Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Documents pareils
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Authentification et contrôle d'accès dans les applications web

Tour d horizon des différents SSO disponibles

Introduction aux architectures web de Single Sign-on

Single Sign-On open source avec CAS (Central Authentication Service)

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Formation SSO / Fédération

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

CAS, un SSO web open source. 14h35-15h25 - La Seine A

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

ENVOLE 1.5. Calendrier Envole

Présentation de la solution Open Source «Vulture» Version 2.0

Sécurisation des architectures traditionnelles et des SOA

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Business et contrôle d'accès Web

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Gestion des Identités : 5 règles d'or. Patrice Kiotsekian Directeur Evidian France

Introduction. aux architectures web. de Single Sign-On

JOSY. Paris - 4 février 2010

WebSSO, synchronisation et contrôle des accès via LDAP

Responsable du cours : Héla Hachicha. Année Universitaire :

SAML et services hors web

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Gestion des identités

Authentification centralisée et SSO Sujet. Table des matières. 1 ORGANISATION Mode de rendu Informations complémentaires 1 2 SUJET 2

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Implémentation libre de Liberty Alliance. Frédéric Péters

AccessMaster PortalXpert

Evidian IAM Suite 8.0 Identity Management

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Gestion des utilisateurs et Entreprise Etendue

MINISTÈRE DES SOLIDARITÉ ET DE LA COHÉSION SOCIALE

La gestion des identités au CNRS Le projet Janus

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Formations. «Règles de l Art» Certilience formation N SIRET APE 6202A - N TVA Intracommunautaire FR

CAS, la théorie. R. Ferrere, S. Layrisse

Oauth : un protocole d'autorisation qui authentifie?

ACCÈS AUX RESSOURCES NUMÉRIQUES

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

Installation du point d'accès Wi-Fi au réseau

CAHIER DES CHARGES D IMPLANTATION

Architecture et infrastructure Web

La fédération d identité Contexte, normes, exemples

Solutions Microsoft Identity and Access

Fédération d'identités et propagation d'attributs avec Shibboleth

Les technologies de gestion de l identité

d authentification SSO et Shibboleth

Solutions d accès sécurisées pour opérer une Market Place Saas multitenante

La gestion des identités dans l'éducation Nationale, état des lieux et perspectives

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

La Latecion protection anti-intrusion Web Web Le concept «Zero effort Security» La protection des applications Extranet

Annuaire LDAP, SSO-CAS, ESUP Portail...

Authentifications à W4 Engine en.net (SSO)

Gestion des accès et des identités

SuisseID Mon «moi numérique»

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Séminaire EOLE Dijon 23/24 novembre Architecture Envole/EoleSSO

Groupe Eyrolles, 2004 ISBN :

La sécurité dans les grilles

Les modules SI5 et PPE2

Table des matières. Préface Mathieu JEANDRON

Digital DNA Server. Serveur d authentification multi-facteurs par ADN du Numérique. L authentification de confiance

La haute disponibilité de la CHAINE DE

Par KENFACK Patrick MIF30 19 Mai 2009

PERSPECTIVES. État de l art. Authentification unique (SSO) d entreprise Mobilité, sécurité et simplicité

Introduction à Sign&go Guide d architecture

educa.id Gestion d'identité et d'accès

contact@nqicorp.com - Web :

Architectures de fédération d'identités et interopérabilité

Groupe de travail Gestion des identités Les usages et les services ATELIER 2

Annuaires LDAP et méta-annuaires

Fédération d identité territoriale

L'identité numérique du citoyen Exemples Internationaux

Gestion de l identité en environnement Web 2.0

Solutions de gestion de la sécurité Livre blanc

Secure Java Card for Federate Identity Management

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

«ASSISTANT SECURITE RESEAU ET HELP DESK»

Solution Olfeo Guide d'intégration

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

SP5 Sécurité Lot 5.1 Analyse des besoins et de l existant

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

st etienne.fr

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

DMZ... as Architecture des Systèmes d Information

Version 2.2. Version 3.02

Transcription:

Page 1

Introduction Sommaire I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes Page 2

Introduction Page 3

«Introduction Dialogue entre utilisateurs du réseau informatique : - La gestion des mots de passe de mon entreprise est très compliquée : D'abord, le service informatique me fait renseigner un mot de passe pour entrer sur Windows qui doit être obligatoirement compliqué, donc je l'oublie régulièrement et je suis obligé de rappeler le service informatique. Ce mot de passe ne dure qu'un certain temps donc à chaque fois c'est la même chose. En plus, il faut retenir un mot de passe pour les mails et pour chaque application, je ne m'en sors plus. - Moi j'utilise un carnet que je laisse toujours sur mon bureau et je note soigneusement tous mes mots de passe à chaque fois qu'ils changent.» Conclusions : La multiplication des systèmes de sécurité devient à terme contre-productive. Ce n'est pas à l'utilisateur de centraliser les informations de sécurité mais au système informatique! Page 4

I- Présentation générale I- Présentation générale Page 5

I- Présentation générale Définition générale du SSO - : Authentification unique - Permet à un utilisateur d'accéder à plusieurs services en ayant à effectuer qu'une opération d'authentification. - L'information d'authentification se propage sur chacun des services réseau. Page 6

I- Présentation générale Avantages du SSO - Simplification de l'authentification de l'utilisateur : - Cela lui évite d'avoir à retenir trop de mots de passe ou pire, à les noter dans un carnet! - Cela lui évite de taper un mot de passe à chaque fois qu'il lance une application - Sécurité améliorée : Toute la sécurité est laissée entre les mains d'un serveur spécialisé. Chaque application n'est pas responsable de la sécurité. -Cohérence dans la gestion des comptes utilisateurs (allocation, expiration, mises à jour) Ergonomie utilisateur, rationalisation dans la gestion des comptes. Page 7

I- Présentation générale Critique du SSO - Une seule authentification pour accéder à toutes les ressources donc en cas d'obtention d'un mot de passe par une personne mal intentionnée, elle aura l'accès à tous les services réseau. - Pour éviter cela, il faut réfléchir à une politique d'authentification et si besoin passer à un système d'authentification lourde. Page 8

I- Présentation générale Principes du SSO - Concepts inspirés de Kerberos : - Authentification assurée par un serveur dédié et transparente pour l application (pas de recueil du couple identifiant+mot de passe) - Tickets délivrés au client (maintien de la session d authentification) et aux applications (transmission de l identité de l utilisateur) - Relation de confiance entre les applications et le serveur d authentification (cryptographie symétrique ou asymétriques, certificats X509) Page 9

I- Présentation générale Définition du SSO lourd - Le SSO lourd nécessite une installation et une configuration sur chacun des clients. - Cette installation peut être sous forme de logiciel «agent». - Le SSO lourd peut aussi concerner une méthode d'authentification forte (certificats, carte à puce, clé USB, biométrie). Page 10

I- Présentation générale Définition du Web SSO - Le Web SSO fournit une signature unique pour les Web services basés sur HTTP et HTTPS. - Il est considéré comme léger car aucune configuration n'est à faire côté client, tout se passe sur le serveur. Page 11

I- Présentation générale Termes associés au SSO Identification / Authentification / Autorisation L'identification permet de vérifier l'identité d'une personne via un login par exemple. L'authentification permet de s'assurer Qu'une personne est bien celle qu'elle Prétend être par login et mot de passe Et plus encore par biométrie. L'autorisation permet à partir de l'identification et l'authentification de définir des droits à une personne. Le travail du SSO est avant tout l'authentification. Page 12

I- Présentation générale Termes associés au SSO Authentification forte : L'authentification forte est un processus combinant plusieurs moyens d'authentification : - Un mot de passe - Un élément matériel : une carte à puce, une clé USB - Une authentification par biométrie Fédération d'identité : La fédération d'identité permet de gérer l'identification des utilisateurs au sein d'une société possédant plusieurs sites géographiques. Les serveurs d'identification sont répartis, l'utilisateur peut se connecter de n'importe où et pourquoi pas profiter d'un SSO (mais pas obligatoirement). Page 13

I- Présentation générale Fédération Identités : Apports attendus Offrir des services personnalisés basés sur l idendité numérique garantissant le respect de la vie privée des utilisateurs cohérence et simplicité du parcours utilisateur interoperabilité des différents modèles de gestion des identités numérique usages sécurisés de l identité numérique viabilité économique du modèle pour tous les acteurs de la chaîne de valeur Page 14

I- Présentation générale Fédération d identités: schéma technique idp régional ip-sts infocard services territoriaux profil citoyen idp services gouvernementaux profil régalien ip-sts infocard idp profil télécom services bancaires profil bancaire services télécom Page 15

II- Exemples d'architectures SSO II- Exemples d'architectures de et étude du marché Page 16

II- Exemples d'architectures SSO SSO Lourd : Méthode de l'agent Page 17

II- Exemples d'architectures SSO SSO Lourd : Méthode de l'agent Page 18

II- Exemples d'architectures SSO SSO Lourd : Authentification forte Page 19

II- Exemples d'architectures SSO Web SSO : Méthode du reverse proxy Page 20

II- Exemples d'architectures SSO Web SSO : Méthode de la délégation Page 21

III- Implémentation en entreprise Étude de marché : D'une manière générale, les principaux SSO lourds sont des solutions d'entreprises et les Web SSO sont plutôt des projets open source. SSO lourd : 4 grandes solutions : - Evidian : Enterprise SSO - Actividentity : SecureLogin - Avencis : SSOX - CA : SSO Principales solutions de Web SSO : - Central Authentication Service (CAS) - LemonLDAP-NG - Vulture-NG - Shibboleth Page 22

II- Exemples d'architectures SSO Evidian Page 23

II- Exemples d'architectures SSO Computer Associates (CA) Page 24

II- Exemples d'architectures SSO Actividentity Page 25

II- Exemples d'architectures SSO Avencis Page 26

II- Exemples d'architectures SSO Web SSO Les principaux Web SSO sont plutôt des projets open source. CAS : Système de Web SSO réparti, avec un serveur SSO, un serveur d'authentification et éventuellement un proxy. Vulture-NG : Reverse proxy qui permet de faire du filtrage, des redirections d'url et du SSO. LemonLDAP-NG : Système de Web SSO réparti, avec un serveur SSO, un serveur d'authentification et éventuellement un proxy. Page 27

II- Exemples d'architectures SSO SSO pour les particuliers Solutions de Web SSO pour les particuliers : - Passport et LiveID de Microsoft - OpenID - Personal Identity Portal de Verisign Page 28

III- Implémentation en entreprise III- Implémentation d'un projet de SSO en entreprise Page 29

III- Implémentation en entreprise Méthodologie : 1) Définition du besoin 2) Analyse de l'existant 3) Architecture logique 4) Mise en œuvre Page 30

III- Implémentation en entreprise Définition du besoin : Réduire les coûts de help desk Accroître la productivité des utilisateurs : - Éviter les pertes de temps, oublis mots de passe Améliorer la sécurité : -Renforcer le contrôle d accès aux applications critiques Se conformer aux lois et règlement de l Entreprise Renforcer la simplicité des architectures Page 31

III- Implémentation en entreprise Exemple de calcul de R.O.I. Page 32

III- Implémentation en entreprise Analyse de l'existant : Utilisateurs : - Nombre d'utilisateurs - Nombre d'applications protégées - Temps moyen pour taper un mot de passe - Temps moyen de réinitialisation d'un mot de passe Parc informatique : - Recensement des serveurs - Recensement des applications - Sources de données (bases SQL, annuaires LDAP, ) - Types d'authentifications Choix d'une solution Page 33

III- Implémentation en entreprise Architecture logique : Choix de l'architecture : - Choix des applications - Choix des matériels et des serveurs - Choix des sources de données - Réplication des données - Politique de gestion des mots de passe - Exploitation Processus de déploiement Page 34

III- Implémentation en entreprise Mise en œuvre : Installation et configuration : - Installations matérielle - Installations logicielle - Configurations - Développements - Intégration Support : - Formation - Dépannage, aide aux utilisateurs - Documentations Page 35

IV- Présentation de solutions techniques IV- Présentation de solutions techniques Page 36

IV- Présentation de solutions techniques Serveur d'authentification avec CAS Présentation de CAS en pratique Page 37

IV- Présentation de solutions techniques CAS : Principe du ticket - Ticket Granting Cookie : Quand le client s'authentifie sur le serveur, il reçoit un ticket sous forme de Cookie dans son navigateur. Ce cookie ne peut être lu ou écrit que par le serveur CAS. Si le navigateur refuse les cookies, le client sera redirigé vers le serveur CAS à chaque fois qu'il accédera à un service. - Service Ticket : Ticket présent sous forme d'url (méthode GET) qui permet au service d'échanger des informations avec le serveur CAS. Il ne sert qu'une seule fois et pour chaque application et chaque utilisateur. Page 38

IV- Présentation de solutions techniques CAS : Le standard SAML Security assertion markup language : Langage basé sur XML. SAML est un format de données qui définit comment les applications peuvent s'échanger des informations d'authentification. Il permet à des serveurs de SSO de s'échanger des informations en respectant un certain format. CAS utilise SAML, il est donc potentiellement compatible avec d'autres systèmes SSO utilisant le même protocole. Microsoft, Novell, Verisign et IBM utilise un protocole concurrent : WS-Federation Page 39

IV- Présentation de solutions techniques Clients CAS Pour «cassifier» des applications, c'est à dire prévenir les applications de passer d'abord par le serveur CAS et demander le ticket, plusieurs librairies sont disponibles : Clients officiels : - Cas Client for Java - phpcas - mod_auth_cas pour Apache - Acegi (maintenant nommé Spring Security) - Une liste et des méthodes de «cassification» sont disponibles sur le site : http://www.ja-sig.org/wiki/display/casc/ Page 40

IV- Présentation de solutions techniques Reverse Proxy avec Vulture-NG Présentation sur PC du reverse proxy Vulture-ng Page 41

IV- Présentation de solutions techniques SSO Watch - Evidian Démonstration en vidéo d'écran sur leur site Page 42

Annexes Annexes Page 43

Bibliographie : - Aucun livre dédié spécifiquement au SSO - Linux Magazine Fév. 2009 : SSO avec CAS - Linux Magazine Jan. 2010 : SSO avec CAS et radius Page 44

Liens Internet : - Comité réseau des universités (CRU) : www.cru.fr/documentation/federation - Vulture SSO : http://vulture.open-source.fr - CAS : http://www.jasig.org/cas - Novell Secure Login : www.novell.com/products/securelogin - Evidian IAM : http://www.evidian.com/fr/iam/sso-entreprise/index.htm Page 45

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back