Guide Share France. Web Single Sign On. Panorama des solutions SSO

Transcription

1 Web Single Sign On Panorama des solutions SSO

2 Agenda Concepts généraux Quelques solutions de Web SSO Questions & Réponses

3 Définition Qu est-ce que le Single Sign-On? Solution visant à minimiser le nombre d authentifications successives d un utilisateur sur son système d information. S appuie sur une première authentification dite «primaire» pour connaître l identité de l utilisateur afin de gérer automatiquement ses authentifications «secondaires» Pourquoi le Single Sign-On? Il n existe pas de norme d authentification des utilisateurs dans l entreprise : chaque application amène son référentiel (SQL, LDAP, ) La prolifération des applicatifs et sites intranet a amené à une explosion du nombre d authentification de l utilisateur sur ses applications Les portails d agrégation de contenus sont mal perçus par les utilisateurs qui ne comprennent pas pourquoi se réauthentifier sur les applications.

4 Enjeux Du point de vue de l utilisateur : Dans un contexte intra entreprise, le SSO est avant tout perçu par l utilisateur comme un confort. La dématérialisation du poste de travail au travers de clients légers Web et de portails d accès est indissociable du SSO. Du point de vue de l entreprise : Facteur d'appréhension des nouveaux outils Catalyseur du projet de refonte de la sécurité du Système d Information Homogénéisation de la sécurité Augmentation du niveau de sécurité global par le déploiement de mécanismes d authentification fort et/ou des stratégies de mot de passe plus restrictives Centralisation des règles de contrôle d accès Réduction des coûts du HelpDesk liés aux problèmes de mot de passe

5 Mécanisme général Mise en place d une solution logicielle permettant d authentifier l utilisateur une première fois puis de propager son authentification sur les applications Ne pas confondre avec : Common Sign On : Moyen d authentification similaire sur toutes les applications (même user/password, avec toujours le même nombre d authentification) Single Log On : Une authentification unique pour tous les applicatifs

6 Le contrôle d accès au niveau du rôle Mise en place d un macro contrôle d accès aux applications : Le SSO ne vient pas remplacer le mécanisme de calcul des habilitations de chaque applicatifs

7 Fédération des identités Objectif : relier des identités numériques liées à des référentiels différents. Notion de cercle de confiance. Exemples : Liberty Alliance OpenID

8 Cercle Liberty Alliance Fournisseur de service Fournisseur d'attributs Fournisseur d'identités Fournisseur de service Interactions Utilisateur

9 Relations entre cercles Interactions Utilisateur

10 IBM Tivoli Access Manager Eléments caractéristiques Architecture de type Reverse-Proxy distribuée : WebSeal, Reverse-Proxy d authentification, Policy Server, serveur de gestion de la politique de sécurité et des règles d accès Forte intégration Java et Notes Capacité de montée en charge importante

11 CA SiteMinder Eléments caractéristiques Architecture polyvalente utilisation d agents au plus près des serveurs architecture de type Reverse Proxy pour le positionnement en rupture Multiple source d authentification LDAP, SQL, Notes, Radius Intégrabilité reconnue avec les plus importantes solutions logicielles Très nombreuses références

12 Novell Access Manager Eléments caractéristiques Fonctionnalités de Reverse-Proxy avancées Network Appliance Contrôle d accès basé sur les rôles SSL VPN Basé sur l utilisation du «Secret Store» Chiffrement de type RSA Mémorisation des couples «identifiant/mot de passe» pour chaque application Cinématique de re-jeu du couple «identifiant/mot de passe»

13 BMC Access Manager (OpenNetworks) Architecture simple avec Enforcement Agent Architecture avec Enforcement Agent et API (pour des applications «maison») Eléments caractéristiques : Architecture basée sur les «Enforcement Agent» qui ne nécessite pas de déploiement ou de maintenance d un serveur dédié à l authentification Intégration avec l authentification au poste de travail Windows

14 Le monde de l open source Centralisés : CAS «Central Authentication Services» Architecture à base d agent (assimilable à CA SiteMinder) LemonLDAP Modèle Reverse Proxy Fédération FederID (LemonLDAP+LASSO+InterLDAP) Implémentation LibertyAlliance incluant la gestion des identités OpenID Modèle de partage décentralisé

15 Vue d'ensemble de FederID Applications compatibles Liberty Alliance Applications Web Mandataire SSO (LemonLDAP) Identification Fournisseur d'identités (Authentic) Gestion des identités Autorisation Lecture d'attributs HTTP LDAP Liberty Alliance (HTTP/SOAP) Identification Authentification Annuaire LDAP d'entreprise Administration des données

16 Implémentation d'openid