 44 59 93 00 F 1 44 59 93 09 yphise@yphise.com - http://yphise.fr GUEE0009-1 Agenda Entreprise Etendue Mission

Plus en détail

PostgreSQL, le cœur d un système critique

PostgreSQL, le cœur d un système critique PostgreSQL, le cœur d un système critique Jean-Christophe Arnu PostgreSQLFr Rencontres Mondiales du Logiciel Libre 2005 2005-07-06 Licence Creative Commons Paternité - Pas d utilisation commerciale - Partage

Plus en détail

Introduction. aux architectures web. de Single Sign-On

Introduction. aux architectures web. de Single Sign-On Introduction aux architectures web de Single Sign-On Single Sign-on Authentifier 1 seule fois un utilisateur pour accéder à un ensemble d applications contexte web Nombre croissant d applications ayant

Plus en détail

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives La gestion des identités dans l'éducation Nationale, état des lieux et perspectives Alexandre Guyot Pôle de compétences DSI - Rectorat d'orléans-tours, 10 rue Molière 45000 Orléans Nicolas Romero Pôle

Plus en détail

Maîtrisez Qt 5 Guide de développement d'applications professionnelles

Maîtrisez Qt 5 Guide de développement d'applications professionnelles Introduction 1. Objectifs et méthode 15 2. Glossaire 16 3. Qt, qu'est-ce? 18 3.1 Histoire 19 3.2 Compatibilité 20 3.3 Notoriété 21 3.4 Bibliothèque ou framework? 21 3.5 Documentation 21 3.6 Que peut-on

Plus en détail

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006

Ministère de l éducation nationale, de l enseignement supérieur et de la recherche 07/11/2006 Schéma directeur des espaces numériques de travail Annexe AAS Authentification-Autorisation-SSO Version 2.0 SOMMAIRE 1. Introduction... 3 1.1 Contexte... 3 1.2 Objectifs et contenu du document... 4 1.3

Plus en détail

Fédération du CRU pour la propagation d identités et d attributs

Fédération du CRU pour la propagation d identités et d attributs Fédération du CRU pour la propagation d identités et d attributs ou «Comment partager des ressources web entre établissements d enseignement supérieur» 1/47 1 Plan de la présentation 1. Problématique :

Plus en détail

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft Introduction à IIS 1. Objectifs de ce livre 13 2. Implémentation d un serveur web 14 2.1 Les bases du web 14 2.2 Les protocoles web 16 2.3 Le fonctionnement d un serveur web 21 2.4 Les applications web

Plus en détail

Description de la maquette fonctionnelle. Nombre de pages :

Description de la maquette fonctionnelle. Nombre de pages : Description de la maquette fonctionnelle Nombre de pages : 22/07/2008 STATUT DU DOCUMENT Statut Date Intervenant(s) / Fonction Provisoire 22/07/2008 Approuvé Validé HISTORIQUE DES MODIFICATIONSICATIONS

Plus en détail

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons <ads@intrinsec.com> Jérémie Jourdin <jjn@intrinsec.com> Arnaud Desmons Jérémie Jourdin Présentation Motivations Historique Démonstration Présentation fonctionnelle Présentation technique L'interface d'administration Roadmap

Plus en détail

Programmation Web Avancée Introduction aux services Web

Programmation Web Avancée Introduction aux services Web 1/21 Programmation Web Avancée Thierry Hamon Bureau H202 - Institut Galilée Tél. : 33 1.48.38.35.53 Bureau 150 LIM&BIO EA 3969 Université Paris 13 - UFR Léonard de Vinci 74, rue Marcel Cachin, F-93017

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Spécifications détaillées du mode

Plus en détail

Architectures et Web

Architectures et Web Architectures et Web Niveaux d'abstraction d'une application En règle générale, une application est découpée en 3 niveaux d'abstraction : La couche présentation ou IHM (Interface Homme/Machine) gère les

Plus en détail

Direction de la Sécurité Sociale

Direction de la Sécurité Sociale Standard d'interopérabilité entre organismes de la sphère sociale Réf. : Standard Interops1.0_GuideMiseEnOeuvre_v1.0 Version 1.0 du 07/10/2008 1 Référence : Standard Interops1.0_GuideMiseEnOeuvre_v1.0

Plus en détail

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP Secrétariat général Service des Politiques support et des Systèmes d Information entre de prestations et d Ingénierie Informatique Département Opérationnel de l Ouest Décembre 2013 DESRIPTION DU PLUGIN

Plus en détail

CA Performance Center

CA Performance Center CA Performance Center Manuel de l'utilisateur de l'authentification unique Version 2.0.00 La présente documentation, qui inclut des systèmes d'aide et du matériel distribués électroniquement (ci-après

Plus en détail

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU TRAVAIL, DE l EMPLOI ET DE LA SANTÉ MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE MINISTÈRE DU BUDGET, DES COMPTES PUBLICS ET DE LA RÉFORME DE L ÉTAT Standard d'interopérabilité entre

Plus en détail

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne L'intégration de Moodle à l'université Rennes 2 Haute Bretagne Intervenant : Arnaud Saint-Georges Centre de Ressources Informatiques de l'université Rennes 2 Haute Bretagne Arnaud.Saint-Georges @uhb.fr.

Plus en détail

Authentification CAS : module apache V2 mod_cas

Authentification CAS : module apache V2 mod_cas Page 1 of 8 Authentification CAS : module apache V2 mod_cas Ce document décrit l'installation et le paramétrage du module mod_cas esup-portail pour apache V2. Vincent Mathieu Université Nancy 2 Dates de

Plus en détail

Hébergement de sites Web

Hébergement de sites Web Hébergement de Solutions complètes et évolutives pour l hébergement de sites Web dynamiques et de services Web sécurisés. Fonctionnalités Serveur Web Apache hautes performances Apache 1. et.0 1 avec prise

Plus en détail

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels

OCS Inventory NG Maîtrisez l'inventaire de votre parc informatique et le déploiement de vos logiciels Introduction 1. Avant-propos 15 1.1 Cibles et objectifs de l'ouvrage 16 1.2 Organisation du livre 16 1.3 Pré-requis techniques et ressources documentaires 17 1.3.1 Pré-requis techniques 17 1.3.2 Ressources

Plus en détail

Introduction à OpenIDConnect

Introduction à OpenIDConnect Introduction à OpenIDConnect COURS ANF Authentification Mathrice Angers 25/09/2014 laurent.facq@math.u-bordeaux1.fr Institut de Mathématiques de Bordeaux 1/'49 «OpenID» vu de l'utilisateur L'utilisateur

Plus en détail

Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU

Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU Gestion d'identités pour les utilisateurs en marge de la fédération du CRU : le Service d'authentification du CRU Mehdi Hached Comité Réseau des Universités CRU Campus Centre de Ressources Informatiques

Plus en détail

les techniques d'extraction, les formulaires et intégration dans un site WEB

les techniques d'extraction, les formulaires et intégration dans un site WEB les techniques d'extraction, les formulaires et intégration dans un site WEB Edyta Bellouni MSHS-T, UMS838 Plan L extraction des données pour un site en ligne Architecture et techniques Les différents

Plus en détail

Authentification et Gestion des Identités. Jean-Noël Colin jean-noel.colin@fundp.ac.be

Authentification et Gestion des Identités. Jean-Noël Colin jean-noel.colin@fundp.ac.be Authentification et Gestion des Identités Jean-Noël Colin jean-noel.colin@fundp.ac.be 1 Agenda Introduction Authentification Gestion distribuée d'identités Kerberos, CAS, OpenId, SAML, Shibboleth, Liberty

Plus en détail

Gestion d identités PSL Installation IdP Authentic

Gestion d identités PSL Installation IdP Authentic Gestion d identités PSL Installation IdP Authentic Entr ouvert SCOP http ://www.entrouvert.com 2 avril 2015 Table des matières 1 Installation du système de base 1 1.1 Rappel sur la la synchronisation des

Plus en détail

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien

Formation fédération d identités Jour 1/2. Formateurs : Hached Mehdi Médard Sébastien Formation fédération d identités Jour 1/2 Formateurs : Hached Mehdi Médard Sébastien 15/09/2014 Forma.on CIREN - Septembre 2014 1 RENATER Opérateur réseau enseignement et recherche Sécurité Le CERT RENATER

Plus en détail

JOSY. Paris - 4 février 2010

JOSY. Paris - 4 février 2010 JOSY «Authentification centralisée pour les applications web» Paris - 4 février 2010 Sommaire de la journée Présentations de quelques technologies OpenId CAS Shibboleth Retour d expériences Contexte :

Plus en détail

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010

Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 Cours 10701A - Configuration et gestion de Microsoft SharePoint 2010 INTRODUCTION Ce cours apprend aux stagiaires comment installer, configurer et administrer SharePoint, ainsi que gérer et surveiller

Plus en détail

Solution de déploiement de certificats à grande échelle. En savoir plus...

Solution de déploiement de certificats à grande échelle. En savoir plus... Solution de déploiement de certificats à grande échelle permet un déploiement des certificats numériques à grande échelle en toute sécurité sans avoir à fournir un support physique (token, carte à puce

Plus en détail

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2

Module 1. Introduction à la gestion de l environnement Windows Server 2008 R2 Module 1 Introduction à la gestion de l environnement Windows Server 2008 R2 Vue d ensemble du module Rôles serveur Utilisation des outils d administration Microsoft Windows Server 2008 R2 Utilisation

Plus en détail

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Introduction et cadrage Jean Pierre Buthion, Pdt de la Commission Identités Commission Identité Numérique Groupe de travail Gestion des identités Les usages et les services ATELIER 2 Analyse et synthèse

Plus en détail

Bénéfices de Citrix NetScaler pour les architectures Citrix

Bénéfices de Citrix NetScaler pour les architectures Citrix Bénéfices de Citrix NetScaler pour les architectures Citrix 15 novembre 2007 Auteurs: Mahmoud EL GHOMARI E-mail: mahmoud.elghomari@eu.citrix.com Stéphane CAUNES E-mail: stephane.caunes@eu.citrix.com Riad

Plus en détail