AAI Infrastructure d Authentification et d Autorisation

Documents pareils
Annuaire LDAP, SSO-CAS, ESUP Portail...

Description de la maquette fonctionnelle. Nombre de pages :

LDAP : pour quels besoins?

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Introduction. aux architectures web. de Single Sign-On

Single Sign-On open source avec CAS (Central Authentication Service)

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

d authentification SSO et Shibboleth

Tour d horizon des différents SSO disponibles

Cahier des charges fonctionnel

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

CRI-IUT 2004 Le Creusot. Introduction aux Espaces Numériques de Travail d après Alain Mayeur JRES 2003 de Lille

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

La gestion des identités au CNRS Le projet Janus

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

CAS, la théorie. R. Ferrere, S. Layrisse

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

ENVOLE 1.5. Calendrier Envole

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Authentification et contrôle d'accès dans les applications web

Guide Share France. Web Single Sign On. Panorama des solutions SSO

DMZ... as Architecture des Systèmes d Information

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Conférence technique sur Samba (samedi 6 avril 2006)

Utiliser Améliorer Prêcher. Introduction à LDAP

Synchronisation d'annuaire Active Directory et de base LDAP

Authentification unifiée Unix/Windows

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

WebSSO, synchronisation et contrôle des accès via LDAP

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

MEMOIRE DE FIN DE CYCLE. fédération d identité pour l Université Virtuelle du Sénégal

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Zimbra Forum France. Montée en charge et haute disponibilité. Présenté par Soliman HINDY Société Netixia

Fédération d'identités et propagation d'attributs avec Shibboleth

Méta-annuaire LDAP-NIS-Active Directory

Gestion des identités Christian-Pierre Belin

CAHIER DES CHARGES D IMPLANTATION

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

SQL Server et Active Directory

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Nébuleux, le nuage pour les entrepreneurs? ADDIROUM Soirée Entrepreneurs 29 mars 2012


Gestion d identités PSL Installation IdP Authentic

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Formation SSO / Fédération

Authentification des utilisateurs avec OpenLDAP

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

RTN / EC2LT Réseaux et Techniques Numériques. Ecole Centrale des Logiciels Libres et de Télécommunications

Soutenance de projet. Mise en place d une solution de reporting

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Groupe Eyrolles, 2004 ISBN :

educa.id Gestion d'identité et d'accès

Sun Java System Access Manager Notes de version pour Microsoft Windows

JOSY. Paris - 4 février 2010

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Déploiement de (Open)LDAP

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

MARCHE PUBLIC DE FOURNITURES

UCOPIA EXPRESS SOLUTION

Séminaire EOLE Dijon 23/24 novembre Architecture Envole/EoleSSO

Quel ENT pour Paris 5?

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

Configuration d'un annuaire LDAP

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Mise en œuvre d une Gateway HTTP/HTTPS avec un serveur de Présentation en DMZ

Implémentation libre de Liberty Alliance. Frédéric Péters

L'intégration de Moodle à l'université Rennes 2 Haute Bretagne

Sécurisation des architectures traditionnelles et des SOA

A DESTINATION DES SERVICES TIERS. Editeurs d applications et ressources pédagogiques connectées à l ENT

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

DEMARREZ RAPIDEMENT VOTRE EVALUATION

ACCÈS AUX RESSOURCES NUMÉRIQUES

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

SAML et services hors web

Référentiel ASUR Prévisionnel

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Paramétrage du portail de SSOX dans la Console d'administration AppliDis

Ingénieur Généraliste Spécialité Informatique

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

DUT. Vacataire : Alain Vidal - avidal_vac@outlook.fr

Authentification unique Eurécia

M F. Consultante Moe / Support. Finance de Marché

L identité numérique. Risques, protection

Gestion de l identitl et des accès, pour bien se faire connaître!

Présentation de la solution Open Source «Vulture» Version 2.0

Solution intégrée de gestion des temps et des absences. Kelio Integral R2

Documentation CAS à destination des éditeurs

Transcription:

REPUBLIQUE DU SENEGAL MINISTERE DE L ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE UNIVERSITE CHEIKH ANTA DIOP DE DAKAR Laboratoire de Traitement de l InformaDon (LTI) AAI Infrastructure d Authentification et d Autorisation Dr OUYA Samuel Octobre 2015

I. GENERALITES (1) A DéfiniDon (1) La mise en place d une AAI se fonde le plus souvent sur plusieurs raisons dont: La limitadon d accès aux ressources à un certain groupe d udlisateurs; La proposidon de contenu adapté à l udlisateur; Ceci exige qu il y ait une authendficadon et une autorisadon. L accès aux ressources numériques nécessitent pour chaque accès une authendficadon et une autorisadon. Cela suppose que l udlisateur doit posséder, et disposer d autant de paramètres d authendficadon. La muldplicité de ces paramètres d authendficadon rend difficile la gesdon de l authendficadon de manière générale et encore moins dans les universités.

I. GENERALITES (2) A DéfiniDon (2) Figure 1: Infrastructure sans AAI AuthenDficaDon AutorisaDon

I. GENERALITES (3) B ProblémaDque MulDplicaDon des mots de passe; Difficultés d accès suite aux oublis de mots de passe; RedéfiniDon de nouveaux mots de passe; Difficultés d intégradon d autres universités (Pas d interfaces standards définies). C SoluDon Passage à une Infrastructure d Authentification et d Autorisation

I. GENERALITES (4) D Infrastructure AAI Figure 2: Infrastructure avec AAI AuthenDficaDon AutorisaDon Infrastructure AAI

I. GENERALITES (5) E Avantages d un AAI (1) L'AAI se base sur une réparddon fédéradve des tâches. Chaque endté contrôle l'étape déterminante pour l accès à ses ressources. L'université enregistre et authendfie ses membres, les fournisseurs de service définissent des autorisadons d'accès. Une AAI basée sur des normes rend souple la gesdon des authendficadons et d autorisadon. L accès aux ressources numériques et services se traduit généralement par la mise en œuvre de mécanismes d'authendficadon et de gesdon des autorisadons s'appuyant sur un ensemble d informadons (données) gérées au sein d'un référendel de type «annuaire».

I. GENERALITES (6) E Avantages d un AAI (2) Les annuaires électroniques conçu sur les standards LDAP/SUPANN sont udlisés dans les universités pour stoker les informadons sur les ressources notamment les idendtés numériques pour gérer les authendficadons au sein de l établissement.

II. SOURCES DE DONNEES: ANNUAIRES LDAP (1) A DéfiniDon LDAP (Lightweight Directory Access Protocol) est le protocole d annuaire TCP/IP. C est une base d informadons comme une base de données opdmisée en lecture. Il est plus facile d accéder à des infos en lecture qui se trouvent dans un annuaire LDAP plutôt que des infos qui se trouvent dans une Base de Données (BD) reladonnelle. Ils sont adaptés pour les besoins d authendficadon

II. SOURCES DE DONNEES: ANNUAIRES LDAP (2) B Architecture (DIT)

II. SOURCES DE DONNEES: ANNUAIRES LDAP (3) C Les recommandadons (1) 1 Les recommandadons dc=ucad, dc=sn 2 Les Unités organisadonnelles ou=people, ou=groups, ou=structures

II. SOURCES DE DONNEES: ANNUAIRES LDAP (4) C Les recommandadons (2) 3 Les Schémas (1) a b c SupAnn (1) Schac Internet2

II. SOURCES DE DONNEES: ANNUAIRES LDAP (7) D ProposiDon DIT PADTICE (Voir Document)

II. SOURCES DE DONNEES: ANNUAIRES LDAP (8) E Les Services (2) 1 Pour les Etudiants a b c d AuthenDficaDon au Portail AuthenDficaDon Messagerie AuthenDficaDon LINUX, Windows & VPN AuthenDficaDon Wifi

II. SOURCES DE DONNEES: ANNUAIRES LDAP (9) E Les Services (1) 2 Pour les personnels a b c d AuthenDficaDon au Portail AuthenDficaDon Messagerie AuthenDficaDon LINUX, Windows & VPN AuthenDficaDon Wifi

II. SOURCES DE DONNEES: ANNUAIRES LDAP (10) F Exemple d entrée dn: uid=samuel.ouya,ou=people,dc=uvs,dc=sn objectclass: inetorgperson objectclass: shadowaccount objectclass: posixaccount objectclass: schacpersonalcharacterisdcs objectclass: supannperson uid: samuel.ouya givenname: Samuel sn: OUYA cn: Samuel OUYA displayname: Samuel Ouya mobile: 70 XXXXXXX mail: samuel.ouya@ucad.edu.sn loginshell: /bin/bash homedirectory: /home/ouya uidnumber: 1105 gidnumber: 1105 userpassword: passer street: Liberte 6 Dtle: Professeur schacplaceofbirth: Dakar schacdateofbirth: 19000000 schaccountryofcidzenship: SN schacmothertongue: FR supanncivilite: M. supannempcorps: Docteur SupannAffectaDon: DGI Departement de Genie InformaDque supannempid: 222 supannmailperso: samuel.ouya@gmail.com SupannListeouge: FALSE

III. SSO CAS (Single Sign On) (1) A ProblémaDque 1 AuthenDficaDon Unique (Une seule authendficadon pour accéder à plusieurs services) 2 Accès sécurisé (hyps) 3 Connexion Inter- Etablissement 4 GesDon centralisée des comptes (Login / Mot de passe) 5 Contrôle d accès en foncdon des droits

III. SSO CAS (Single Sign On) (2) B SoluDon Le CAS (Central AuthenDficaDon Service) est un système d'authendficadon qui a été mis au point pour fournir un moyen fiable d'authendfier un udlisateur pour l accès à une ressource numérique à travers le web. Le CAS est basé sur un mécanisme d authendficadon unique appelé SSO (Single Sign On). Il consdtue le socle d une AAI.

III. SSO CAS (Single Sign On) (3) C FoncDonnement de base (1) CAS est essendellement un protocole basé sur des requêtes HTTP pures. Certains messages sont cependant formatés en XML. Ce protocole est basé sur une nodon d'échange de Dckets. Ces Dckets sont des «opaque handles» : ils ne transportent aucune informadon. Il y a 2 Dckets nécessaires au foncdonnement de base, plus 2 autres Dckets dans le cas d'udlisadon de proxy CAS : Ticket- GranDng Cookie (TGC) Service Ticket (ST) Proxy- GranDng- Ticket (PGT) Proxy- Ticket (PT)

III. SSO CAS (Single Sign On) (4) C FoncDonnement de base (2) Premier accès d un navigateur au serveur CAS (sans TGC) AuthenDficaDon d un navigateur auprès du serveur CAS

III. SSO CAS (Single Sign On) (5) C FoncDonnement de base (3) RedirecDon vers le serveur CAS d'un navigateur non authendfié auprès du client CAS

III. SSO CAS (Single Sign On) (6) C FoncDonnement de base (4) RedirecDon par le serveur CAS d'un navigateur vers un client CAS auprès authendficadon

III. SSO CAS (Single Sign On) (7) C FoncDonnement de base (5) ValidaDon d un ST par demande client Vision par l udlisateur du mécanisme d authendficadon

IV. La FédéraDon d idendté (1) A ProblémaDque Le nombre croissant d applicadons oblige les universités à meyre en place un portail de services basé sur : Un référendel d udlisateurs (LDAP); Une authendficadon centralisée (CAS- SSO) Ce service d authendficadon reste interne à chaque établissement. Les collaboradons entre universités se muldplient et se font de plus en plus étroites. D où le besoin d interconnecter leurs systèmes d authendficadon La fédéradon d idendtés répond le mieux à ce besoin.

IV. La FédéraDon d idendté (2) B Sans FédéraDon d idendté

IV. La FédéraDon d idendté (3) C Avec FédéraDon d idendté

IV. La FédéraDon d idendté (3) C Avec FédéraDon d idendté

IV. La FédéraDon d idendté (4) D Les techniques udlisées (1) Différentes soludons sont udlisées : ü SAML ü Shibboleth ü Liberty Alliance Autres types de soludons udlisées par les grandes sociétés du web/ ü YahooID ü Live ID (Microso}) ü Google Account

IV. La FédéraDon d idendté (5) D La soludon: Shibboleth Shibboleth permet : La propagadon des ayributs udlisateurs; La délégadon de l authendficadon Ses foncdonnalités sont moins étendues que celles de Liberty Alliance, mais correspondent aux besoins de l enseignement supérieur et de la recherche. Logiciel open source pour l idendficadon sur le web ; Mécanisme de propagadon d idendté développé par Internet2 regroupant universités et centres de recherches (plus de 200); Très udlisé par la communauté enseignement / recherche;

IV. La FédéraDon d idendté (6) E Avantages Basé sur des standards (Single sign on, etc.). Interopérabilité avec d autres logiciels udlisant les mêmes standards; Open source et soutenu par Internet 2 PublicaDon sélecdve des informadons Déjà déployé à grande échelle (GB, USA, Finlande, Suisse, France );

IV. La FédéraDon d idendté (7) F Inconvénients Complexité technique SAML, SSL, Tomcat, Apache, LDAP UDlisé uniquement pour les applicadons web

IV. La FédéraDon d idendté (8) F Les acteurs du système Dans le système shibboleth interviennent 3 briques : IdP (IdenDty Provider); SP (Service Provider); WAYF (Where Are You From)

IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (1) 1 Shibboleth sans SSO

IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (2) 2 Shibboleth avec SSO

IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (3) 3 Shibboleth avec SSO & WAYF

IV. La FédéraDon d idendté (9) H Captures (1)

IV. La FédéraDon d idendté (10) H Captures (2)

IV. La FédéraDon d idendté (11) H Captures (3)

FIN MERCI POUR VOTRE ATTENTION

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back