Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi



Documents pareils
Single Sign-On open source avec CAS (Central Authentication Service)

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Authentification et contrôle d'accès dans les applications web

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Introduction. aux architectures web. de Single Sign-On

Description de la maquette fonctionnelle. Nombre de pages :

La mémorisation des mots de passe dans les navigateurs web modernes

CAS, la théorie. R. Ferrere, S. Layrisse

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

DMZ... as Architecture des Systèmes d Information

A DESTINATION DES SERVICES TIERS. Editeurs d applications et ressources pédagogiques connectées à l ENT

d authentification SSO et Shibboleth

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

AccessMaster PortalXpert

Documentation CAS à destination des éditeurs

Single Sign-On open-source avec CAS (Central Authentication Service)

Aspects techniques : guide d interfaçage SSO

Tour d horizon des différents SSO disponibles

Réalisation d un portail captif d accès authentifié à Internet

Introduction à Sign&go Guide d architecture

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Serveurs de noms Protocoles HTTP et FTP

Programmation Web. Introduction

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Sécurisation d une application ASP.NET

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

FOIRE AUX QUESTIONS PAIEMENT PAR INTERNET. Nom de fichier : Monetico_Paiement_Foire_aux_Questions_v1.7 Numéro de version : 1.7 Date :

Comment utiliser mon compte alumni?

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

IPS-Firewalls NETASQ SPNEGO

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

INTERCONNEXION ENT / BCDI / E - SIDOC

Tarifs et services Dynamic Intranet

Manuel d Installation et de Configuration Clic & Surf C&S 3.3

Service d'authentification LDAP et SSO avec CAS

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Cours 14. Crypto. 2004, Marc-André Léger

Introduction aux architectures web de Single Sign-on

Tech-Evenings Sécurité des applications Web Sébastien LEBRETON

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

JOSY. Paris - 4 février 2010

Sécurité des sites Web Pas un cours un recueil du net. INF340 Jean-François Berdjugin

Par KENFACK Patrick MIF30 19 Mai 2009

Authentifications à W4 Engine en.net (SSO)

Le protocole SSH (Secure Shell)

CAS, un SSO web open source. 14h35-15h25 - La Seine A

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Business et contrôle d'accès Web

L3 informatique TP n o 2 : Les applications réseau

Guide Share France. Web Single Sign On. Panorama des solutions SSO

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

WWSympa, une interface web pour Sympa

Les sites Internet dynamiques. contact : Patrick VINCENT pvincent@erasme.org

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Fédération d'identités et propagation d'attributs avec Shibboleth

WebSSO, synchronisation et contrôle des accès via LDAP

Les solutions de paiement CyberMUT (Crédit Mutuel) et CIC. Qui contacter pour commencer la mise en place d une configuration de test?

Espace Numérique de Travail

Configuration du FTP Isolé Active Directory

Proxy et reverse proxy. Serveurs mandataires et relais inverses

Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

1. Mise en œuvre du Cegid Web Access Server en https

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Principales failles de sécurité des applications Web Principes, parades et bonnes pratiques de développement

Authentification dans ISA Server Microsoft Internet Security and Acceleration Server 2006

MANUEL D INSTALLATION D UN PROXY

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

HTTP 1.1. HyperText Transfer Protocol TCP IP ...

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Création, analyse de questionnaires et d'entretiens pour Windows 2008, 7, 8 et MacOs 10

Configuration du nouveau Bureau Virtuel (BV) collaboratif de Lyon I

DOSSIER D INSCRIPTION au service de paiement sécurisé sur Internet PAYBOX SYSTEM

(structure des entêtes)

Public Key Infrastructure (PKI)

Guichet ONEGATE COLLECTE XBRL SOLVABILITE II (S2P) Manuel d utilisateur VERSION /04/2014 ORGANISATION ET INFORMATIQUE SDESS.

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

INTERCONNEXION ENT / BCDI / E - SIDOC

GLPI (Gestion Libre de Parc Informatique) Installation et configuration d'une solution de gestion de parc et de helpdesk (2ième édition)

Solution Olfeo Guide d'intégration

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

Vulnérabilités et sécurisation des applications Web

ENVOLE 1.5. Calendrier Envole

Sécurisation des architectures traditionnelles et des SOA

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Guide d implémentation. Réussir l intégration de Systempay

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

RTE Technologies. RTE Geoloc. Configuration avec Proxy ou Firewall

E-TRANSACTIONS. Guide du programmeur API Plug-in. Version 1.1

G.E.D. Gestion Électronique des Documents

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Mieux comprendre les certificats SSL THAWTE EST L UN DES PRINCIPAUX FOURNISSEURS DE CERTIFICATS SSL DANS LE MONDE

PHP CLÉS EN MAIN. 76 scripts efficaces pour enrichir vos sites web. par William Steinmetz et Brian Ward

Transcription:

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS 111

L authentification CAS : «Central Authentication Service» CAS ou le service central d authentification Le système CAS, développé par l Université de Yale et utilisé par l Université de Limoges. Il permet de faire du «Single Sign-On», c-à-d. de l authentification unique pour différents services : un utilisateur dispose d un système d identification unifié, qui lui permet de mémoriser un seul identifiant et un seul mot de passe associé (login/mot de passe), pour l accès à plusieurs services ; l utilisateur lorsqu il veut s authentifier pour la première fois à un service doit fournir dans le système son identifiant et son mot de passe ; l utilisateur qui s est déjà authentifié auprès d un service peut s authentifier auprès d un autre service sans avoir à fournir son identifiant et son mot de passe à nouveau ; cette authentification automatique est limitée dans le temps. Ce système est basé sur les protocoles suivants : TCP, pour le transport sûr des données ; SSL, pour le chiffrement de ses données, ce qui permet de les rendre non observable depuis l extérieur (confidentialité) ; HTTP, pour le système de requête/ressource ; HTTP + CGI, pour l envoi de paramètres de formulaire ; HTTP + cookie, pour réaliser l authentification ; HTML, pour l utilisation des formulaires et de la redirection automatique du navigateur. 112

Les avantages le système est gratuit et opensource ; il est basé sur l utilisation d un serveur supportant le protocole HTTP, le CGI et le HTML ; le mot de passe de l utilisateur ne circule qu entre le navigateur de l utilisateur et le serveur CAS, à l intérieur d un canal sécurisé ; le mécanisme permettant la ré-authentification automatique de l utilisateur est basée sur un Cookie privé et protégé et dont seul le serveur CAS connaît le contenu ; le navigateur va recevoir ce cookie lors de sa connexion avec le serveur CAS ; les échanges des autorisations, sous forme de ticket, se font par l intermédiaire du navigateur de l utilisateur ; Ce ticket : a une durée de vie très courte, il est détruit par le serveur CAS lors de son utilisation (ne sert qu une seul fois) ; est lié au service demandé, il ne peut pas servir pour un autre service ; l identité de l utilisateur est connue du service uniquement en cas de succès de l authentification. 113

Pour faire circuler les informations on va utiliser le navigateur de l utilisateur : lorsque l utilisateur va sur le service, on lui propose de s authentifier sur le serveur CAS e suivant un lien vers le serveur CAS ; dans l URL du lien vers le serveur CAS est fournie en paramètre (GET) une «URL de retour» vers le service ; le navigateur se connecte au serveur CAS avec cette URL (contenant en paramètre l URL de retour) : s il est déjà authentifié : il donne son cookie appelé TGC, «Ticket Granting Cookie» au serveur CAS (c est automatique dans la gestion des cookies et c est le serveur CAS qui l a donné initialement au client) ; s il n est pas authentifié, il s authentifie en remplissant le formulaire avec son nom et son mot de passe et renvoi le formulaire au serveur CAS (il recevra en retour son cookie TGC) en indiquant aussi dans les paramètres l URL de retour au service ; dans tous les cas, le serveur CAS retourne un document HTML forçant le navigateur a retourner sur le service (grâce à l URL de retour) ; dans le document HTML fourni par CAS, une redirection vers le service contient en paramètre un ticket associé au service ; le navigateur du client utilise cette URL et transmet le ticket au service ; le service vérifie la validité du ticket auprès du serveur CAS et obtient l identité de l utilisateur. 114

Connexion au Serveur CAS et récupération du formulaire d authentification Soumission du formulaire et récupération du TGC Le serveur CAS interroge un serveur chargé d enregistrer les identifiants/mdp des utilisateurs (annuaire LDAP par exemple). 115

Connexion au service : l utilisateur est redirigé sur le serveur CAS 116

L utilisateur déjà authentifié transmet le TGC au serveur CAS Le serveur CAS fournit en retour un ticket et redirige le navigateur de l utilisateur vers le service avec ce ticket 117

le service utilise le ticket pour vérifier la validité du ticket auprès du serveur CAS 118

L utilisateur peut ensuite accéder à la ressource 119

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back