SAML et services hors web



Documents pareils
Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Tour d horizon des différents SSO disponibles

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Formation SSO / Fédération

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Introduction. aux architectures web. de Single Sign-On

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Single Sign-On open source avec CAS (Central Authentication Service)

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Introduction aux architectures web de Single Sign-on

ENVOLE 1.5. Calendrier Envole

Implémentation libre de Liberty Alliance. Frédéric Péters

Authentification EoleSSO

Support de sources d'authentification multiples dans un portail de travail collaboratif

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Mémoire de fin d'études

st etienne.fr

EoleSSO EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Séminaire EOLE Dijon 23/24 novembre Architecture Envole/EoleSSO

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Sécurisation des architectures traditionnelles et des SOA

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

ASIP Santé DST des interfaces MSSanté des Clients de messagerie v /02/ / 95

WebSSO, synchronisation et contrôle des accès via LDAP

Sun Java System Access Manager Notes de version pour Microsoft Windows

La gestion des identités au CNRS Le projet Janus

Oauth : un protocole d'autorisation qui authentifie?

Gestion d identités PSL Exploitation IdP Authentic

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

d authentification SSO et Shibboleth

Présentation de la solution Open Source «Vulture» Version 2.0

Groupe Eyrolles, 2004 ISBN :

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

Gestion des utilisateurs dans un environnement hétérogène

Authentification unique Eurécia

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

OpenLDAP, un outil d administration Réseau. Une implémentation d OpenLDAP

VMware Zimbra et la Sécurité

CAS, la théorie. R. Ferrere, S. Layrisse

Polux Développement d'une maquette pour implémenter des tests de sécurité

educa.id Gestion d'identité et d'accès

25 septembre Migration des accès au Registre national en protocole X.25 vers le protocole TCP/IP, pour les utilisateurs du Registre national

Gestion d identités PSL Installation IdP Authentic

Architectures de fédération d'identités et interopérabilité

Liberty Alliance pour FederID. Pierre Cros

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Authentification et contrôle d'accès dans les applications web

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

L3 informatique TP n o 2 : Les applications réseau

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

Description de la maquette fonctionnelle. Nombre de pages :

CAS, un SSO web open source. 14h35-15h25 - La Seine A

ADF Reverse Proxy. Thierry DOSTES

Evolutions du guichet de la fédération et gestion des métadonnées SAML

StreamServe Persuasion SP3 StreamStudio

Service d'authentification LDAP et SSO avec CAS

ADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives

Business et contrôle d'accès Web

AccessMaster PortalXpert

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Installation et configuration de Vulture Lundi 2 février 2009

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Fédération d'identités et propagation d'attributs avec Shibboleth

OWASP Open Web Application Security Project. Jean-Marc Robert Génie logiciel et des TI

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Présentation d Epicard

Joomla! Création et administration d'un site web - Version numérique

Sécurisation d une application ASP.NET

Mise en place d annuaires LDAP et utilisation dans plusieurs applications

Zimbra. S I A T. T é l : ( ) F a x : ( )

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

LINUX Préparation à la certification LPIC-3 (examen LPI 300) - 2ième édition

Single Sign-On open-source avec CAS (Central Authentication Service)

Active Directory. Structure et usage

Authentifications à W4 Engine en.net (SSO)

Samson BISARO Christian MAILLARD

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Guide de l'administrateur Tableau Server

Utiliser Améliorer Prêcher. Introduction à LDAP

Authentification unifiée Unix/Windows

RECOMMANDATIONS POUR LA GESTION DE

Gestion des identités

Fédération de compte entre Votre compte Association (VCA) et l application de dépôt des comptes annuels des associations

étendre l authentification unique Web à des environnements Cloud et mobiles agility made possible

Gestion des utilisateurs et Entreprise Etendue

Catalogue des formations 2015

Intégration du canal Stockage à Rennes 1

Transcription:

SAML et services hors web

SAML en bref Security Assertion Markup Language Fédération d'identités pour le web SingleSignOn (SSO) et SingleLogout (SLO) Diffusion contrôlée d'informations personnelles Ne requiert pas de fonctionnalité particulière dans les navigateurs

Terminologie SAML Fournisseur d'identité (IdP): service authentifiant l'usager Fournisseur de service (SP): service rendu à l'usager Assertion SAML: message XML produit par l'idp, validant l'identité de l'usager ProviderId: identifiant unique d'un SP ou d'un IdP, souvent l'url d'un fichier de métadonnées SAML décrivant le service

Échanges SAML Le client s'adresse au SP Redirection vers l'idp Authentification par l'idp Renvoi vers le SP (requête POST contenant l'assertion SAML) Nombreux autres mécanismes possibles dans la norme: requêtes GET ou POST, SOAP direct entre SP et IdP sans intervention du client...

Assertion SAML Message XML indiquant l'identité de l'usager Signature cryptographique par l'idp Spécification du SP récipiendaire Fenêtre temporelle de validité Comprends des attributs personnels, typiquement extraits de l'annuaire LDAP

Services hors web Exemple canonique: le webmail Le webmail est le SP, mais le client doit s'authentifier au serveur IMAP SAML prévoit le mécanisme enhanced client or proxy (ECP), mais basé sur HTTP Implémentation libres de ECP:? Faire parler HTTP aux serveurs IMAP: bof... Même problème pour l'annuaire LDAP

CrudeSAML L'assertion SAML est signée, précise le SP et la fenêtre temporelle de validité Connue uniquement de l'idp, du client et du SP Elle est donc utilisable comme jeton de sécurité CrudeSAML: module PAM et plugin SASL validant les assertions SAML Signature cryptographique, IdP émetteur Fenêtre temporelle

Intégration avec mod_auth_mellon mod_auth_mellon: module Apache 2 implémentant un SP SAML Option pour inclure l'assertion SAML dans l'environnement Apache <Location /webmail> MellonSamlResponseDump On </Location> Pas de compromission si des usagers ont accès au serveur web

Service hors web: OpenLDAP (1) Utilisons le plugin SASL Client en PHP $error = ldap_sasl_bind($ds, NULL, $_SERVER["MELLON_SAML_RESPONSE"], "SAML", NULL, $user, NULL, "none"); Sur le serveur web, seul notre client a accès à $_SERVER["MELLON_SAML_RESPONSE"]

Service hors web: OpenLDAP (2) Sur le serveur LDAP, /usr/lib/sasl2/slapd.conf saml_grace: 600 saml_userid: uid saml_idp0: /etc/openssl/certs/idp.saml saml_trusted_sp0: https://sp/saml/metadata Et enfin /etc/openldap/slapd.conf authz-regexp uid=([^,]*),cn=saml,cn=auth ldap:///o=example??sub?(uid=$1)

Service hors web: Squirrelmail (1) Usage du module PAM Surcharges dans le fichier de configuration de Squirrelmail, cf README de CrudeSAML saml_data = $_SERVER["MELLON_SAML_RESPONSE"]; $bin_data = base64_decode($saml_data); $secretkey = base64_encode(gzcompress($bin_data)); $_POST["login_username"] = $_SERVER["REMOTE_USER"]; $_POST["secretkey"] = $secretkey;

Services hors web: Squirrelmail (2) Sur le serveur IMAP, /etc/pam.d/dovecot auth sufficient pam_saml.so grace=600 userid=uid idp=/etc/openssl/certs/idp.saml trusted_sp=https://webmail/saml/metadata

Services hors Web: SSH Comme le webmail, on envoie l'assertion SAML comme mot de passe Cohabitation avec les accès SSH usuels: appel de pam_saml puis pam_ldap, ou l'inverse Pas de système de sélection du mécanisme dans PAM: erreurs dans les journaux...

Conclusions WebSSO sur tous les services Pas d'application web privilégiée Développement d'application interne simplifié Authentification gérée par Apache Informations personnelles dans $_SERVER Fonctionne exceptionnellement bien... mais pas du tout remarqué par les usagers!

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back