OpenID Connect le futur de la fédération d identités? JRES 2015

Transcription

1 OpenID Connect le futur de la fédération d identités? JRES

2 Plan La fédération dans l Education Nationale OpenID Connect France Connect Retour d expérience Perspectives 2

3 La fédération dans l Education Nationale Présentation Historiquement, un système d'information organisé de manière centralisée avec une structure décentralisée Chaque académie gère son propre SI ( applications nationales imposées par le Ministère + applications locales indépendantes) Une fédération SAML 2.0 d abord intra Education Nationale en «point à point» Chaque académie fédérée directement avec chaque centre d'hébergement Puis une ouverture vers d autres partenaires en «hub and spoke» 3

4 La fédération dans l Education Nationale Le hub de fédération 3 objectifs de simplification Décharger les équipes académiques de la mise en œuvre de la fédération Masquer vis-à-vis de l'extérieur la complexité et les spécificités de l Éducation nationale Conserver la possibilité d'intégrer les services fédérés dans le portail académique des utilisateurs pour que l'accès se fasse de façon identique pour toutes les applications, qu'elles soient fédérées ou non 2 limitations l'interconnexion avec de nouveaux partenaires qui ne sont pas familiers avec SAML 2.0 est souvent complexe et demande beaucoup d'accompagnement pour intégrer leurs services SAML 2.0 n'est pas adapté à des usages mobiles alors même que l'ouverture au grand public nécessite de prendre en compte ce mode de connexion 4

5 OpenID Connect Présentation Couche d'identification implémentée en complément du protocole OAuth 2.0 OAuth 2.0 est un protocole de délégation d'accès entre un «Fournisseur d'identité» et une application cliente (qui peut être une application web, mobile, ou tout type d'application) Permet l'authentification d'un utilisateur la propagation d'attributs d'identité Les échanges de jetons et d'attributs s'effectuent par appels de webservices REST et redirections HTTP sur des points d'entrée définis Adopté par la plupart des grands acteurs du Web, tels que Google ou Facebook Avantages : standardisé, sécurisé, léger (adapté à la mobilité) 5

6 France Connect : présentation et état des lieux Présentation Piloté par le SGMAP et la Dinsic Un composant essentiel de la stratégie d Etat plateforme Chaîne de confiance entre les administrations permettant l échange de données Garantie que le service est délivré à la bonne personne Contrôle par l usager de la circulation des données le concernant Mode Agile Le projet évolue au fil des itérations Sessions «OpenLab» auxquelles participent les administrations volontaires Expérimentation depuis septembre 2015, ouverture janvier

7 France Connect : présentation et état des lieux Cinématique Fourniture d identité/ de services Un usager veut accéder à un service nécessitant une identification 1.L usager accède au service et clique sur le bouton France Connect 2.Il est renvoyé vers FC qui lui présente la liste des FI qu il peut utiliser 3.Il choisit un FI 4.Il saisit ses identifiants pour ce FI 5.Un jeton portant l identité est envoyé par le FI à FC 1.FC fait valider l identité fournie 2.l identité est validée 6.Un jeton portant l identité est envoyé par FC au FS L usager est connecté sur le service 7

8 France Connect : présentation et état des lieux Cinématique Fourniture de données Clef de voûte de l Etat Plateforme Pour l usager : plus de pièces justificatives à transmettre, les échanges se font directement entre FS et FD sous son contrôle Pour les FS : confiance dans la fiabilité des informations relatives à l usager 8

9 Le MEN et France Connect Travaux Participation DNE-B / Pôle Identité aux Openlab (depuis décembre 2014) Ateliers interministériels Participation au Hackathon Etat Plateforme (juin 2015) Pôle Identité / Académie de Rennes : prototype IPANEMA (accès parents très simplifié) Prototype d intégration ATEN / France Connect (septembre-octobre 2015) ATEN : guichet des élèves et parents pour l accès aux téléservices et aux ENT En parallèle de l authentification ATEN Expérimentation novembre/décembre dans des académies volontaires Appel à Projets Plan Investissements d Avenir sur la modernisation de l action publique Pôle IH2M / Académie de Rennes : simplifier les accès parents et les échanges de données avec les collectivités 9

10 Démonstration Cinématique du prototype réalisé avec ATEN 10

11 Retour d expérience SAML Association manuelle : échange de metadonnées (xml) et de clés publiques. Processus assez lourd. Nombreux cas d usage. EN utilise surtout le mode IdP initiated (accès à partir de l IdP). Demande du consentement de l'utilisateur optionnelle. En pratique très peu utilisée. Application en tant que SP : intégration d'un module SAML complexe, ou déploiement dans une infrastructure SAML existante. Mature et stable OpenID Connect Le client reçoit des Clés API et déclare une adresse de retour auprès de l IdP. Processus plus simple. Moins de cas d'usage. Tous SP initiated (accès à partir du service, puis redirection vers IdP). Demande de consentement obligatoire. Application en tant que SP : intégration directe d'un «module» OpenID Connect. Encore relativement jeune 11

12 Perspectives Expérimentation en cours Pousser l implémentation jusqu à la simplification du parcours utilisateur Devenir Fournisseur de données Devenir Fournisseur d identité? 12