REPUBLIQUE DU SENEGAL MINISTERE DE L ENSEIGNEMENT SUPERIEUR ET DE LA RECHERCHE UNIVERSITE CHEIKH ANTA DIOP DE DAKAR Laboratoire de Traitement de l InformaDon (LTI) AAI Infrastructure d Authentification et d Autorisation Dr OUYA Samuel Octobre 2015
I. GENERALITES (1) A DéfiniDon (1) La mise en place d une AAI se fonde le plus souvent sur plusieurs raisons dont: La limitadon d accès aux ressources à un certain groupe d udlisateurs; La proposidon de contenu adapté à l udlisateur; Ceci exige qu il y ait une authendficadon et une autorisadon. L accès aux ressources numériques nécessitent pour chaque accès une authendficadon et une autorisadon. Cela suppose que l udlisateur doit posséder, et disposer d autant de paramètres d authendficadon. La muldplicité de ces paramètres d authendficadon rend difficile la gesdon de l authendficadon de manière générale et encore moins dans les universités.
I. GENERALITES (2) A DéfiniDon (2) Figure 1: Infrastructure sans AAI AuthenDficaDon AutorisaDon
I. GENERALITES (3) B ProblémaDque MulDplicaDon des mots de passe; Difficultés d accès suite aux oublis de mots de passe; RedéfiniDon de nouveaux mots de passe; Difficultés d intégradon d autres universités (Pas d interfaces standards définies). C SoluDon Passage à une Infrastructure d Authentification et d Autorisation
I. GENERALITES (4) D Infrastructure AAI Figure 2: Infrastructure avec AAI AuthenDficaDon AutorisaDon Infrastructure AAI
I. GENERALITES (5) E Avantages d un AAI (1) L'AAI se base sur une réparddon fédéradve des tâches. Chaque endté contrôle l'étape déterminante pour l accès à ses ressources. L'université enregistre et authendfie ses membres, les fournisseurs de service définissent des autorisadons d'accès. Une AAI basée sur des normes rend souple la gesdon des authendficadons et d autorisadon. L accès aux ressources numériques et services se traduit généralement par la mise en œuvre de mécanismes d'authendficadon et de gesdon des autorisadons s'appuyant sur un ensemble d informadons (données) gérées au sein d'un référendel de type «annuaire».
I. GENERALITES (6) E Avantages d un AAI (2) Les annuaires électroniques conçu sur les standards LDAP/SUPANN sont udlisés dans les universités pour stoker les informadons sur les ressources notamment les idendtés numériques pour gérer les authendficadons au sein de l établissement.
II. SOURCES DE DONNEES: ANNUAIRES LDAP (1) A DéfiniDon LDAP (Lightweight Directory Access Protocol) est le protocole d annuaire TCP/IP. C est une base d informadons comme une base de données opdmisée en lecture. Il est plus facile d accéder à des infos en lecture qui se trouvent dans un annuaire LDAP plutôt que des infos qui se trouvent dans une Base de Données (BD) reladonnelle. Ils sont adaptés pour les besoins d authendficadon
II. SOURCES DE DONNEES: ANNUAIRES LDAP (2) B Architecture (DIT)
II. SOURCES DE DONNEES: ANNUAIRES LDAP (3) C Les recommandadons (1) 1 Les recommandadons dc=ucad, dc=sn 2 Les Unités organisadonnelles ou=people, ou=groups, ou=structures
II. SOURCES DE DONNEES: ANNUAIRES LDAP (4) C Les recommandadons (2) 3 Les Schémas (1) a b c SupAnn (1) Schac Internet2
II. SOURCES DE DONNEES: ANNUAIRES LDAP (7) D ProposiDon DIT PADTICE (Voir Document)
II. SOURCES DE DONNEES: ANNUAIRES LDAP (8) E Les Services (2) 1 Pour les Etudiants a b c d AuthenDficaDon au Portail AuthenDficaDon Messagerie AuthenDficaDon LINUX, Windows & VPN AuthenDficaDon Wifi
II. SOURCES DE DONNEES: ANNUAIRES LDAP (9) E Les Services (1) 2 Pour les personnels a b c d AuthenDficaDon au Portail AuthenDficaDon Messagerie AuthenDficaDon LINUX, Windows & VPN AuthenDficaDon Wifi
II. SOURCES DE DONNEES: ANNUAIRES LDAP (10) F Exemple d entrée dn: uid=samuel.ouya,ou=people,dc=uvs,dc=sn objectclass: inetorgperson objectclass: shadowaccount objectclass: posixaccount objectclass: schacpersonalcharacterisdcs objectclass: supannperson uid: samuel.ouya givenname: Samuel sn: OUYA cn: Samuel OUYA displayname: Samuel Ouya mobile: 70 XXXXXXX mail: samuel.ouya@ucad.edu.sn loginshell: /bin/bash homedirectory: /home/ouya uidnumber: 1105 gidnumber: 1105 userpassword: passer street: Liberte 6 Dtle: Professeur schacplaceofbirth: Dakar schacdateofbirth: 19000000 schaccountryofcidzenship: SN schacmothertongue: FR supanncivilite: M. supannempcorps: Docteur SupannAffectaDon: DGI Departement de Genie InformaDque supannempid: 222 supannmailperso: samuel.ouya@gmail.com SupannListeouge: FALSE
III. SSO CAS (Single Sign On) (1) A ProblémaDque 1 AuthenDficaDon Unique (Une seule authendficadon pour accéder à plusieurs services) 2 Accès sécurisé (hyps) 3 Connexion Inter- Etablissement 4 GesDon centralisée des comptes (Login / Mot de passe) 5 Contrôle d accès en foncdon des droits
III. SSO CAS (Single Sign On) (2) B SoluDon Le CAS (Central AuthenDficaDon Service) est un système d'authendficadon qui a été mis au point pour fournir un moyen fiable d'authendfier un udlisateur pour l accès à une ressource numérique à travers le web. Le CAS est basé sur un mécanisme d authendficadon unique appelé SSO (Single Sign On). Il consdtue le socle d une AAI.
III. SSO CAS (Single Sign On) (3) C FoncDonnement de base (1) CAS est essendellement un protocole basé sur des requêtes HTTP pures. Certains messages sont cependant formatés en XML. Ce protocole est basé sur une nodon d'échange de Dckets. Ces Dckets sont des «opaque handles» : ils ne transportent aucune informadon. Il y a 2 Dckets nécessaires au foncdonnement de base, plus 2 autres Dckets dans le cas d'udlisadon de proxy CAS : Ticket- GranDng Cookie (TGC) Service Ticket (ST) Proxy- GranDng- Ticket (PGT) Proxy- Ticket (PT)
III. SSO CAS (Single Sign On) (4) C FoncDonnement de base (2) Premier accès d un navigateur au serveur CAS (sans TGC) AuthenDficaDon d un navigateur auprès du serveur CAS
III. SSO CAS (Single Sign On) (5) C FoncDonnement de base (3) RedirecDon vers le serveur CAS d'un navigateur non authendfié auprès du client CAS
III. SSO CAS (Single Sign On) (6) C FoncDonnement de base (4) RedirecDon par le serveur CAS d'un navigateur vers un client CAS auprès authendficadon
III. SSO CAS (Single Sign On) (7) C FoncDonnement de base (5) ValidaDon d un ST par demande client Vision par l udlisateur du mécanisme d authendficadon
IV. La FédéraDon d idendté (1) A ProblémaDque Le nombre croissant d applicadons oblige les universités à meyre en place un portail de services basé sur : Un référendel d udlisateurs (LDAP); Une authendficadon centralisée (CAS- SSO) Ce service d authendficadon reste interne à chaque établissement. Les collaboradons entre universités se muldplient et se font de plus en plus étroites. D où le besoin d interconnecter leurs systèmes d authendficadon La fédéradon d idendtés répond le mieux à ce besoin.
IV. La FédéraDon d idendté (2) B Sans FédéraDon d idendté
IV. La FédéraDon d idendté (3) C Avec FédéraDon d idendté
IV. La FédéraDon d idendté (3) C Avec FédéraDon d idendté
IV. La FédéraDon d idendté (4) D Les techniques udlisées (1) Différentes soludons sont udlisées : ü SAML ü Shibboleth ü Liberty Alliance Autres types de soludons udlisées par les grandes sociétés du web/ ü YahooID ü Live ID (Microso}) ü Google Account
IV. La FédéraDon d idendté (5) D La soludon: Shibboleth Shibboleth permet : La propagadon des ayributs udlisateurs; La délégadon de l authendficadon Ses foncdonnalités sont moins étendues que celles de Liberty Alliance, mais correspondent aux besoins de l enseignement supérieur et de la recherche. Logiciel open source pour l idendficadon sur le web ; Mécanisme de propagadon d idendté développé par Internet2 regroupant universités et centres de recherches (plus de 200); Très udlisé par la communauté enseignement / recherche;
IV. La FédéraDon d idendté (6) E Avantages Basé sur des standards (Single sign on, etc.). Interopérabilité avec d autres logiciels udlisant les mêmes standards; Open source et soutenu par Internet 2 PublicaDon sélecdve des informadons Déjà déployé à grande échelle (GB, USA, Finlande, Suisse, France );
IV. La FédéraDon d idendté (7) F Inconvénients Complexité technique SAML, SSL, Tomcat, Apache, LDAP UDlisé uniquement pour les applicadons web
IV. La FédéraDon d idendté (8) F Les acteurs du système Dans le système shibboleth interviennent 3 briques : IdP (IdenDty Provider); SP (Service Provider); WAYF (Where Are You From)
IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (1) 1 Shibboleth sans SSO
IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (2) 2 Shibboleth avec SSO
IV. La FédéraDon d idendté (8) G Les modes de foncdonnement de Shibboleth (3) 3 Shibboleth avec SSO & WAYF
IV. La FédéraDon d idendté (9) H Captures (1)
IV. La FédéraDon d idendté (10) H Captures (2)
IV. La FédéraDon d idendté (11) H Captures (3)
FIN MERCI POUR VOTRE ATTENTION