Tour d horizon des différents SSO disponibles

Documents pareils
Introduction. aux architectures web. de Single Sign-On

CAS, la théorie. R. Ferrere, S. Layrisse

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Single Sign-On open source avec CAS (Central Authentication Service)

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

ENVOLE 1.5. Calendrier Envole

d authentification SSO et Shibboleth

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

CAS, un SSO web open source. 14h35-15h25 - La Seine A

Guide Share France. Web Single Sign On. Panorama des solutions SSO

SAML et services hors web

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

Evolutions du guichet de la fédération et gestion des métadonnées SAML

JOSY. Paris - 4 février 2010

Authentification et contrôle d'accès dans les applications web

Implémentation libre de Liberty Alliance. Frédéric Péters

Authentification unifiée Unix/Windows

La gestion des identités au CNRS Le projet Janus

WebSSO, synchronisation et contrôle des accès via LDAP

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

Introduction aux architectures web de Single Sign-on

Simplifier l authentification avec Kerberos

CAHIER DES CHARGES D IMPLANTATION

Sécurisation des architectures traditionnelles et des SOA

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Formation SSO / Fédération

Annuaire LDAP, SSO-CAS, ESUP Portail...

Fédération d'identités et propagation d'attributs avec Shibboleth

S28 - La mise en œuvre de SSO (Single Sign On) avec EIM (Enterprise Identity Mapping)

DMZ... as Architecture des Systèmes d Information

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Présentation de la solution Open Source «Vulture» Version 2.0

Cédric Ouvry Bibliothèque nationale de France Liberty Alliance Deployment Workshop Paris December 7, 2005

Gestion d identités PSL Installation IdP Authentic

PASS v2.0 : solution d authentification unique basée sur les composants Shibboleth Service Provider v2.5.1 et Identity Provider v2.3.

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

Urbanisation des SI Conduite du changement IT 20/03/09. Patrick CHAMBET

Groupe Eyrolles, 2004 ISBN :

Gestion des utilisateurs dans un environnement hétérogène

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

WEB SSO & IDENTITY MANAGEMENT PARIS 2013

Responsable du cours : Héla Hachicha. Année Universitaire :

ContactOffice. La Messagerie collaborative pour l'éducation. Assises 2015 du CSIESR Avignon

Par KENFACK Patrick MIF30 19 Mai 2009

25 septembre Migration des accès au Registre national en protocole X.25 vers le protocole TCP/IP, pour les utilisateurs du Registre national

Kerberos: authentification unique

Single Sign-On open-source avec CAS (Central Authentication Service)

Solution d inventaire automatisé d un parc informatique et de télédistribution OCS INVENTORY NG. EHRHARD Eric - Gestionnaire Parc Informatique

PortWise Access Management Suite

Fédération d identité territoriale

Solutions Microsoft Identity and Access

st etienne.fr

Introduction à Sign&go Guide d architecture

Virtual Box Mettez un PC dans votre... PC

Table des matières. Préface Mathieu JEANDRON

La sécurité dans les grilles

DESCRIPTION DU PLUGIN D AUTHENTIFICATION AVEC CAS POUR SPIP

Sécurité des réseaux sans fil

Matrice snapshot Jacquelin Charbonnel ANF RNBM - Marseille, 23 mai 2013

Sun Java System Access Manager Notes de version pour Microsoft Windows

Perso. SmartCard. Mail distribution. Annuaire LDAP. SmartCard Distribution OCSP. Codes mobiles ActivX Applet. CRLs

Tour des Unités du C.I.A.M. Tour des Unités du C.I.A.M. Maurice Baudry Laboratoire Statistique & Génome, Évry.

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

La fédération d identité Contexte, normes, exemples

Secure Java Card for Federate Identity Management

Oauth : un protocole d'autorisation qui authentifie?

Gestion des identités Christian-Pierre Belin

Exploration des technologies web pour créer une interaction entre Mahara et les plateformes professionnelles et sociales

ASIP Santé DST des interfaces MSSanté des Clients de messagerie v /02/ / 95

Les 7 méthodes d authentification. les plus utilisées. Sommaire. Un livre blanc Evidian

Groupe Eyrolles, 2004 ISBN :

Les services de la PLM Mathrice. Et quelques outils de web-conférence

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Présentation SafeNet Authentication Service (SAS) Octobre 2013

Les technologies de gestion de l identité

Evidian IAM Suite 8.0 Identity Management

La sécurité des processus métiers et des transactions. Stéphane Marcassin Bull Services Sécurité

Présentation d Epicard

JRES 2005 : La mémorisation des mots de passe dans les navigateurs web modernes

Gestion des identités

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Compte rendu d'activité PTI n 2

Offre LinShare. Présentation. Février Partage de fichiers sécurisé. LinShare 1.5

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Sécurité des Web Services (SOAP vs REST)

Mise en oeuvre d un intranet à partir de logiciels Open Source avec intégration des certificats numériques et login unique

Single Sign-on (Gestion des accès sécurisés)

Transcription:

Tour d horizon des différents SSO disponibles L. Facq, P. Depouilly, B. Métrot, R. Ferrere ANF Les systèmes d authentification dans la communauté ESR : étude, mise en oeuvre et interfaçage dans un laboratoire de Mathématique Angers, 22-26 septembre 2014

Plan 1 2 3 4 5 SSO multi-établissements 6

Progression 1 2 3 4 5 SSO multi-établissements 6

La problématique? Un besoin : comment authentifier les utilisateurs de façon unique et sécurisée? A partir de n importe quelle ressource informatique (fixe, mobile) et avec tout système d exploitation, navigateur internet ; Pour leurs applications et profils (droits/accès) ; La réponse : un mécanisme/système d authentification unique par serveur SSO-CAS et/ou kerberos

Enjeux du côté utilisateur Répondre à un besoin de la culture du citoyen d aujourd hui : toujours pressé et demandeur ; Souhaite accéder à son ENT, ses multiples applications web n-tiers En utilisant un seul login/mot de passe (plus de mot de passe noté!) Plus de mot de passe noté! et plus de prolifération de mots de passe! Une seule saisie du mot de passe par session de travail Connexion en fonction de son profil.

Enjeux du côté laboratoire/ufr/université Apporte de la sécurité au système d information mais sécuriser également l authentification Accès à partir d un seul point d entrée pour l authentification des utilisateurs Centralisation des informations d authentification et délégation à un système de type CAS, Kerberos Les applications web déchargées de la tâche d authentification des utilisateurs serveur dédié type CAS Utilisation de techniques de synchronisation entre différents domaines d authentification et annuaires LDAP

Progression 1 2 3 4 5 SSO multi-établissements 6

Qu est ce qu un SSO? Single Sign-On, acronyme SSO ; Mécanisme de centralisation et de propagation de l authentification (informations utilisateurs) ; Web-SSO : accès aux applications et services Web avec présentation automatique des mots de passe ; Un seul login/mot de passe pour de multiples ressources ; Simplification par un seul login/mot de passe en liaison souvent avec un annuaire LDAP ; En pratique : nom du service ou URL présentée à l utilisateur.

Identification Définition Attribuer un numéro à un utilisateur de façon à pouvoir l associer facilement aux différents objets du système qu il sera amené à manipuler (fichiers, périphériques, processus...). Unicité du numéro d identification au sein du système Informations complémentaires Nom, prénom Expiration du compte Appartenance de groupes... Problématique de cohérence et de distribution des informations complémentaires

Authentification (authentication) Définition Garantir que l utilisateur qui se présente est bien celui qu il prétend être. L utilisateur ou système présente un couple login, mot de passe ou un certificat ; Le serveur renvoie une réponse par l affirmative ou par la négative La réponse affirmative s accompagne d attributs propres à la session utilisateur (adresse IP, niveau de droits...)

Autorisation Définition Permettre ou interdire l accès à une ressource pour un utilisateur ou un système. Une requête d autorisation du client au serveur ; Que si la réponse d authentification est affirmative ; Gestion centralisée des commandes ou des actions autorisées ;

Accounting Définition Comptabilisation des accès aux ressources et suivi des opérations effectuées, en vue d auditer les performances, les erreurs... Requêtes de comptabilisation suite à différents événements liés à l utilisateur ; Quand il y a : début/fin de connexion, exécution d une action/commande ; Qu est-ce qui a été fait, à quel moment et par qui? Reste optionnel et peut être activé à tout moment Détection d attaque, de surcharge, de tentatives d accès non autorisées

Solutions libres SSO possibles centralisées CAS fédératives Shibboleth OpenSSO/OpenAM (solution d authentification et de fédération), Openstack coopératives, décentralisées SAML OpenID (Yahoo, Google,...) Liberty Alliance (SUN, NOVELL, IBM avec jetons SAML) LemonLDAP : :NG (complète AAA)

Progression 1 2 3 4 5 SSO multi-établissements 6

CAS - Central Authentication Service CAS selon Wikipédia : Système d authentification unique (SSO) pour le web développé par l Université Yale, partenaire majeur dans le développement de uportal. Ce logiciel est implanté dans plusieurs universités et organismes dans le monde Sous licence JA-SIG type BSD, écrit en Java

Avantages et de CAS S authentifier une seule fois pour de multiples applications Mot de passe ne circulant que du navigateur au serveur CAS sur un canal sécurisé (https) Authentification sur une source centralisée faisant autorité : Utilisateurs annuaire LDAP, royaume Kerberos, domaine Windows, serveur nis (panachage possible)... Tickets dans les entêtes HTTPS Pour des applications Web ou non Web CAS-ification des applications grâce à de multiples librairies clientes disponibles Limité à une authentification locale (pas de multi-établissements) Ne répond qu à la problématique d authentification : pas de gestion de droits ou d attributs supplémentaires

exemples SSO avec CAS Accès restreint à des pages web, Applications PHP, JAVA, Webmail, ENT, IMAP, Cyrus-Imap

Progression 1 2 3 4 5 SSO multi-établissements 6

Kerberos Qu est que Kerberos? Système d authentification sécurisé et centralisé, où il n est nécessaire de saisir son identifiant/mot de passe qu une seule fois pour accéder à de multiples ressources. Il garantit l authentification mutuelle entre l utilisateur et la ressource visée.

Systèmes compatibles 1 Distribution Linux (Ubuntu, Debian, Fedora) Intégré dans les paquets Deux implémentations du protocole : Heimdal ou MIT FreeBSD, NetBSD Mac OS X (intégré au système) Produits Windows XP, 7, 2003 Serveur, 2012 Serveur Protocole d authentification d ActiveDirectory 1. Liste non exhaustive

Périmètre S exécute au niveau système d exploitation Concerne un groupe d ordinateur d un réseau local : clients/serveur S applique sur une ogranisation/utilisateurs, service d un domaine Serveur KDC (Key Distibution Center) > tickets/mots de passe Ne prend pas en charge la diffusion des informations d identification

exemples Ouverture de sessions graphiques ou textes Partage de fichiers Propagation d authentification (à partir d une session) Rebond de machine en machine Messagerie électronique (IMAP, POP) Pages internet

Progression 1 2 3 4 5 SSO multi-établissements 6

Notion de fédération / Possibilités Les fédérations d identités permettent une gestion «propre» et «secure» du multi établissements, composants hébergés par entités différentes découplage des composants choix d un établissement («aiguillage», Where Are You From) notion d identité (fournisseur d identité, IdP) services avec authentification (fournisseur de service, SP) fourniture d attributs (email, nom, prénom, civilité,...) propagation d attributs IdP > SP «à la tête du client (SP)» pas tout ou rien, adapté au cas par cas attributs opaques

«Fédérations» : SAML vs OAuth*/OpenID* 2 grandes familles SAML (XML) Security Assertion Markup Language Complexe (XS,...) Notion forte de fédération (métadonnées centralisées & signées) «Implémentations» : Shibboleth, EduGain OAuth (+JSON/REST) JWT (JSON Web Token) Simple Pas de fédération (confiance via certificat/ac habituelles) «Implémentations» : OAuth (Facebook, Twitter,...), OpenIDConnect (Google,...)

Récapitulatif : Tour d Horizon MultiEtab - Shibboleth / OpenIDConnect

Progression 1 2 3 4 5 SSO multi-établissements 6

liens internet et articles Shibboleth - Démo Shibboleth Wiki Shibboleth Déploiement Shibboleth Intérêt de la fédération Education-Recherche - Renater Site de internet2 Protocole CAS Gestion des identités CNRS "Kerberos, le SSO universel", Guillaume Rousse - GNU/Linux Magazine numéro 143 "SSO et authentification web centralisée avec CAS-Toobox ", Christophe Borelly - GNU/Linux Magazine numéro 113 Authentification Kerberos Microsoft

Merci pour votre attention. Avez-vous des questions?

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back