DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP



Documents pareils
DESCRIPTION DU PLUGIN POUR SPIP D IMPORTATION D'AUTEURS, DE MOTS-CLES ET D EXPORTATION D'AUTEURS, DE MOTS-CLES, DES CONTRIBUTIONS D UN FORUM

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Service d'authentification LDAP et SSO avec CAS

IPS-Firewalls NETASQ SPNEGO

AccessMaster PortalXpert

Single Sign-On open source avec CAS (Central Authentication Service)

Gestion d'un parc informatique avec OCS INVENTORY et GLPI

Plateforme PAYZEN. Intégration du module de paiement pour la plateforme Magento version 1.3.x.x. Paiement en plusieurs fois. Version 1.

MANUEL D UTILISATION LIVRET DE L ENSEIGNANT

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Eliminer les zones d ombre et fournir une identité utilisateur sur le pare-feu dans un environnement client léger

Manuel d Installation et de Configuration Clic & Surf C&S 3.3

GLPI (Gestion Libre. 2 ième édition. Nouvelle édition. de Parc Informatique)

Comment utiliser mon compte alumni?

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Tour d horizon des différents SSO disponibles

Mode operatoire Reseau pedagogique

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

Installation de Premium-RH

Logiciel de connexion sécurisée. M2Me_Secure. NOTICE D'UTILISATION Document référence :

Fiche Produit IPS Manager Assistant

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Cartable En Ligne 1.15

JOSY. Paris - 4 février 2010

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

PREMIERE UTILISATION D IS-LOG

Fédération de compte entre Votre compte Association (VCA) et l application de dépôt des comptes annuels des associations

(Fig. 1 :assistant connexion Internet)

Implémentation libre de Liberty Alliance. Frédéric Péters

Installation / Sauvegarde Restauration / Mise à jour

Mise en place d un intranet de travail collaboratif. Guide utilisateur

Guide d implémentation. Réussir l intégration de Systempay

Authentification et contrôle d'accès dans les applications web

Description de la maquette fonctionnelle. Nombre de pages :

Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

HYBIRD 120 GE POUR LES NULS

OFFICE OUTLOOK QUICK START GUIDE

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Plateforme Systempay. Correspondance entre SP PLUS et SYSTEMPAY Paiement Simple et en plusieurs fois

CONFIGURATION DE BASE

PARAMETRER LA MESSAGERIE SOUS THUNDERBIRD

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

Exemple de configuration ZyWALL USG

Installation du transfert de fichier sécurisé sur le serveur orphanet

POVERELLO KASONGO Lucien SIO 2, SISR SITUATION PROFESSIONNELLE OCS INVENTORY NG ET GLPI

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Keyyo Guide de mise en service CTI / API / TAPI Keyyo

PARAMETRAGE D INTERNET EXPLORER POUR L UTILISATION DE GRIOTTE

Les matricules utilisateur dans l'intranet ULB... 7 Matricules provenant d'ids... 8 Matricules provenant de DCOR... 9

NOMBRE DE PAGES : 13 NOTE SUR LE MODULE RESERVATIONS ET RESSOURCES PARAMETRAGE

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Sommaire Accès via un formulaire d'identification... 4 Accès en mode SSO... 5 Quels Identifiant / mot de passe utiliser?... 6

INTERCONNEXION ENT / BCDI / E - SIDOC

Plateforme takouine: Guide de l apprenant

MANUEL DE PROCÉDURE POUR LA MISE À JOUR DU SITE DE FIDAFRIQUE. Documentation utilisateur Octobre 2005

Création, analyse de questionnaires et d'entretiens pour Windows 2008, 7, 8 et MacOs 10

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

PLAN. Qui peut faire quoi? Présentation. L'internaute Consulte le site public

Manuel d'installation

La double authentification dans SharePoint 2007

Documentation CAS à destination des éditeurs

Site web établissement sous Drupal

LA PLATE-FORME D'ALTERN C

A DESTINATION DES SERVICES TIERS. Editeurs d applications et ressources pédagogiques connectées à l ENT

INTERCONNEXION ENT / BCDI / E - SIDOC

INSTALLER JOOMLA! POUR UN HEBERGEMENT LINUX

Business et contrôle d'accès Web

Environnements Numériques de Travail

La gestion des identités au CNRS Le projet Janus

Utiliser un client de messagerie

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

ADMINISTRATION TÉLÉSERVICES

Introduction à Sign&go Guide d architecture

Impact des robots d indexation sur le cache de second niveau de SPIP IMBERTI Christophe - SG/SPSSI/CP2I/DO Ouest 06/06/2012 mis à jour le 05/07/2012

Les cahiers pratiques de Anonymat.org. SocksCap32. Edition du 20 Octobre 2000

Procédure d'authentification sur Extradoc

ENVOLE 1.5. Calendrier Envole

Introduction. aux architectures web. de Single Sign-On

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

CAS, la théorie. R. Ferrere, S. Layrisse

Mise en place SSO. Mise en place SSO. 1. Installation de Tomcat sur le serveur OCR (Windows) 2. Ajout des librairies. by LegalBox

Vous y trouverez notamment les dernières versions Windows, MAC OS X et Linux de Thunderbird.

One2net. Manuel de l administrateur - PRINCIPES DE BASE. Services internet

Création d un compte Exchange (Vista / Seven)

ACCEDER A SA MESSAGERIE A DISTANCE

Manuel Utilisateur de l'installation du connecteur Pronote à l'ent

d authentification SSO et Shibboleth

Accéder à la plateforme d assistance de la Direction Informatique de l Université Paris-Sud 11. via

Déploiement, administration et configuration

ACCÉDER A SA MESSAGERIE A DISTANCE

CONFIGURATION IP. HESTIA FRANCE S.A.S 2, rue du Zécart TEMPLEUVE +33 (0) (0) Site internet:

SOMMAIRE. Savoir utiliser les services de l'ent Outils collaboratifs

Formation SCRIBE EAD

MISE EN PLACE DU CONNECTEUR SACOCHE

Transcription:

Secrétariat général Service des Politiques support et des Systèmes d Information entre de prestations et d Ingénierie Informatique Département Opérationnel de l Ouest Décembre 2013 DESRIPTION DU PLUGIN D AUTHENTIFIATION AVE AS POUR SPIP.Imberti version modifiée le 19/12/2013

Historique des versions du document Version Date ommentaires 1 12/02/2010 1.1 23/06/2010 Modification de l annexe 1.2 19/12/2013 Ajout d un chapitre dans l annexe Auteur du document hristophe IMBERTI - SG/SPSSI/P2I/DO Ouest SG/SPSSI/P2I/DO Ouest /. Imberti Page 2

Sommaire 1. PRESENTATION...4 1.1 Rappel sur le Single Sign-On avec AS...4 1.2 Les objectifs de ce plugin...4 1.3 Pourquoi un plugin supplémentaire sur ce sujet?...4 1.4 Les fonctionnalités de ce plugin...4 1.5 ompatibilité...4 2. INSTALLATION ET PARAMETRAGE...5 2.1 Installation...5 2.2 Paramétrage...5 3. UTILISATION...6 3.1 Authentification AS...6 3.2 Authentification Hybride...6 4. ANNEXE...7 4.1 Fichier de paramétrage optionnel...7 4.2 Pouvoir utiliser une URL spécifique lorsque le plugin interroge le serveur AS...8 SG/SPSSI/P2I/DO Ouest /. Imberti Page 3

1. Présentation Le plugin «cicas» permet d utiliser un serveur SSO (Single Sign-On), basé sur AS (entral Authentication Service), pour s authentifier dans SPIP 2.0. 1.1 Rappel sur le Single Sign-On avec AS Une présentation sur le Single Sign-On avec AS a été rédigée, par les auteurs du client PHP pour AS (phpas), et est consultable à l adresse suivante : http://perso.univ-rennes1.fr/pascal.aubry/node/29 1.2 Les objectifs de ce plugin L objectif est d utiliser le login et le mot de passe stocké dans le serveur d authentification au lieu de ceux qui sont stockés dans SPIP. ela évite à l utilisateur de gérer ses mots de passe dans plusieurs sites (ou applications) et cela lui évite de s authentifier à nouveau lorsqu il passe d un site à un autre. 1.3 Pourquoi un plugin supplémentaire sur ce sujet? Il existe déjà un plugin «Une authentification SSO» qui permet d utiliser le serveur SSO (Single Sign- On) AS, pour authentifier les accès à l espace public de SPIP. Toutefois, il ne correspond pas à certains besoins spécifiques auxquels le présent plugin doit répondre. 1.4 Les fonctionnalités de ce plugin On peut paramétrer ce plugin pour offrir une authentification AS ou bien une authentification hybride (SPIP ou AS). Dans ce dernier cas, chaque fois qu il souhaitera s authentifier, l utilisateur pourra choisir soit de s authentifier comme d habitude avec SPIP, soit de cliquer sur le lien «Utiliser l authentification centralisée» pour s authentifier avec AS. Par paramétrage on peut choisir de comparer l identifiant renvoyé par le serveur AS au contenu du champ de SPIP contenant l adresse électronique des auteurs, ou bien à celui contenant le login des auteurs. Si plusieurs auteurs ont, dans SPIP, la même adresse de messagerie, il est nécessaire de savoir lequel retenir. Aussi, parmi les auteurs disposant de la même adresse de messagerie, celui qui a le plus de droits dans SPIP sera retenu. Si deux auteurs ont les mêmes droits, le premier par ordre alphabétique de nom d auteur dans SPIP, sera retenu. Les auteurs dont le statut est «à la poubelle» ne seront jamais pris en compte. L authentification sur le site public redirige ensuite vers la page en cours, idem lors de la déconnexion. Un paramétrage par fichier est possible. Il est prioritaire sur le paramétrage du plugin dans l espace privé. ela facilite le déploiement sur un grand nombre de sites. Si un site est publié simultanément sur deux réseaux (par exemple intranet et internet) et que l on veut pouvoir s authentifier sur le site dans les deux cas, il peut être souhaitable que le serveur AS soit accessible sur intranet et sur internet. Aussi, il convient de déterminer la provenance de l auteur (intranet, internet, ) et d aiguiller automatiquement sur l adresse corrélative du serveur AS (intranet, internet, ). ette possibilité est offerte uniquement via le paramétrage par fichier. 1.5 ompatibilité Le plugin est compatible avec SPIP 2.0, SPIP 2.1 et SPIP 3.0. Il surcharge une seule fonction («logout»). Il est compatible avec PHP 5.3. SG/SPSSI/P2I/DO Ouest /. Imberti Page 4

2. Installation et paramétrage 2.1 Installation Le plugin «cicas» s installe comme tous les plugins, cf. http://www.spip.net/fr_article3396.html Il contient le client phpas, ce qui évite de devoir installer ce dernier. 2.2 Paramétrage Le paramétrage s effectue dans le menu [onfiguration] de SPIP, sous menu [onfigurer AS] : Il est impératif sélectionner en premier le mode d'authentification intitulé "AS ou SPIP" afin de vérifier, sans risque, le bon fonctionnement de l'authentification AS. Il convient de renseigner l adresse du serveur AS (sans la faire précéder de http://), le répertoire éventuel du serveur AS (par exemple : /cas) et le port du serveur AS (en général : 443). Si l identifiant renvoyé par le serveur AS est l adresse électronique de l auteur, il est nécessaire de s assurer que, dans SPIP, l adresse de messagerie électronique de chaque auteur est bien renseignée. SG/SPSSI/P2I/DO Ouest /. Imberti Page 5

3. Utilisation 3.1 Authentification AS Au lieu d accéder au formulaire d authentification de SPIP, l utilisateur est redirigé vers le formulaire d authentification du serveur AS. 3.2 Authentification Hybride Le plugin ajoute un lien «Utiliser l authentification centralisée» dans le formulaire d authentification de SPIP. haque fois qu il souhaitera s authentifier, l utilisateur pourra choisir soit de s authentifier comme d habitude avec SPIP, soit de cliquer sur le lien «Utiliser l authentification centralisée» pour s authentifier avec l authentification centralisée. SG/SPSSI/P2I/DO Ouest /. Imberti Page 6

4. Annexe 4.1 Fichier de paramétrage optionnel Un paramétrage par fichier est possible. Il est prioritaire sur le paramétrage du plugin dans l espace privé. ela facilite le déploiement sur un grand nombre de sites. Nom du fichier : racine_du_site/config/_config_cas.php Le fichier doit être situé dans le dossier «config» de SPIP. Exemple de contenu du fichier : <?php /* ---------------------------------------------- Paramètres de configuration pour AS : Exemple : // pour une authentification avec AS mettre 'oui', // pour une authentification hybride AS ou SPIP mettre 'hybride', // sinon authentification SPIP $GLOBALS['ciconfig']['cicas'] = 'hybride'; // si l'identifiant est stocké dans le champ login de la table auteur // mettre 'login' (sinon la recherche sera effectuée dans le champs email) $GLOBALS['ciconfig']['cicasuid'] = ''; // URL du serveur AS (adresse utilisée par défaut) // cet exemple est fictif car l adresse urlcas.i2 n'existe pas $GLOBALS['ciconfig']['cicasurldefaut'] = 'urlcas.i2'; // repertoire du serveur AS (le cas échéant) $GLOBALS['ciconfig']['cicasrepertoire'] = '/cas'; // port du serveur AS (si non renseigne, la valeur par defaut est '443') $GLOBALS['ciconfig']['cicasport'] = '443'; // tableau des autres URLS du serveurs AS selon le type de terminaison de l'adresse // d'appel du site SPIP. L'ordre donné dans cet exemple est important, car c'est // l'ordre d'examen des terminaisons $GLOBALS['ciconfig']['cicasurls'] = array('.ader.gouv.fr' => 'urlcas.ader.gouv.fr', '.gouv.fr' => 'urlcas.ministere.gouv.fr',); // compatibilité avec les anciennes adresses email // domaine email dans la table des auteurs de SPIP => domaine email renvoye par AS $GLOBALS['ciconfig']['cicasmailcompatible'] = array('equipement.gouv.fr' => 'developpement-durable.gouv.fr'); // Par defaut, l'ordre de recherche du HOST dans les variables HTTP est celui de // phpas, c'est a dire : 'HTTP_X_FORWARDED_SERVER','SERVER_NAME','HTTP_HOST' // Si l'hebergeur n'est pas compatible avec l'ordre de phpas, on peut definir // l'ordre a prendre en compte. $GLOBALS['ciconfig']['cicashostordre'] = array('http_x_forwarded_server','server_name','http_host'); // Pouvoir utiliser une URL spécifique lorsque le plugin interroge le serveur AS $GLOBALS['ciconfig']['cicas_svu_url'] = 'urlcas.i2'; $GLOBALS['ciconfig']['cicas_svu_repertoire'] = '/cas'; $GLOBALS['ciconfig']['cicas_svu_port'] = '443'; ----------------------------------------------- */ $GLOBALS['ciconfig']['cicas'] = 'hybride'; $GLOBALS['ciconfig']['cicasuid'] = ''; $GLOBALS['ciconfig']['cicasurldefaut'] = 'urlcas.i2'; $GLOBALS['ciconfig']['cicasrepertoire'] = '/cas'; $GLOBALS['ciconfig']['cicasurls'] = array('.ader.gouv.fr' => 'urlcas.ader.gouv.fr', '.gouv.fr' => 'urlcas.ministere.gouv.fr'); $GLOBALS['ciconfig']['cicasport'] = '443';?> SG/SPSSI/P2I/DO Ouest /. Imberti Page 7

4.2 Pouvoir utiliser une URL spécifique lorsque le plugin interroge le serveur AS Prenons le cas d un site Internet sur lequel on souhaite que des Internautes puissent s authentifier. Lorsqu un Internaute veut s authentifier, il est redirigé vers formulaire d authentification sur le serveur AS. Lors de la validation du formulaire d authentification, l Internaute est redirigé vers SPIP (avec un ticket dans l URL) et SPIP va (via le client phpas qui est livré avec le plugin IAS) interroger le serveur AS (avec ce ticket) afin de savoir si l utilisateur s est authentifié et, si c est le cas, obtenir l identifiant de l utilisateur. Pour plus de détails sur le fonctionnement de AS : http://perso.univ-rennes1.fr/pascal.aubry/node/29 Aussi, dans le cas précité, SPIP est amené à interroger l adresse Internet du serveur AS. Si on souhaite éviter que cette interrogation passe par Internet et si le serveur AS dispose également d une adresse INTRANET accessible par SPIP, il peut être intéressant d utiliser cette adresse INTRANET pour cette interrogation. Le client PHP pour AS (phpas), qui est livré avec le plugin, offre la possibilité d utiliser une adresse pour le serveur AS et une autre adresse lors de la validation du ticket, c est-à-dire lorsque SPIP va interroger le serveur AS. La version 1.6 du plugin IAS permet d exploiter cette possibilité, via trois variables à ajouter dans le fichier de paramétrage (cf. chapitre 4.1). es trois variables sont les suivantes : // URL spécifique lorsque le plugin interroge le serveur AS $GLOBALS['ciconfig']['cicas_svu_url'] = 'urlcas.i2'; // Répertoire de l URL spécifique (le cas échéant) $GLOBALS['ciconfig']['cicas_svu_repertoire'] = '/cas'; // Port de l URL spécifique (si non renseigné, la valeur par défaut est '443') $GLOBALS['ciconfig']['cicas_svu_port'] = '443'; Remarques : - et exemple est fictif car l adresse urlcas.i2 n'existe pas. - L acronyme «svu» signifie «service_validate_url» qui est une expression utilisée par phpas. - Pour éviter de perturber la plupart des administrateurs de site, le paramétrage de cette URL spécifique est possible uniquement dans le fichier de paramétrage, et pas dans le formulaire de configuration du plugin. SG/SPSSI/P2I/DO Ouest /. Imberti Page 8

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back