Séminaire sécurité Les Web Services et leur sécurité Stephan Nardone CTO Security Architect tel. +41 22 727 05 55 Stephan.nardone@e-xpertsolutions.com
Que sont les Web Services? 1 Que sont les Web Services? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service
Web Services Définition
Définition - SOA SOA (Services Oriented Architecture) Une SOA se fonde sur la décomposition des processus métiers en Services exposés sous la forme de modules fonctionnels.
Définition Web Services Les Web Services sont un type de SOA Les Web Services résultent de l évolution et de la convergence: de l informatique distribuée (CORBA, RMI, DCOM,...etc.) de l'intégration d'applications d'entreprise ou EAI (EDIFACT, ANSI/X12, ASN1, etc.) Utilisent XML comme (meta)langage de communication Permettent la discussion d ordinateur à ordinateur Utilisent des protocoles standardisés, souvent contrôlés par W3C, OASIS et WS-I Conçus pour être platform and transport-independent
Définition Web Services Définition : Composants logiciels qui peuvent être publiés, localisés et exécutés au travers d Internet et ce en utilisant le language XML (extensible Markup Language) Le but des Web Services est de solutionner les points suivants : Interopérabilité Traversée des firewalls Complexité Données en temps réel
Exemple d architecture Exemple :
Web Services Web Services Registry 1 - Publish 2 - Find Web Service Provider Web Services Client 3 - Bind / Invoke
Web Services Menu Waiter Chef Yellow Pages Toutes les communications sont établies ici en français
Web Services Web Services UDDI WSDL Web Service Listener Database Toutes les communications sont établies ici en XML
Composants Les différents composants des Web Services sont : XML Extensible Markup Language A uniform data representation and exchange mechanism. UDDI Universal Description, Discovery, and Integration A mechanism to register and locate WS based application. WSDL Web Services Description Language A standard meta language to described the services offered. SOAP Simple Object Access Protocol A standard way for communication. SAML XML-based open standard for exchanging authentication and authorization data between security domains
XML XML signifie EXtensible Markup Language. XML est donc un markup language tout comme HTML. XML a été créé pour décrire des données de manière structurée. Les tags XML ne sont pas prédéfinis. Il est nécessaire de les définir soit même. XML est donc le choix parfait pour l échange de données interplateforme tels que les Web Services.
XML vs HTML <html> <body> <h2>john Doe</h2 <p>2 Backroads Lane<br> New York<br> 045935435<br> john.doe@gmail.com<br> </p> </body> </html> John Doe 2 Backroads Lane New York 045935435 John.doe@gmail.com - HTML définit comment le document doit être affichée mais pas ce qu il contient. - Difficile à un ordinateur d extraire les données. - Lisible pour un être humain.
XML vs HTML <?xml version=1.0?> <contact> <name>john Doe</name> <address>2 Backroads Lane</address> <country>new York</country> <phone>045935435</phone> <email>john.doe@gmail.com</email> </contact> - XML définit ce que contient le document mais pas son affichage. - Facile à un ordinateur d extraire les données. - Lisible pour un être humain.
WSDL
Web Service Description Language WSDL : Permet la description d un service Equivalent au menu d un restaurant Utilise XML pour décrire ce que le Web Service peut accomplir : Interface information (available functions) Function data types Function location information (URL address) Choice of application transfer protocol
Web Service Description Language Exemple de syntaxe WSDL : http://developer.ebay.com/webservices/latest/ebaysvc.wsdl <message name="getstockpricerequest"> <part name="stock" type="xs:string"/> </message> <message name="getstockpriceresponse"> <part name="value" type="xs:string"/> </message> <porttype name= StocksRates"> <operation name= GetStockPrice"> <input message= GetStockPriceRequest"/> <output message= GetStockPriceResponse"/> </operation> </porttype>
SOAP
Simple Object Access Protocol SOAP : Permet de poser des questions et recevoir les réponses Une Remote Procedure Call (RPC) qui consiste en de l XML envoyé par HTTP Equivalent à la discussion avec un serveur dans un restaurant Structure similaire à une lettre : Le message est rédigé en XML Ce message est mis dans une enveloppe XML
Simple Object Access Protocol Exemple de requête SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformation> <AirportIdentifier>N99</AirportIdentifier> </GetAirportInformation> </soap:body> </soap:envelope>
Simple Object Access Protocol Exemple de réponse SOAP : <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap= "http://schemas.xmlsoap.org/soap/envelope/"> <soap:body> <GetAirportInformationResponse> <GetAirportInformationResult> <Name>Brandywine Airport</Name> <Location>West Chester, PA</Location> <Length unit="feet">3347</length> </GetAirportInformationResult> </GetAirportInformationResponse> </soap:body> </soap:envelope>
SAML
Security Assertion Markup Language (SAML) HTTP Header HTTP Body SOAP Header SOAP Body SAML Request or Response
SAML http://code.google.com/googleapps/domain/sso/saml_reference_implementation.html
Comment sécuriser les Web Services? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service
Pourquoi sécuriser ces flux?
Les risques Interconnexion entre entreprises Connexion directe aux applications métier Données sensibles en transit Solutions «jeunes» La sécurité n est pas toujours impliquée dans les architectures de Web Services Solution logicielle parfois complexe (terminologie, flux, )
Atteinte à la réputation Comment? SQL Injection Remote command injection Privilege escalation Conséquences Atteinte à la réputation de l entreprise Atteinte à la marque
Fuite d information Comment? Automatisation des requêtes SQL Injection XPATH Injection Xquery Injection Conséquences Récupération de données sensibles Récupération des informations internes
Deni de service Comment? Attaques sur les parseurs Récursivité Entités internes et externes Nombre d éléments et d attributs Conséquences Interruption de service Indisponibilité
Non respect des SLAs Comment? Client mal développé Abus de fonctionnalité Détournement du fonctionnement initial Conséquences Rupture de contrat Indisponibilité du service Pénalités
Fail!!
Principales attaques
Les types d attaque XML-Based Utilise les faiblesses du langage XML (ex: entity expansion) Bugs in backend systems Code Injection Denial of Service Man in the Middle Beaucoup de technologies utilisées impliquent un risque de bug élevé. Les attaques XML injection sont simples à entreprendre. Ce sont les attaques les plus répandues. Flux important de messages, envoi de centaines d éléments encryptés peuvent mettre à mal un système complet et affecter les SLAs. Les messages peuvent être interceptés. Ceci pose des soucis de routage des messages et également d intégrité.
Attaque XML : Entity Expansion Document XML <!DOCTYPE foo [ <!ENTITY a "1234567890" > <!ENTITY b "&a;&a;&a;&a;&a;&a;&a;&a;" > <!ENTITY c "&b;&b;&b;&b;&b;&b;&b;&b;" > <!ENTITY d "&c;&c;&c;&c;&c;&c;&c;&c;" > <!ENTITY e "&d;&d;&d;&d;&d;&d;&d;&d;" > <!ENTITY f "&e;&e;&e;&e;&e;&e;&e;&e;" > <!ENTITY g "&f;&f;&f;&f;&f;&f;&f;&f;" > <!ENTITY h "&g;&g;&g;&g;&g;&g;&g;&g;" > <!ENTITY i "&h;&h;&h;&h;&h;&h;&h;&h;" > <!ENTITY j "&i;&i;&i;&i;&i;&i;&i;&i;" > <!ENTITY k "&j;&j;&j;&j;&j;&j;&j;&j;" > <!ENTITY l "&k;&k;&k;&k;&k;&k;&k;&k;" > <!ENTITY m "&l;&l;&l;&l;&l;&l;&l;&l;" > ]> <foo>&m;</foo> - L invoquation de &m semble sans risque - Mais &m se réfère 8 fois à &l qui se réfère 8 fois à &k!!! - L appel va donc se finir avec 8 12 &a qui se compose de 10 caractères - Donc du simple appel à &m vont résulter 10x8 12 soit 687,194,767,360 caractères!!
Attaque XML : XML Attribute Blowup Document XML <?xml version="1.0"?> <foo a1="" a2=""... a10000="" /> - Un parser XML standard devrait effectuer 50 000 000 opérations ( 1-10000) - Si chaque opération prend 100 nanoseconds, le traitement prenda 5 secondes - Avec 100 000 entrées, cela fait 50 000 000 000 d opérations soit 500 secondes
Deni de Service Injection du DoS SOAP Directement sur le Service HTML Via le Portail Frontal Web <soapenv:envelope xmlns:soapenv="http://schemas.xmlsoap.org/soap/envelope/" xmlns:tem="http://tempuri.org/"> <soapenv:header/> <soapenv:body> <tem:login> <tem:loginid> John Doe<a1>.</a1> </tem:loginid> <tem:password> muahahah </tem:password> </tem:login> </soapenv:body> </soapenv:envelope> WS de gestion des comptes Login: John Doe <a1> </a1> Password: ********
Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso-8859-1"?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> <mail>joepublic@example1.com</mail> </user> <user> <uname>janedoe</uname> <pwd>an0n</pwd> <uid>500<uid/> <mail>janedoe@example2.com</mail> </user> </users> Username: alice Password: iluvbob E-mail: alice@example3.com</mail></user><user>< </mail></user><user><uname uname>hacker</ >Hacker</uname uname> <pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid><mail>hacker@exmaple_evil.net</mail>
Attaque XML : XML Injection Document XML <?xml version="1.0" encoding="iso-8859-1"?> <users> <user> <uname>joepublic</uname> <pwd>r3g</pwd> <uid>10<uid/> <mail>joepublic@example1.com</mail> </user> <user> <uname>alice</uname> <pwd>iluvbob</pwd> <uid>501<uid/> <mail>alice@example3.com</mail> </user><user><uname uname>hacker</ >Hacker</uname uname>< ><pwd pwd>l33tist</ >l33tist</pwd pwd>< ><uid uid>0</ >0</uid uid> <mail>hacker@example_evil.net</mail> </user> </users>
Injection Xpath L équivalent de SQL Injection de données pour corrompre une expression xpath Nouvelle difficulté : pas de commentaires inline Exemple Authentification basée sur l expression: Injection //user[name='$login' and pass='$pass']/account/text() $login = whatever' or '1'='1' or 'a'='b $pass = whatever Exploitation de la précédence de l opérateur AND L expression devient //user[name='whatever' or '1'='1' or 'a'='b' and pass= whatever']/account/text() = TRUE TRUE OR FALSE
Web Services Comment sécuriser ces flux?
Les questions à se poser Qui accède à ce système? Ses requêtes sont elles légitimes? Puis je faire vérifier son identité avec un annuaire local? Comment s est-il authentifié? Quand? Quels sont ses droits? Comment garantir confidentialité et respect de la vie privée? Mes données sont-elles sensibles? Dois-je respecter des SLAs?
Comment se protéger? Message integrity (signature) Ensure message integrity. Support for XML Signature. Message confidentiality (encryption) Ensure end-to-end data privacy. Support for both SSL and XML. Encryption are essential. Authentication (SAML) Verifying the identity of the requestor. Access Control (SAML) Ensuring that the requestor has appropriate access to the resource. Schema Validation (WSDL) Ensuring intergrity of the structure and content of the message. Security Standards (WS-Security) Supporting standards based security functions such as WS-Security. Malicious attack protection (Black List) Supporting protection against the lastest Web Services and XML-Based attacks.
WS-Security En appliquant le WS-Security : Trust relationships WS-Trust XKMS WS-Federation SAML LibertyAlliance SOAP WS-Security WS-Reliability XACML WS-Policy SAML Access XML XML Encryption XML Signature Implémentations les plus courantes HTTP TCP HTTP Auth SSL / TLS Sécurité habituelle des applications Web IP IPSec
WS-Security <?xml version="1.0" encoding="utf-8"?> <soap:envelope xmlns:soap="http://schemas.xmlsoap.org/soap/envelope/" xmlns:ds="http://www.w3.org/2000/09/xmldsig#"> <soap:header> <wsse:security xmlns:wsse="http://schemas.xmlsoap.org/ws/2002/04/secext"> <ds:signature> <ds:signaturevalue>djbchm5gk...</ds:signaturevalue>... </ds:signature> </wsse:security> </soap:header> <soap:body id="msgbody">... </soap:body> </soap:envelope>
Web Services Une solution : le parefeu applicatif
Firewall applicatif vs Firewall XML PARE-FEU APPLICATIF Détection d attaques propres aux applications PARE-FEU XML Détection d attaques communes : SQL injection, XSS, etc. Détection d attaques propres aux services web (WSDL, ) Les fonctions de détection sont complémentaires
Problématique des firewalls standards Firewall standard pop3 X TCP/IP ftp X https http Application Web
Problématique des firewalls standards XML, Soap, WSDL http / https P2P, IM, http Tunneling Java, ActiveX, VBScript, etc. Html, Dhtml
Web Application Firewall Internet Legitimate Traffic Malicious Application Activity Application Floods Network Attacks & Floods Not allowed Services
WAF - Positionnement Trafic web potentiellement dangereux Trafic web sûr Trafic non web DMZ Présentation DMZ Traitement ESB/Passerelle XML Traitement métier Réseau Interne Clients Pare-feu XML Filtrage de contenu DMZ WAF DMZ Données
Principales fonctionnalités d un firewall XML Protection de Web Services, flux XML et des interactions SAML Contrôle d accès unifié et renforcé en amont des serveurs Web Garantit l'intégrité des informations échangées entre les applications Web Services Liste noire et politique de sécurité par défaut sur les attaques XML (XPATH/XQUERY injection, parser recursion, etc.) Liste blanche et apprentissage, conformité WSDL/schema, external entities etc. XML Encryption, Signature & Transformation
Son fonctionnement technique 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service
Petit-déjeuner sécurité du jeudi 9 juin 2011 Philippe Logean Ingénieur Sécurité tel. +41 22 727 05 55 Philippe.logean@e-xpertsolutions.com
Bee-Ware V5 i-suite: plateforme unique pour tous les composants i-sentry Sentry: Firewall applicatif et revesre-proxy IAM: Module AAA et Web SSO i-watch: Outil d'observation et d'aide à la compréhension des flux applicatifs XML Firewall module: Filtrage et manipulation des messages XML
Management centralisé Console de management centralisée Interface unique de paramétrage des appliances. Interface unique de déclaration des politiques de traitement des requêtes et des politiques de sécurité. Point unique de sauvegarde des configurations (automatisable) Point unique de centralisation et dʼanalyse des logs de sécurité. Rôles: administration, supervision, décision, etc. Appliance de management dédié
Traitement des flux par Workflow Création d'un arbre de traitement du flux à partir d'une vue graphique. Représentation de la requête sous forme d'attributs et tables d'attributs. Utilisation d'objets de traitement comme les conditions, modifications, suppression et ajout. Possibilité d'insérer des moteurs d analyse ou des appels externes dans le traitement (exemple : invocation du moteur de sécurité ICX, sous-requête HTTP, LDAP, ICAP, etc.).
Firewall Applicatif Moteur ICX: Protection contre les attaques de type XSS, SQL injection, manipulation de fichiers, de chemin, buffer overflow, etc. Filtre les flux Web et XML Tableau de règles à la manière des firewalls réseaux
Firewall Applicatif (Suite) Sécurité négative et positive Dissimulation des informations sensibles (en-têtes superflues, pages d'erreurs, etc.) retournées au client. Possibilité de travailler sur l'ip source et destination ainsi que le port destination, l'uri, la query string, les headers, les cookies, des variables GET et POST parsées, des messages XML. Possibilité de personnalisation des messages d'erreur renvoyés à l utilisateur.
Principe du reverse proxy dans i-suite 172.20.1.175:443 Tunnel 172.20.1.171:80 SSL Protocol + Ciphers
La technologie mise à part 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service
i-suite XML Firewall module Fonctionnalités XML dans les Workflows
i-suite XML Firewall module Règle XML dans la politique de sécurité de l ICX
XML Firewall module spécifications Features Message routing Encryption-Decryption Signatures Schema validation Authentication, authorisation Protection Transformation Standards supported SOAP, REST, RAW, over HTTP(S) SSL, WS-Encryption XML-DSig WSDL, Schema, WSI SAML Bee Ware Technology (ICX) XSLT, RegExp
Traitement & Sécurité 80% Part des fonctionnalités orientées traitement des XML Gateways* Fonctions de traitement Fonctions de sécurité (*) Sources : www.vordel.com, ibm.com, layer7.com
Traitement & Sécurité Médiation de protocoles BPM UDDI Protection Validation Authentification 85% Part estimée des fournisseurs de Web Services ne nécessitant que des fonctions de sécurité
Le marché Acteurs principaux et challengers 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque sur un Web Service
Démo de manipulation d un flux XML Signature d un message SOAP et insertion du header Chiffrement du body du message SOAP Déchiffrement du body du message SOAP Validation de la signature du message SOAP Validation d un schéma WSDL
Démo de manipulation d un flux XML TCP 1080 SOAP message signature + header insertion SOAP Source Message TCP 1085 TCP 1084 TCP 1083 Tunnel définit dans le Reverse-Proxy Port d écoute TCP 1082 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse)
Message SOAP source http://xml.demo.lan:1080/ TCP 1080 SOAP Source Message
SOAP message signature + header insertion http://xml.demo.lan:1082/ TCP 1082 TCP 1080 SOAP message signature + header insertion SOAP Source Message
SOAP Source Message SOAP body encryption (dogooglesearchresponse) http://xml.demo.lan:1083/ TCP 1083 TCP 1082 TCP 1080 SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion
SOAP Source Message SOAP body unencryption http://xml.demo.lan:1084/ TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion
SOAP Source Message SOAP message signature validation http://xml.demo.lan:1085 TCP 1085 TCP 1084 TCP 1083 TCP 1082 TCP 1080 SOAP message signature validation SOAP body unencryption SOAP body encryption (dogooglesearchresponse) SOAP message signature + header insertion
Validation du schéma WSDL Envoi d une requête respectant le format du Webservice <?xml version="1.0" encoding="utf-8"?> <nomcomplet>prenom Nom</nomComplet> Envoi d une requête ne respectant pas le format du Webservice <?xml version="1.0" encoding="iso-8859-1"?> <nomcomplet>prenom <b> Nom </b></nomcomplet> DEMO
DLP Mission impossible? 1 QuesontlesWebServices? 2 Comment sécuriser les Web Services? 3 Rappels sur Bee-Ware V5 4 i-suite XML Firewall module 5 Démonstration de manipulation des flux XML 6 Démonstration d attaque surun unweb Service
Petit-déjeuner sécurité du jeudi 9 juin 2011 Matthieu Estrade Responsable Innovation tel. +33 6 26 87 41 91 mestrade@bee-ware.net www.bee-ware.net
Contexte Webservice Une URL pour le serveur Une page web qui agit comme client Simulation d un webservice de catalogue de pièces automobiles stockées dans une base de données
L infrastructure
Cinématique
Requêtes Récupération d un article du catalogue grâce à son ID Injection d un caractère non autorisé Affichage d informations sensibles Injection SQL Récupération du catalogue entier Récupération automatisé de contenu Récupération du catalogue entier
Démo Sécurité des Webservices DEMO
Conclusion Les Web Services sont de plus en plus utilisés, Ces architectures sont autant à risque que les architectures Web standard, Quelques facteurs de risque : Protocoles et infrastructures encore très méconnus, L interconnexion aux applications métiers, Les équipes de sécurité encore trop rarement impliquées, Des guidelines existent (WS-Security) Des solutions de sécurité dédiées sont maintenant disponibles sur le marché
Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information
Petit-déjeuner sécurité du jeudi 9 juin 2011 Yann Desmarest Ingénieur Sécurité tel. +41 22 727 05 55 yann.desmarest@e-xpertsolutions.com
e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 55 Fax +41 22 727 05 50 Le mot de passe» Faiblesse d utilisation du mot de passe statique» Attaques et vulnérabilités liées le bon sens et l expérience
Les faiblesses d utilisation du mot de passe Création du mot de passe Compléxité Password Policy Longueur du mot de passe Utilisation des caractères spéciaux Augmentation des échecs Mémorisation impossible Inscription manuscrite Cycle de vie du mot de passe Fréquence d utilisation Fréquence de changement Réutilisation d anciens mot de passe Insatisfaction de l utilisateur Charge de l administrateur
Attaques et vulnérabilités liées
Impacts d une attaque réussie
e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 55 Fax +41 22 727 05 50 L authentification forte» Définition de l authentification forte»one Time Password» Public Key Infrastructure et Biométrie le bon sens et l expérience
Définition de l authentification forte 2-factor authentication Strong authentication Ce que l on possède TOKEN PASSWORD BIOMETRIE Ce que l on connait Ce qui nous caractérise
OTP One Time Password TIME BASED EVENT BASED CHALLENGE/RESPONSE
Software Token Sécurité PIN non stocké sur mobile, ni transmis, ni stocké sur le serveur Sécurité PIN selectionné par l utilisateur, pas de PIN temporaire Compatibilité Supporté sur J2ME, WinCE, Brew, Blackberry, iphone, ipad, Androïd Fonctionnalités 2-factor authentication, Transaction Data Signing, Enrolement auto,
Tokens Hardware - NagraID Caractéristiques Dimensions: 85.5mm x 54mm x 0.8mm NagraLam lamination technology OTP Event Based Dynamic one-time password (OTP) Numerical 6-digit display (ISO/IEC, INCITS, ANSI, CQM) Personnalisation 1 to 3-year lifetime Tamper evident Custom artwork graphics Card personalization features and options
Tokens Hardware - Yubikey Caractéristiques Dimensions: 18 x 45 x 3 mm Poids: 2,5 grams Connecteur USB Multi-plateforme OTP Event Based
PKI (Public Key Infrastructure) et Biométrie Technologie MOC Match On Card Lecteur de carte Capteurs
e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 55 Fax +41 22 727 05 50 Tendances du marché» Corroboration» Transaction Data Signing» Risk Based Authentication le bon sens et l expérience
Corroboration QUI? QUAND? Username OTP Date d envoi VALID
TDS Transaction Data Signing DEMO #1
Risk Based Authentication Risk Engine Définition du risque acceptable Apprentissage Compilation/Evaluation du risque
Risk Based Authentication Learning Behavior
Risk Based Authentication Strong Multi-factor
e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 55 Fax +41 22 727 05 50 De nouveaux Standards» Initiative for Open authentication - OATH» OpenID / SAML le bon sens et l expérience
Initiative for Open Authentication - OATH
OpenID / SAML Security Assertion Markup Language (SAML) standard basé sur XML Echange des données d authentification et d autorisation entre domaines Service Provider / ID Provider OpenID 2.0 (http://openid.net) Fédération des identités Solution Web SSO à travers Internet
e-xpert Solutions SA 109, chemin du Pont-du-Centenaire CH 1228 Plan-les-Ouates Tél +41 22 727 05 55 Fax +41 22 727 05 50 Démo authentification» i-suite IAM» Authentification par Certificat» Learning» Authentification par OTP» Authentification sur ressources sensible le bon sens et l expérience
i-suite - IAM Module d authentification et de Web SSO Authentification périmétrique (mot de passe, Radius, LDAP, certificats numérique, Kerberos, Elcard, etc.) Authentification applicative (Web SSO) (Basic, Forms, NTLMv2, Header) Learning des crédentiaux applicatif Gestion des autorisations
Scénario de la démo L utilisateur peut s authentifier par certificat ou par OTP sur la même ressource Web Le mot de passe applicatif est apprit (learning) à la 1 ere connexion pour effectuer du web SSO dans l application L accès à une ressource sensible est possible directement pour l utilisateur authentifié par certificat L accès à une ressource sensible est possible après authentification par mot de passe pour l utilisateur authentifié par OTP
Schéma de la démo Learning for Web SSO HTTPS HTTPS Radius
Démo authentification Authentification par certificat et learning Authentification par certificat et Web SSO Authentification par OTP et Web SSO Accès par mot de passe à une ressource confidentielle
Questions? e-xpert Solutions S.A. est une société Suisse de services spécialisée en sécurité informatique dont les fondateurs ont fait de leur passion leur métier : La sécurité des systèmes d'information