Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Transcription

1 Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

2 Fédération Définit un cercle de confiance constitué de Fournisseurs d'identités Fournisseurs de services Résout le problème des relations bilatérales Les membres de la fédérations Partagent un niveau de confiance Ont un cadre technique Partagent des méta-données

3 Le principe

4 Fournisseur d identité (IDP) - Entité responsable de la création, de la maintenance et de la gestion des informations d identification de l utilisateur - Un fournisseur d'identités peut définir les attributs de ses utilisateurs, qui peuvent être propagés aux fournisseurs de services

5 Fournisseur de services (SP) - Application web ou ressource numérique en ligne (pédagogique, scientifique, bibliothécaire, etc.). - Le fournisseur de services n'a pas à gérer l'ensemble des utilisateurs susceptibles d'accéder au service. Il peut s'appuyer sur les fournisseurs d'identités de la fédération pour l'authentification des utilisateurs et pour obtenir les attributs des utilisateurs nécessaires au contrôle d'accès.

6 Fonctionnement de base Les acteurs : - La Fédération d'identité Le service WAYF Le fichier de Meta-données - Le fournisseur d identité Le CAS L'Annuaire LDAP : il doit respecter les normes (SDET et SUPANN) - Le fournisseur de service

7 Fonctionnement de l'idp Authentification de l'utilisateur Peut être un client CAS Preuve d'authentification = assertion SAML Transmet le profil de l'utilisateur Via le protocole SAML Données issues des référentiels (LDAP) Richesse du profil paramétrable

8 Fonctionnement (première requête vers un SP) Serveur SSO Navigateur Service d authentification Autorité d authentification Autorité d attributs Référentiel utilisateurs WAYF Le navigateur redirige l utilisateur Le navigateur vers redirige le portail WAYF l utilisateur qui renvoie vers le alors portail à WAYF l utilisateur qui renvoie un formulaire alors à l utilisateur d authentification un formulaire d authentification Consommateur d assertions Demandeur d attributs Contrôleur d accès Ressource

9 Avec SSO (première requête vers un SP) Serveur SSO userid password ticket ticket Navigateur ticket userid nameid nameid Service d authentification C est cet identifiant opaque qui va permettre au SP de récupérer les attributs de l utilisateur auprès de l IdP. Consommateur d assertions Autorité d authentification nameid nameid attributes Demandeur d attributs Autorité d attributs userid Référentiel utilisateurs attributes attributes l IdP redirige alors le navigateur vers le SP, accompagné d une assertion SAML. Cette assertion est signée par l IdP, le SP pourra donc faire confiance à l assertion. Elle contient un identifiant appelé nameidentifier Contrôleur d accès Ressource

10 Méta-données Un fichier de méta-données par fédération Gérées par l'opérateur de la fédération Chaque entrée comprend : Identifiant du fournisseur, URLs, certificat, profils supportés, contacts, description,...

11 La couche logiciel de la fédération : Exemple de Shibboleth Logiciel «open source» : Adapté contexte enseignement / recherche Trois briques distinctes : fournisseur d'identités fournisseur de services service de découverte (WAYF) Logiciels très configurable

12 Attributs utilisateurs Un fournisseur de services a besoin d'authentifier des utilisateurs Le fournisseur d'identités lui transmet un profil utilisateur Composé d'attributs ( LDAP ) Attributs issus d'un référentiel Norme SDET 2.0

13 Filtrage d'attributs L'IdP Shibboleth permet de filtrer les attributs utilisateurs sortant Pour limiter la diffusion d'attributs nominatifs (informatique et liberté) Fichier attribute-filter.xml Configurable pour chaque SP/ressource Configurable pour chaque attribut

14 Redirections HTTP Usage intensif des redirections HTTP Comme SSO-CAS L'utilisateur est redirigé en permanence Application > SP > WAYF > IdP > CAS > IdP > SP > Application Plugins Firefox utiles : (... cookies Web developer (gestion des (... HTTP Tamper data (études des redirections

15 SAML Protocole entre le SP et l'idp Assertions d'authentification Assertions d'échange d'attributs Signature et chiffrement Version 2.0 supportée par Shibboleth 2.x Interopérabilité possible avec d'autres produits