Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Transcription

1 Drupal et les SSO Nicolas Bocquet < >

2 Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet

3 Nicolas Bocquet Responsable Pôle Pour suivre nos prochains evénements et

4 Qui QuiSommes SommesNous Nous?? Opération en Suisse & France depuis 2002 Domaines d'expertises: Web Communications, Business Intelligence Activité : Services : Consulting, development, systems integration Support & Maintenance, both on site & remote Training : Certified training center for public and customised Pentaho BI, Acquia Drupal & Linux Professional Institute Recruitement : Providing IT Project resources and permanent recruitment services

5 Web Communications CMS Custom development Graphic integration Web architecture Analytics

6 Business Intelligence Data extraction Analytics Reporting Dashboards

7 Single Sign On

8 Parlons plutôt de Web SSO > Système d'authentification unique que pour le WEB > un seul login / mot de passe = plusieurs sites > Prouver que le client est bien authentifié

9 Simplification de l'utilisation

10 Amélioration de la sécurité

11 Facilité pour les gestionnaires

12 Mais avec différentes fonctionnalités > Récupération d'attributs > Gestion des groupes et rôles > Cercle de confiance > Création de compte automatique

13 Quelques différentes implémentations

14 OPENID > Système utilisé par le grand Public > le Login contient l'url du service d'authentification > Utilise les redirection HTTP > Requiert ou non un serveur d'authentification

15 OPENID > Partage d'attributs avec confirmation de l'utilisateur > Utiliser par de gros player (Yahoo, FB, Google, Orange Labs) > Moyennement adopté

16 CAS > Central Authentication Service > Développé initialement par YALE > Système de ticketing proche de Kerberos > Ne permet pas de partage d'attributs > Possibilité de proxyfication

17 Shibboleth / SAML > Développé par Internet2 > Security Assertion Markup Language > Fédération d'identité > 2 objectifs Déléguer l'authentification Partager des attributs

18 Shibboleth > Gros socle organisationnel Gestion de la confiance dans le cercle > IDP et SP > Choix des attributs par SP

19 Et les autres > Oauth > Facebook Connect > Twitter > le votre

20 Shibboleth Et Drupal avec Cela

21 Drupal, le SSO en multi-site > Ne demande aucun module supplémentaire > Ne fonctionne que avec des sites Drupal > Avec le même domaine > Partage des tables dans la base de données

22 OpenID, une solution intégrée > Module fournis dans la distribution standard > Activation en un clic > Marche avec tous les IDP OpenID grand public

23 CAS et sa facilité de mise en œuvre > Module cas à installer > Demande une création du compte local avant > Peut être utiliser en collaboration avec LDAP pour la gestion des rôles > Mise en place assez simple dans une petite communauté et avec des applications cassifiés

24

25 Shibboleth, sa puissance de feu > Module shib_auth à installer > Mise en place du Service Provider sur le serveur ainsi qu'un mod_shib pour le VirtualHost > Configuration demandant quelques paramètres

26 Shibboleth, sa puissance de feu > Création et mise à jour des comptes > Mapping des attributs avec les champs Drupal > Synchronisation des rôles dans Drupal > Logout vers une url sur l'idp

27

28

29 Retour d'expérience à l École Internationale de Genève

30 Les difficultés > Processus de gestion des comptes Parents > Démarrage en cours d'année > Activation manuel > Besoin de donner l'édition des pages au Staff > Besoin de simplicité car les personnes sont sur 3 sites différents

31 Le contexte du Projet > Site vieillissant en ColdFusion > Envie d'héberger en Interne le site Web > Site comprenant un site Public et un intranet pour les parents et le staff

32 Implémentation de Shib coté Shib > Intégration de Shib IDP avec l'annuaire central > Connecteur d'authentification et connecteur de récupération d'attributs > Connexion avec des Services Webs > Système de OTP avec Shib et la base de donnée centralisée

33 Implémentation coté Drupal/SP > Assez Simple activation du module > Mapping des attributs avec les champs Drupal > Utilisation des champs pour affecter la taxonomie aux utilisateurs > Utilisation massive de TAC pour gérer les rôles et droits

34

35

36

37

38 Prochaines étapes du Projet > Connecter Shibboleth avec Moodle et Google Apps > Simplement le matin de se logger et juste naviguer entre les services sans authentification

39 Des Questions?

40 Merci pour votre attention