Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com > Www.linalis.com
Sommaire Présentation de Linalis Le SSO Les différentes implémentations majeures Drupal & Consort Retour d'expérience sur projet
Nicolas Bocquet Responsable Pôle Web @Nicolas_Bocquet Pour suivre nos prochains evénements et formations @linalis
Qui QuiSommes SommesNous Nous?? Opération en Suisse & France depuis 2002 Domaines d'expertises: Web Communications, Business Intelligence Activité : Services : Consulting, development, systems integration Support & Maintenance, both on site & remote Training : Certified training center for public and customised Pentaho BI, Acquia Drupal & Linux Professional Institute Recruitement : Providing IT Project resources and permanent recruitment services
Web Communications CMS Custom development Graphic integration Web architecture Analytics
Business Intelligence Data extraction Analytics Reporting Dashboards
Single Sign On
Parlons plutôt de Web SSO > Système d'authentification unique que pour le WEB > un seul login / mot de passe = plusieurs sites > Prouver que le client est bien authentifié
Simplification de l'utilisation
Amélioration de la sécurité
Facilité pour les gestionnaires
Mais avec différentes fonctionnalités > Récupération d'attributs > Gestion des groupes et rôles > Cercle de confiance > Création de compte automatique
Quelques différentes implémentations
OPENID http://openid.net > Système utilisé par le grand Public > le Login contient l'url du service d'authentification > Utilise les redirection HTTP > Requiert ou non un serveur d'authentification
OPENID > Partage d'attributs avec confirmation de l'utilisateur > Utiliser par de gros player (Yahoo, FB, Google, Orange Labs) > Moyennement adopté
CAS http://www.ja-sig.org/cas > Central Authentication Service > Développé initialement par YALE > Système de ticketing proche de Kerberos > Ne permet pas de partage d'attributs > Possibilité de proxyfication
Shibboleth / SAML http://shibboleth.internet2.edu/ > Développé par Internet2 > Security Assertion Markup Language > Fédération d'identité > 2 objectifs Déléguer l'authentification Partager des attributs
Shibboleth > Gros socle organisationnel Gestion de la confiance dans le cercle > IDP et SP > Choix des attributs par SP
Et les autres > Oauth > Facebook Connect > Twitter > le votre
Shibboleth Et Drupal avec Cela
Drupal, le SSO en multi-site > Ne demande aucun module supplémentaire > Ne fonctionne que avec des sites Drupal > Avec le même domaine > Partage des tables dans la base de données
OpenID, une solution intégrée > Module fournis dans la distribution standard > Activation en un clic > Marche avec tous les IDP OpenID grand public
CAS et sa facilité de mise en œuvre > Module cas à installer http://drupal.org/project/cas > Demande une création du compte local avant > Peut être utiliser en collaboration avec LDAP pour la gestion des rôles > Mise en place assez simple dans une petite communauté et avec des applications cassifiés
Shibboleth, sa puissance de feu > Module shib_auth à installer http://drupal.org/project/shib_auth > Mise en place du Service Provider sur le serveur ainsi qu'un mod_shib pour le VirtualHost > Configuration demandant quelques paramètres
Shibboleth, sa puissance de feu > Création et mise à jour des comptes > Mapping des attributs avec les champs Drupal > Synchronisation des rôles dans Drupal > Logout vers une url sur l'idp
Retour d'expérience à l École Internationale de Genève
Les difficultés > Processus de gestion des comptes Parents > Démarrage en cours d'année > Activation manuel > Besoin de donner l'édition des pages au Staff > Besoin de simplicité car les personnes sont sur 3 sites différents
Le contexte du Projet > Site vieillissant en ColdFusion > Envie d'héberger en Interne le site Web > Site comprenant un site Public et un intranet pour les parents et le staff
Implémentation de Shib coté Shib > Intégration de Shib IDP avec l'annuaire central > Connecteur d'authentification et connecteur de récupération d'attributs > Connexion avec des Services Webs > Système de OTP avec Shib et la base de donnée centralisée
Implémentation coté Drupal/SP > Assez Simple activation du module > Mapping des attributs avec les champs Drupal > Utilisation des champs pour affecter la taxonomie aux utilisateurs > Utilisation massive de TAC pour gérer les rôles et droits
Prochaines étapes du Projet > Connecter Shibboleth avec Moodle et Google Apps > Simplement le matin de se logger et juste naviguer entre les services sans authentification
Des Questions?
Merci pour votre attention nbocquet@linalis.com