Authentifications à W4 Engine en.net (SSO)



Documents pareils
Extension SSO Java. Cette note technique décrit la configuration et la mise en œuvre du filtre de custom SSO Java.

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Déclarer un serveur MySQL dans l annuaire LDAP. Associer un utilisateur DiaClientSQL à son compte Windows (SSO)

Ce document décrit une solution de single sign-on (SSO) sécurisée permettant d accéder à Microsoft Exchange avec des tablettes ou smartphones.

DAVION Didier 33 avenue Paul Cézanne HOUPLINES. Auditeur n NPC URBANISATION ET ARCHITECTURE DES SYSTEMES D INFORMATION DOSSIER SSO

Service d'authentification LDAP et SSO avec CAS

IIS, c est quoi? Installation de IIS Gestion de base de IIS Méthodes d authentification. Edy Joachim,

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

JOSY. Paris - 4 février 2010

Authentification avec CAS sous PRONOTE.net Version du lundi 19 septembre 2011

Internet Information Services (versions 7 et 7.5) Installation, configuration et maintenance du serveur Web de Microsoft

Chapitre 1 Windows Server

A DESTINATION DES SERVICES TIERS. Editeurs d applications et ressources pédagogiques connectées à l ENT

arcopole Studio Annexe 4 Intégration LDAP et processus d authentification Site du programme arcopole :

Samson BISARO Christian MAILLARD

Introduction à Sign&go Guide d architecture

Windows Server Chapitre 3 : Le service d annuaire Active Directory: Concepts de base

Les Audits. 3kernels.free.fr 1 / 10

WebSSO, synchronisation et contrôle des accès via LDAP

Corrigé de l'atelier pratique du module 8 : Implémentation de la réplication

Description de la maquette fonctionnelle. Nombre de pages :

Dossier Technique. Détail des modifications apportées à GRR. Détail des modifications apportées à GRR Le 17/07/2008. Page 1/10

Extraction de données authentifiantes de la mémoire Windows

Comité sectoriel de la sécurité sociale et de la santé Section «Sécurité sociale»

Authentification et contrôle d'accès dans les applications web

Sécurisation d une application ASP.NET

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Manuel d utilisation NETexcom

Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

W4 BPM WORKSPACE. MANUEL DE SUPERVISION FONCTIONNELLE Référence: W4WK_SUPERVISION_020_FR

Windows Server Chapitre 4 : Active Directory Gestion des utilisateurs, des ordinateurs et des groupes

Annuaire LDAP, SSO-CAS, ESUP Portail...

Introduction aux services Active Directory

Module Communication - Messagerie V6. Infostance. Messagerie

Procédures d accès au nouveau réseau sans fil à l aide d un portable (Windows XP) géré par la DGTIC

Manuel d'utilisation du client VPN Édition 1

Active Directory Profils des utilisateurs, sécurité et stratégie de groupe (GPO)

Installation du point d'accès Wi-Fi au réseau

Authentification dans ISA Server Microsoft Internet Security and Acceleration Server 2006

Authentification unique Eurécia

Gestion des identités

Solutions Microsoft Identity and Access

Comment utiliser mon compte alumni?

DSI - Pôle Infrastructures

Sage CRM. 7.2 Guide de Portail Client

TUTORIEL RADIUS. I. Qu est-ce que RADIUS? II. Création d un groupe et d utilisateur

Tableau Online Sécurité dans le cloud

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

GLPI (Gestion Libre. 2 ième édition. Nouvelle édition. de Parc Informatique)

PORTAIL INTERNET DE LA GESTION PUBLIQUE Guide d'utilisation du Portail Internet de la Gestion Publique

Création de votre compte de messagerie IMAP

Restriction sur matériels d impression

Introduction. aux architectures web. de Single Sign-On

Vérification intégrée de l'utilisateur Guide d'implémentation client Confidentiel Version 2.9

Guide de configuration pour accès au réseau Wifi sécurisé 802.1X

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Gestionnaire des services Internet (IIS)

INTERCONNEXION ENT / BCDI / E - SIDOC

Gestion des utilisateurs et Entreprise Etendue

Créer et partager des fichiers

La gestion des identités au CNRS Le projet Janus

Single Sign On (l apport déterminant du SSO dans un projet d IAM ) Yves RAISIN - biomérieux

Application des Spécifications détaillées pour la Retraite, architecture portail à portail

Les messages d erreur d'applidis Client

Le modèle de sécurité windows

ENVOLE 1.5. Calendrier Envole

Guide Tenrox R8.7 de configuration de Microsoft Reporting Services

La double authentification dans SharePoint 2007

OPTENET DCAgent Manuel d'utilisateur

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Guide d'utilisation du portail d'authentification Cerbère à usage des professionnels et des particuliers

Guide de migration BiBOARD V10 -> v11

Annexe 5. CONTRAT CYBERPLUS PRO Souscrit dans le cadre du Titre 1Conditions Particulières

Sage Déclarations Sociales

Tour d horizon des différents SSO disponibles

ASR3. Partie 2 Active Directory. 1 Arnaud Clérentin, IUT d Amiens, département Informatique,

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Configuration Wi-Fi pour l'utilisation d'eduroam

Evidian IAM Suite 8.0 Identity Management

HERVÉ SCHAUER CONSULTANTS Cabinet de Consultants en Sécurité Informatique depuis 1989 Spécialisé sur Unix, Windows, TCP/IP et Internet.

Comment changer le mot de passe NT pour les comptes de service Exchange et Unity

Configuration de WebDev déploiement Version 7

Les accès à Admission-Postbac

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Conception d'un système d'information WEB avec UML Par Ass SERGE KIKOBYA

Le rôle Serveur NPS et Protection d accès réseau

Préparer la synchronisation d'annuaires

(Fig. 1 :assistant connexion Internet)

Séminaire EOLE Dijon 23/24 novembre Architecture Envole/EoleSSO

Authentification unifiée Unix/Windows

Exercices Active Directory (Correction)

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Sécurisation des architectures traditionnelles et des SOA


Interagir avec le SharePoint. Version 1.0

Transcription:

Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Cette note technique a pour but d expliquer le mécanisme de fonctionnement de la connexion des utilisateurs à W4 Engine, notamment lorsque W4 Engine est couplé avec un annuaire de type LDAP. Elle expose donc les différents modes d authentification, la réplication des acteurs inexistants et enfin, expose les différentes possibilités de mise en œuvre d une authentification SSO en technologie.net. Sommaire 1 Rappels des modes d authentification standard 3 1.1 Authentification interne : login standard W4 Engine 3 1.2 Authentification externe : login SS0 4 1.3 Cohabitation et combinaison des authentifications 4 2 Mise en place de l authentification externe en.net 5 2.1 Authentification intégrée Windows : SSO «simple» 5 2.2 Délégation de l authentification à une classe tierce : Custom SSO 6 Référence : W4TN_SSO_NET_002_FR

Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) 2007 W4. Tous droits réservés. L'acquisition du présent document confère un droit d'utilisation incessible, non exclusif et personnel et non un droit de propriété. L'utilisation, la copie, la reproduction et la distribution du présent document sont permises à condition : 1. que la mention de droits d'auteur ci-dessus figure sur toutes les copies et que cette mention de droits d'auteur et la présente mention d'autorisation apparaissent conjointement ; 2. que le présent document ne soit utilisé qu'à des fins d'information et non commerciales ; 3. que le présent document ne soit modifié de quelque manière que ce soit. Tous les produits et marques cités sont la propriété de leurs titulaires respectifs. Les informations contenues dans ce document pourront faire l objet de modifications sans préavis.

1 Rappels des modes d authentification standard 1.1 Authentification interne : login standard W4 Engine Si aucun mécanisme d authentification externe n est en place, le moteur W4 Engine doit assurer l'authentification de ses utilisateurs. Il le fait : soit en utilisant la table interne des acteurs W4 Engine ; soit en utilisant un annuaire LDAP (si la configuration LDAP est active) Tous les comptes W4 Engine sont décrits dans une table qui contient, entre autres attributs des acteurs, leur identifiant (login) et leur mot de passe. Si aucun autre moyen n est disponible, l authentification se fait «contre» cette table en confrontant le mot de passe fourni et celui de la table. S il se trouve que le champ «mot de passe» est vide, l authentification contre la table des acteurs échouera toujours. L authentification devra se faire par un des autres moyens décrits ci-dessous. Dans le mode LDAP, l'utilisateur fournit son identifiant et son mot de passe qui sont récupérés par le moteur W4 Engine. W4 Engine transmet ensuite à l annuaire LDAP le couple identifiant/mot de passe pour validation. W4 Engine refuse la connexion si LDAP rend un verdict négatif. Ce fonctionnement est dit mode LDAP pur. Dans le mode LDAP avec repli, si LDAP n accrédite pas l utilisateur, le moteur W4 Engine se replie sur une tentative d authentification de l utilisateur «contre» la table des utilisateurs. La configuration du serveur permet de choisir l un ou l autre mode. Notons qu il est possible d exclure systématiquement certains comptes de l authentification LDAP car non présents dans l annuaire de l entreprise. Ces comptes devront avoir une entrée dans la table des acteurs avec un mot de passe non vide. Les comptes w4adm et automatic, qui ne représentent pas des utilisateurs réels référencés dans LDAP, sont dans ce cas. Cette liste de comptes peut être étendue. Remarques : Notons que même si LDAP est utilisé, l'authentification est toujours de la responsabilité du moteur W4 Engine. Mais au lieu de se référer à sa table d acteurs, le moteur «soustraite» l opération d authentification à un annuaire LDAP. Quand un acteur est authentifié contre LDAP et que «son» entrée dans la table des acteurs n existe pas, cette entrée est créée dans W4 Engine avec un mot de passe vide (les attributs de l acteur sont évidemment extraits de LDAP et répliqués dans W4 Engine). 3 NOTE TECHNIQUE Rappels des modes d authentification standard

1.2 Authentification externe : login SS0 Ce type d authentification n est possible qu à travers l interface web, elle est réalisée par le serveur web ou le serveur d application. Dans ce cas, l identifiant fourni par l utilisateur au serveur web ou au serveur d application est transmis, de façon transparente pour l utilisateur, à W4 Engine via son mode d authentification SSO. Le serveur web ou serveur d application informe ainsi W4 Engine que l'utilisateur se connectant est déjà authentifié. La commande login appelée vérifie que l identifiant de l acteur fourni en externe correspond bien à un acteur existant. La connexion est refusée si l identifiant de l utilisateur n existe pas dans la table W4 Engine. Dans ce mode, l'authentification de l utilisateur n'est donc pas faite par le moteur W4 Engine. Elle est externe. Toutefois, on peut coupler une configuration W4 Engine/LDAP à une authentification externe. Le fonctionnement sera alors le suivant: le serveur web ou d application assure l authentification ; W4 Engine assure la réplication d un acteur authentifié inexistant dans W4 Engine s'il existe dans l annuaire. Remarques : Si toutefois un identifiant est fourni en paramètre, il prend le dessus sur l identifiant externe transmis et l on se retrouve dans le cadre d une authentification interne. La possibilité de laisser le mot de passe à vide dans la table des acteurs est le moyen de garantir que l authentification W4 Engine ne pourra être réussie et donc de forcer l usage de l authentification externe. 1.3 Cohabitation et combinaison des authentifications Le mode «naturel» de fonctionnement de l interface web est le suivant : 1 Si le serveur web «annonce» l utilisateur comme identifié, l interface web en tient compte systématiquement. Le moteur W4 Engine «obéit» et accepte l utilisateur. En d autres termes l authentification externe ne peut être désactivée. 2 Cependant, même si l authentification externe est réalisée, elle est ignorée par l interface web si l utilisateur fournit un identifiant (éventuellement différent de celui de l authentification externe) et un mot de passe. Ceux-ci ont précédence sur l authentification externe. Ils sont récupérés par l interface web qui demandera une authentification interne au moteur W4 Engine sous ces coordonnées. Si l on «attaque» le moteur à travers les API c est l authentification interne qui est utilisée. Temporisation de sécurité : Si l authentification est interne, W4 Engine gère une temporisation de sécurité demandant à l utilisateur de s'authentifier à nouveau s il n a pas interagit pendant un certain temps avec le système. W4 BPM Suite NOTE TECHNIQUE 4 Authentifications à W4 Engine en.net (SSO)

Si l authentification est externe, W4 Engine suppose que ce mécanisme fait aussi partie des services offerts par l authentification externe et donc, pour ne pas interférer, W4 Engine ne gère pas de temporisation. 2 Mise en place de l authentification externe en.net 2.1 Authentification intégrée Windows : SSO «simple» Une page d accès à l application redirige vers la corbeille de l utilisateur s il existe dans W4 Engine. La connexion utilise le compte NT. Paramètres du web.config : <authentication mode="windows" /> <identity impersonate="true" /> Paramètres au niveau de l application Web (IIS) : Dans «connexions anonymes et contrôles d'authentification» : case "Authentification intégrée Windows" doit être la seule cochée. Paramètres au niveau du serveur W4 Engine : Un acteur ayant pour login le compte NT sans le nom de domaine doit exister. Algorithme de la connexion : Instanciation d'un objet W4.Session.TWFssoSessionContext TWFssoSessionContext ssoctx = new WFssoSessionContext("SRV","INST"); Utilisation de la factory W4.Session.TWFsessionFactory pour créer une W4.Session.TWFnativeSession, avec en paramètre l'objet ssoctx onatses =(TWFnativeSession)TWFsessionFactory.CreateSession(ssoCtx)); Ouverture de la connexion vers W4 Engine onatses.wfopenconnection (); Login de l'acteur W4 Engine/Compte NT onatses.wflogin (); Si (onatses.sessioncontext.actorid!= 0) Sauvegarde du contexte W4 Engine dans une variable de Session Redirection vers la corbeille = CONNEXION EFFECTUEE Si (ERREUR W4.Basic.TWFexception) Le compte NT n'existe pas en tant qu'acteur W4 Engine 5 NOTE TECHNIQUE Mise en place de l authentification externe en.net

Redirection vers une page de login standard= CONNEXION NON EFFECTUEE Finalement : fermeture de la connexion W4 Engine, et suppression de l'objet native session onatses.wfcloseconnection(); onatses = null; 2.2 Délégation de l authentification à une classe tierce : Custom SSO Page d accès à l application : redirige vers la corbeille de l utilisateur s'il est identifié auprès de W4 Engine. L'authentification est déléguée à une classe personnelle. Paramètres du web.config : <authentication mode="windows" /> <identity impersonate="true" /> Paramètres au niveau de l application Web (IIS) : Dans «connexions anonymes et contrôles d'authentification» : case "Authentification intégrée Windows" doit être la seule cochée. Paramètres au niveau W4 Engine : Écrire une bibliothèque de classe (ayant un nom fort : utilisation de sn.exe -k) : MY_ASSEMBLY_NAME Publier cette bibliothèque dans le GAC Référencer cette DLL au niveau de la création de la session Obligations au niveau de l'assembly : disposer d'une méthode renvoyant une chaîne : le login de l acteur. Algorithme de la connexion : Instanciation d'un objet W4.Session.TWFssoSessionContext TWFssoSessionContext ssoctx = new FssoSessionContext("SRV","INST"); Passage des paramètres liés à l assembly et à la classe ssoctx.ssocustomassemblyname = "MY_ASSEMBLY_NAME"; ssoctx.ssocustomclassname = "MY_ASSEMBLY_NAME.mySSOclass"; ssoctx.ssocustommethodname = "myssomethod"; Utilisation de la factory W4.Session.TWFsessionFactory pour créer une W4.Session.TWFnativeSession, avec en paramètre l'objet ssoctx onatses = (TWFnativeSession)TWFsessionFactory.CreateSession(ssoCtx)); W4 BPM Suite NOTE TECHNIQUE 6 Authentifications à W4 Engine en.net (SSO)

Ouverture de la connexion vers W4 Engine onatses.wfopenconnection (); Login de l'acteur onatses.wflogin (); Si (onatses.sessioncontext.actorid!= 0) Sauvegarde du contexte W4 Engine dans une variable de Session Redirection vers la corbeille = CONNEXION EFFECTUEE Si (ERREUR W4.Basic.TWFexception) Le compte n'existe pas en tant qu'acteur W4 Engine Redirection vers une page de login standard= CONNEXION NON EFFECTUEE Finalement : fermeture de la connexion W4 Engine, et suppression de l'objet native session onatses.wfcloseconnection(); onatses = null; 7 NOTE TECHNIQUE Mise en place de l authentification externe en.net

Note technique W4 Engine Authentifications à W4 Engine en.net (SSO) Pour toute remarque ou suggestion concernant ce document, vous pouvez contacter le support technique W4, en précisant la référence W4TN_SSO_NET_002_FR : par le service de traitement des dossiers Supportflow sur MyW4.com, à l adresse suivante : http://support.myw4.com par courrier électronique : support@w4global.com par téléphone : 33 (0) 820 320 762

2024 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back