L authentification distribuée à l aide de Shibboleth Rencontre thématique à l intention des responsables des infrastructures et des systèmes dans les établissements universitaires québécois Montréal, le 6 avril, 2006 André Béland Technologie et recherche Ordre du jour Authentification, autorisation et accès Problématique actuelle Authentification distribuée Shibboleth Fonctionnement de Shibboleth Inertie et leadership s 1
Authentification, autorisation et accès Authentification Qui Suis-je? Manières d identifier quelqu un Nom Photo Numéro de client et N.I.P. Identificateur et mot de passe Reconnaissance de la voix Signature électronique Empreintes digitales Être un ami, membre de la famille, etc. 2
Authentification Qui Suis-je? Manières d identifier quelqu un Nom Photo Numéro de client et N.I.P. Identificateur et mot de passe Reconnaissance de la voix Signature électronique Empreintes digitales Être un ami, membre de la famille, etc. Degré de personnalisation Autorisation Droit ou permission de faire quelque chose Permis de conduire (automobiles, mais non les poids lourds) Autorisation à consulter les salaires, mais non à les changer RH : autorisation à changer les salaires avec 2 ou 3 niveaux d'autorisation (gestionnaire + chef de section + chef des ressources humaines) 3
Accès Possibilité de faire quelque chose Accès à une automobile + permis de conduire (un bris mécanique bloque l accès) Accès physique Accès logique Faire quelque chose Authentification succès Autorisation Accès 4
Problématique actuelle Systèmes actuels 5
Problématique actuelle Signature unique (single sign-on ou SSO) Problématique actuelle Granularité des besoins Reconnaissance par adresse IP Serveur mandataire (proxy) Campus versus petits groups Instantanéité et réponse 6
Problématique actuelle Confidentialité des informations nominatives Problématique actuelle Changements de perspectives 7
Problématique actuelle Web 2.0 L'usager est membre de quels groupes? Comment gère-t-on les ressources? Relations de 8
Authentification distribuée avec Shibboleth Authentification Authentification Autorisation Accès 9
Authentification distribuée distribuée Répartition entre les différents nœuds d'un réseau Perméabilité des frontières d un domaine Internet Séparation des différentes responsabilités Administration des comptes des usagers Gestion de l accès Complexité Authentification distribuée En d autres mots Façon de permettre aux usagers d accéder à une ressource sécurisée, sur un site à distance tout en garantissant le droit au domaine privé. accès permis info. privée 10
Avantages L usager, ou son représentant, contrôle la nature des renseignements à échanger. Le fournisseur n a pas à administrer les comptes des usagers. Authentification distribuée Un usager Base de données des usagers Internet 11
Pourquoi Shibboleth? Shibboleth est une solution parmi d'autres mais c'est l'une des plus accessibles pour l'authentification distribuée. En 2003, le groupe de recherche de l'icist conclut que Shibboleth est une technologie d'avenir. Adoption intense aux É.-U. auprès de plusieurs universités, collèges et centres de recherches Conditions d'affaires et environnementales favorables; adoption soutenue par le marché Pourquoi Shibboleth? Une initiative d'internet2 (consortium de recherche) Le projet Shibboleth reçoit l'appui financier et technique de grandes organisations, dont Université Ohio State (Scott Cantor) Université Brown Université Duke IBM Etc. 12
Fonctionnement de Shibboleth Bref survol Fonctionnement de Shibboleth en bref 1. Un usager tente d'accéder à un document, mais se voit refuser l'accès. X 13
Fonctionnement de Shibboleth en bref 2. L'usager donne son identité. 1. Un usager tente d'accéder à un document, mais se voit refuser l'accès. X Fonctionnement de Shibboleth en bref 2. L'usager donne son identité. 1. Un usager tente d'accéder à un document, mais se voit refuser l'accès. X 3. Les deux parties échangent des renseignements en communication sécurisée (avec confiance mutuelle). 14
Fonctionnement de Shibboleth en bref 2. L'usager donne son identité. 4. L'accès est accordé. 1. Un usager tente d'accéder à un document, mais se voit refuser l'accès. X 3. Les deux parties échangent des renseignements en communication sécurisée (avec confiance mutuelle). Tout cela se produit de manière transparente du point de vue de l'usager ou presque! Fonctionnement de Shibboleth Séance complète 15
Fonctionnement de Shibboleth Un usager Gestionnaire des ressources L'usager tente d'accéder à une ressource 1 Un usager Gestionnaire des ressources 16
Redirection de l usager inconnu D'où venezvous? WAYF 3 1 2 Gestionnaire des ressources Cela se produit de manière transparente et continue du point de vue de l'usager. WAYF: Where Are You From Autosélection de son origine dans un menu D'où venezvous? WAYF D'ici. 4 3 1 2 Gestionnaire des ressources Cela se produit de manière transparente et continue du point de vue de l'usager. WAYF: Where Are You From 17
Nouvelle redirection de l'usager Nous vous redirigeons vers votre organisation. 5 WAYF 4 3 1 2 Gestionnaire des ressources Cela se produit de manière transparente et continue du point de vue de l'usager. Auto-identification de l usager Qui êtes-vous? (authentification) WAYF 5 7 6 4 3 1 2 Je suis moi : numéro d'usager mot de passe Gestionnaire des ressources Notez que cette transaction se produit auprès de l'organisation de l'usager! 18
Création d'un descripteur par le fournisseur WAYF 5 7 6 4 3 1 2 Numéro de transaction 8 Numéro de transaction D'accord. Nous savons qui vous êtes. Gestionnaire des ressources Création d'un nouveau numéro de transaction ou descripteur à l'organisation. L'usager est redirigé vers le fournisseur d'origine (de manière transparente). Deuxième tentative d'accès à la ressource WAYF 5 7 6 4 3 1 2 Numéro de transaction 8 Numéro de transaction Vous êtes de retour avec un descripteur. Gestionnaire des ressources 19
En arrière-plan 1 : validation du descripteur WAYF 5 7 6 4 3 1 2 Numéro de transaction 9 8 Numéro de transaction Copie du numéro de transaction Vous connaissez cet usager? Gestionnaire des ressources En arrière-plan 2 : échange d'attributs Notez que l'échange d'attributs a été prédéterminé par accord : a) entre l'usager et son organisation (données privées ou non); b) entre l'organisation et le fournisseur. WAYF 2 4 3 5 6 1 7 Numéro de transaction Le descripteur me semble valide 9 8 Numéro de transaction Copie du numéro de transaction 10 Profil d'attributs Oui. Voici les attributs de l'usager. Gestionnaire des ressources 20
Le fournisseur décide quant à l'accès En ce moment, le fournisseur reconnaît l'usager sans nécessairement le connaître. Pour ce faire, le fournisseur se base sur les renseignements reçus (attributs) d'une source de confiance (partenaire connu). L'accès est alors permis ou refusé. WAYF 2 4 3 5 6 1 7 Numéro de transaction 9 8 Numéro de transaction Copie du numéro de transaction 10 Profil d'attributs Selon les attributs reçus, vous avez accès à cette ressource. Gestionnaire des ressources Dans le meilleur des mondes WAYF 5 7 6 4 3 1 2 Numéro de transaction 9 8 Numéro de transaction Copie du numéro de transaction 10 Profil d'attributs Gestionnaire des ressources 21
Satisfaction de la clientèle Voila ce que je voulais! WAYF.. 1 Numéro de transaction Gestionnaire des ressources Inertie et leadership 22
Points de discussions Gestion fédérée des accès Qui détermine les attributs à échanger? WAYF Relations de confiance? Numéro de transaction Profil d'attributs Gestionnaire des ressources 23
Qu'est-ce qu'une Fédération? Association d'organisations qui utilisent un ensemble d'attributs, de pratiques et de politiques d'usage commun en vue d'échanger des renseignements à propos d'usagers et à des fins de transaction ou de collaboration. Mécanisme de confiance mutuelle Principe d'action Authentifier localement, agir globalement Agir ensemble en fédération Les différentes parties gardent le contrôle quant aux attributs dévoilés et échangés. Les fournisseurs de ressources gardent un contrôle sur la décision d'autorisation. Fédération Shibboleth Sans Négociations bilatérales multiples Avec Négociations de N membres fédérés Instauration de la confiance entre les parties Ensemble commun d'attributs Ententes bilatérales toujours possibles Possibilité pour la fédération d'offrir le service «D'où venez-vous?» (WAYF) 24
Exemples de fédérations Shibboleth InCommon : Internet2 SWITCH: The Swiss Education & Research Network (fédération suisse) HAKA : Finnish IT center for science SDSS- Projet de la librairie des données de l'université d'édimbourg (EDINA national datacentre) Etc. Fédérations nationales États-Unis Suisse Royaume-Uni Finlande Aussi Australie Belgique France Suède 25
Points de discussions Une fédération canadienne Fédération canadienne Shibboleth au Québec Université McGill Shibboleth au Canada L'Université de Toronto Association des facultés de médecine du Canada (AFMC) BC.NET Research & Education Network Shibboleth dans le secteur privé : éditeurs Reed Elsevier 26
Le Web : version 2.0 L'avenir du web Changements de perspectives s Page d'accueil officielle de Shibboleth http://shibboleth.internet2.edu/index.html Le réseau suisse : The Swiss Education & Research Network http://www.switch.ch/aai/demo/ Recherche Google : «shibboleth» Nombreuses ressources maintenant disponibles OCLC (Online Computer Library Center) http://www.oclc.org/ca/en/productworks/ shibboleth.htm 27
s Article sur l'authentification universelle (en anglais) : Universal Authentication http://www.technologyreview.com/ read_article.aspx?ch=specialsections &sc=emergingtech&id=16474 FIN andre.beland auprès du cnrc.ca 28