Rencontres Mondiales du Logiciel Libre Présentation du WebSSO LemonLDAP::NG. Clément OUDOT

Documents pareils
LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

WebSSO, synchronisation et contrôle des accès via LDAP

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Présentation de la solution Open Source «Vulture» Version 2.0

Single Sign-On open source avec CAS (Central Authentication Service)

La gestion des identités au CNRS Le projet Janus

Serveurs de noms Protocoles HTTP et FTP

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Installation et configuration de Vulture Lundi 2 février 2009

JOSY. Paris - 4 février 2010

Contenu de la version 3.4 C I V I L N E T A D M I N I S T R A T I O N

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Service d'authentification LDAP et SSO avec CAS

Présentation d Epicard

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

ADMINISTRATION DE ADOBE LIVECYCLE MOSAIC 9.5

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Introduction à Sign&go Guide d architecture

Hébergement de sites Web

Failles XSS : Principes, Catégories Démonstrations, Contre mesures

Quel ENT pour Paris 5?

L3 informatique TP n o 2 : Les applications réseau

SAML et services hors web

Gilles.Roussel univ-mlv.fr HTTP/1.1 RFC 2068

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

SÉCURITÉ POUR LES ENTREPRISES UN MONDE NUAGEUX ET MOBILE. Sophia-Antipolis 01/07/2013 Cyril Grosjean

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Implémentation libre de Liberty Alliance. Frédéric Péters

Activité sur Meteor. Annexe 1 : notion de client-serveur et notion de base de données

1 Introduction Propos du document Introduction De HTTP 1.0 à HTTP

Formation Webase 5. Formation Webase 5. Ses secrets, de l architecture MVC à l application Web. Adrien Grand <jpountz@via.ecp.fr> Centrale Réseaux

ZABBIX est distribué sous licence GNU General Public License Version 2 (GPL v.2).

Documentation CAS à destination des éditeurs

Programmation Web. Madalina Croitoru IUT Montpellier

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Aspects techniques : guide d interfaçage SSO

Apache Tomcat 6. Guide d'administration du serveur Java EE sous Windows et Linux. Résumé. Étienne LANGLET

Installation et configuration d OCS/GLPI sur un Serveur Debian

AccessMaster PortalXpert

CAHIER DES CHARGES D IMPLANTATION

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

Gestionnaire des services Internet (IIS)

Hébergement de site web Damien Nouvel

Tour d horizon des différents SSO disponibles

Description de la maquette fonctionnelle. Nombre de pages :

Réseaux. 1 Généralités. E. Jeandel

HTTP HTTP. IUT1 dpt SRC L Isle d Abeau Jean-françois Berdjugin. Introduction et architecture Messages Authentification Conclusion

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

Joomla! Création et administration d'un site web - Version numérique

La mémorisation des mots de passe dans les navigateurs web modernes

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Découvrez la nouvelle version de HelpDesk! HelpDesk De nouvelles fonctions, plus de contrôle, mais toujours aussi simple!

Internet. Web Sécurité Optimisation

La suite logicielle Lin ID. Paris Capitale du Libre 25 septembre 2008

Fiche Produit MediaSense Extensions

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Sécurisation des architectures traditionnelles et des SOA

Business et contrôle d'accès Web

Introduction. aux architectures web. de Single Sign-On

Découvrez la nouvelle version de HelpDesk! HelpDesk De nouvelles fonctions, plus de contrôle, mais toujours aussi simple!

EXPOSE. La SuisseID, qu est ce que c est? Secrétariat d Etat à l Economie SECO Pierre Hemmer, Chef du développement egovernment

Zimbra. S I A T. T é l : ( ) F a x : ( )

Evidian IAM Suite 8.0 Identity Management

RFC 7230 : Hypertext Transfer Protocol (HTTP/1.1): Message Syntax and Routing

L'open source peut-il démocratiser la Gestion d'identité?

Proxies,, Caches & CDNs

ADF Reverse Proxy. Thierry DOSTES

«Clustering» et «Load balancing» avec Zope et ZEO

Petite définition : Présentation :

Fédération d identité territoriale

Architecture et infrastructure Web

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Gestion des identités

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Comment utiliser mon compte alumni?

Installation d un serveur HTTP (Hypertext Transfer Protocol) sous Débian 6

Pourquoi installer un domaine Windows Active directory? E. Basier - CNIC S. Maillet - CRPP F. Palencia - ICMCB

Guide d installation JMap 5.0

Plan de notre intervention 1. Pourquoi le test de charge? 2. Les différents types de tests de charge 1.1. Le test de performance 1.2.

ENVOLE 1.5. Calendrier Envole

Serveur Subversion Debian GNU/Linux

Chapitre 1 Windows Server

Gestion des identités Christian-Pierre Belin

UCOPIA EXPRESS SOLUTION

21 mars Simulations et Méthodes de Monte Carlo. DADI Charles-Abner. Objectifs et intérêt de ce T.E.R. Générer l'aléatoire.

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

DenyAll Protect. Sécurité & accélération. Parefeux pour applications et services Web. de vos applications.

Service WEB, BDD MySQL, PHP et réplication Heartbeat. Conditions requises : Dans ce TP, il est nécessaire d'avoir une machine Debian sous ProxMox

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Formation en Logiciels Libres. Fiche d inscription

Introduction aux architectures web de Single Sign-on

Modèle de cahier des charges pour un appel d offres relatif à une solution de gestion des processus métier (BPM)

Transcription:

Rencontres Mondiales du Logiciel Libre 2009 Présentation du WebSSO LemonLDAP::NG Clément OUDOT

Menu du jour Concepts du WebSSO Le logiciel LemonLDAP::NG Nouveautés de la version 0.9.4 Démonstration 2

Définition du WebSSO SSO signifie «Single Sign On», qui peut se traduire en français par «authentification unique» Le SSO est souvent accompagné de certaines fonctionnalités : Politique de mot de passe centralisée Transmission transparente des informations de session aux applications Gestion des profils applicatifs, c'est-à-dire qui accède à quoi 3

SSO par agent 4

SSO par délégation 5

SSO par mandataire inverse 6

Le protocole HTTP GET HTTP/1.1 Accept: text/html User-Agent: Mozilla/5.0 (X11; U; Linux i686; fr; rv:1.7.6) HTTP/1.1 200 OK Date: Thu, 13 Mar 2008 15:05:29 GMT Server: Apache Content-Length: 264 Content-Type: text/html; charset=iso-8859-1 <?xml version="1.0" encoding="iso-8859-1"?> <!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/tr/xhtml1/dtd/xhtml1-transitional.dtd"> <html xmlns="http://www.w3.org/1999/xhtml" lang="fr" xml:lang="fr" dir="ltr"> <head> <title>lemonldap::ng Homepage</title>... </html> 7

Présentation de LemonLDAP::NG LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces) Fournit un portail d'accès dynamique et une interface d'administration 8

Architecture 9

Principe L'implémentation par défaut utilise un annuaire LDAP pour : authentifier l'utilisateur (vérification du mot de passe) effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur) approvisionner les applications (par transmission des attributs LDAP dans les en-têtes HTTP) permettre à l'utilisateur de changer son mot de passe 10

Fonctionnement général 11

Gestion des sessions Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, Memcached,...) Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix : Cookie non-sécurisé Cookie sécurisé (HTTPS uniquement) Double cookie Durée de vie des sessions configurable 12

Règles d'accès Les règles d'accès sont des expressions Perl Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL) Tous les attributs exportés lors de l'authentification sont disponibles dans les règles Un système de macros permet de stocker des valeurs calculées en session 13

Règles d'accès Accès pour tous les utilisateurs authentifiés : Default => accept Accès pour le groupe «admin» : Default => $groups =~ /admin/ Accès aux mp3 pour l'utilisateur HADOPI : ^/*\.mp3 => $uid eq "HADOPI" Interception du logout de l'application ^/logout.php => logout_sso 14

Hôtes virtuels La distinction des applications est basée sur la notion d'hôtes virtuels Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache Chaque hôte virtuel possède : Des règles d'accès Des en-têtes HTTP Les en-têtes HTTP contiennent également des expressions Perl 15

Applications nativement compatibles 16

Autres applications compatibles Applications reposant sur la sécurité Apache (.htaccess) : Nagios,... Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe,... Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access,... Applications compatibles SiteMinder 17

Nouveautés de la version 0.9.4 Utilisation de LDAP possible pour le stockage de la configuration et des sessions Réécriture complète des fonctions SOAP : le portail est directement un point d'accès SOAP Système de notifications Nouvelles fonctions disponibles dans les règles d'accès pour vérifier les dates, les jours et les heures de connexion autorisés L'adresse du portail peut être dynamique 18

Nouveautés de la 0.9.4 Séparation des modules d'authentification, de données utilisateur et de mots de passe Gestion complète de la politique des mots de passe LDAP Configuration simplifiée du cross-domain 19

Feuille de route Refonte de l'interface d'administration Validation du formulaire d'authentification pour les applications fermées Portefeuille de comptes pour les applications fermées Support SAML2 complet (fournisseur d'identités et fournisseur de service) 20

Démonstration 21

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back