Couplage Shibboleth/EZProxy pour l'accès à la documentation électronique au CNRS

Documents pareils
Qu'est ce qu'une Fédération d'identités? Définitions Fonctionnement de base Fonctionnement détaillé Les principaux composants

REAUMUR-ACO-PRES. Wifi : Point et perspectives

Authentification et contrôle d'accès dans les applications web

Plan. Présentation du logiciel Sympa Architecture La gestion des hôtes virtuels Listes avec inclusion des abonnés Les modules d authentification

LemonLDAP::NG / SAML2. Xavier GUIMARD (Gendarmerie Nationale) Clément OUDOT (Groupe LINAGORA)

Drupal et les SSO Nicolas Bocquet < nbocquet@linalis.com >

Tour d horizon des différents SSO disponibles

Annuaire LDAP, SSO-CAS, ESUP Portail...

Single Sign On. Nicolas Dewaele. Single Sign On. Page 1. et Web SSO

La fédération d identités, pourquoi et comment? Olivier Salaün, RENATER ANF Mathrice 2014

Matrice snapshot Jacquelin Charbonnel ANF RNBM - Marseille, 23 mai 2013

SAML et services hors web

Présentation du relais HTTP Open Source Vulture. Arnaud Desmons Jérémie Jourdin

La gestion des identités au CNRS Le projet Janus

Single Sign-On open source avec CAS (Central Authentication Service) Vincent Mathieu Pascal Aubry Julien Marchal

Emmanuel Dreyfus, janvier 2011 Emmanuel Dreyfus, janvier 2011

L identité numérique. Risques, protection

d authentification SSO et Shibboleth

ISTEX-SNU. ISTEX en quelques clics dans votre portail documentaire. Séminaire technique ISTEX 18 mars 2015

Gestion des accès, fédération d identités. Olivier Salaün - RENATER

LDAP : pour quels besoins?

JOSY. Paris - 4 février 2010

Shibboleth. David Verdin - JOSY "Authentification centralisée pour les applications web" - Paris - 4 février mai

Hébergement de site web Damien Nouvel

Joomla! Création et administration d'un site web - Version numérique

Installation et configuration de Vulture Lundi 2 février 2009

Cahier des charges fonctionnel

Contenu de la version 3.4 C I V I L N E T A D M I N I S T R A T I O N

CAS, la théorie. R. Ferrere, S. Layrisse

Sécurisation d une application ASP.NET

USERGATE PROXY & FIREWALL. Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

Evolutions du guichet de la fédération et gestion des métadonnées SAML

SQUID P r o x y L i b r e p o u r U n i x e t L i n u x

educa.id Gestion d'identité et d'accès

CIBLE DE SECURITE CSPN DU PRODUIT PASS. (Product for Advanced SSO)

Un exemple d'authentification sécurisée utilisant les outils du Web : CAS. P-F. Bonnefoi

L'AAA, késako? Bruno Bonfils, fr.org>, Novembre Sous ce terme d'apparence barbare est regroupé l'ensemble des concepts suivants :

Introduction. aux architectures web. de Single Sign-On

UCOPIA EXPRESS SOLUTION

ADMINISTRATION DE RESEAUX SOUS LOGICIEL «OPEN SOURCE»

L authentification distribuée à l aide de Shibboleth

Logiciel : GLPI Version : SYNCRHONISATION DE GLPI AVEC ACTIVE DIRECTORY. Auteur : Claude SANTERO Config. : Windows 2003.

Introduction aux architectures web de Single Sign-on

Guide Share France. Web Single Sign On. Panorama des solutions SSO

Protocoles utilisant des mécanismes d'authentification: TACACS+, RADIUS et Kerberos

Retour sur les déploiements eduroam et Fédération Éducation/Recherche

Le portail des MSH

Ubuntu Linux Création, configuration et gestion d'un réseau local d'entreprise (3ième édition)

FreeNAS Shere. Par THOREZ Nicolas

OPTIONS INTEGREES. des s des fax via internet (par ) des messages vocaux des messages SMS des T-mails ( s en synthèse vocale)

Note Technique Sécurité. Système d'authentification. Authentification hors APN LuxGSM Authentification 3G/APN. Système de notification

Maintenance et gestion approfondie des Systèmes d exploitation Master 2 SILI. Année universitaire David Genest

Gestion d identités PSL Installation IdP Authentic

MODE D'EMPLOI. La gestion des versions permettra de compléter et de faire évoluer les fiches dans le temps. NOM DE LA RESSOURCE CONTACT FOURNISSEUR

st etienne.fr

Date : NOM Prénom : TP n /5 ET ADMINISTRATION D'UN

UCOPIA SOLUTION EXPRESS

La haute disponibilité de la CHAINE DE

Authentification unique Eurécia

Authentification EoleSSO

Protection exhaustive de réseau corporate, optimisation de trafic Internet, administration flexible

PLATEFORME DE GESTION DE CONGRÈS SCIENTIFIQUES. h tt p : / / w w w. s c i e n c e s c o n f. o rg

Convention d adhésion à la fédération d identités marocaine pour l éducation et la recherche (EduIDM)

LemonLDAP::NG. LemonLDAP::NG 1.2. Clément OUDOT RMLL 9 juillet 2012

Single Sign-On open source avec CAS (Central Authentication Service)

Expérience d un hébergeur public dans la sécurisation des sites Web, CCK. Hinda Feriani Ghariani Samedi 2 avril 2005 Hammamet

HYPERPLANNING EST UN LOGICIEL INDEX EDUCATION

Linux Expo Gestion des Identités et des Accès. Le 16 mars Arismore

Manuel d installation UCOPIA Advance

webmestre : conception de sites et administration de serveurs web 42 crédits Certificat professionnel CP09

Explications sur l évolution de la maquette. Version : 1.0 Nombre de pages : 9. Projet cplm-admin

CAS, un SSO web open source. 14h35-15h25 - La Seine A

1/15. Jean Bernard CRAMPES Daniel VIELLE

Les grandes facettes du développement Web Nicolas Thouvenin - Stéphane Gully

PLATEFORME DE GESTION DE CONGRÈS SCIENTIFIQUES

INTERNET est un RESEAU D ORDINATEURS RELIES ENTRE EUX A L ECHELLE PLANETAIRE. Internet : interconnexion de réseaux (anglais : net = réseau)

WebSSO, synchronisation et contrôle des accès via LDAP

Prise en main d un poste de travail sous Windows sur le réseau du département MMI de l'upemlv. d après M. Berthet et G.Charpentier

Network Shutdown Module V3 Extension du Manuel Utilisateur pour architecture Virtualisée Virtual Server de Microsoft

EoleSSO EOLE 2.3. Documentation sous licence Creative Commons by-nc-sa - EOLE (http ://eole.orion.education.fr) révisé : Septembre 2014

Mise en place d un serveur Proxy sous Ubuntu / Debian

La plate-forme d'outils collaboratifs de l'i.e.m.n.

Comment utiliser mon compte alumni?

<Insert Picture Here> La GRC en temps de crise, difficile équilibre entre sentiment de sécurité et réduction des coûts

Gestion collaborative de documents

Compte rendu d'activité PTI n 2

Squid. Olivier Aubert 1/19

Single Sign-On open-source avec CAS (Central Authentication Service)

Suite Jedox La Business-Driven Intelligence avec Jedox

Fédération d'identités et propagation d'attributs avec Shibboleth

Contrôle d accès Centralisé Multi-sites

DOSSIER DE CANDIDATURE TROPHEES ORACLE 2013

Linux sécurité des réseaux

Samson BISARO Christian MAILLARD

Technologies du Web. Créer et héberger un site Web. Pierre Senellart. Page 1 / 26 Licence de droits d usage

Le serveur web Apache

Transcription:

Couplage Shibboleth/EZProxy pour l'accès à la documentation électronique au CNRS Journée fédération, Paris, 24 janvier 2011

A propos Stéphane Gully Chef de projet Fédération d'identités à l'inist-cnrs Développeur Web PHP, HTML, CSS, JQuery, REST, Framework, Stats, Wiki... DevelopR6, DevLog, Plume Perso Site http://www.zeitoun.net Twitter @kerphi79 2

Plan Les portails INIST Fonctionnement d'ezproxy Avantages d'ezproxy Contrôle d'accès avec EZProxy Intégration du SP avec EZProxy EZProxy et les éditeurs 3

Portails INIST 4

Portails INIST Chercheur Éditeur Des titres de revues lui sont présentés. 5

Fonctionnement d'ezproxy 6

Fonctionnement d'ezproxy Client EZproxy Éditeur HTTP HTTP HTML* PDF Réécriture des urls dans le HTML HTML PDF 7

Fonctionnement d'ezproxy Client EZproxy http://sciencedirect.com.gate1.inist.fr 8

Fonctionnement d'ezproxy EZproxy Éditeur http://sciencedirect.com.gate1.inist.fr L'éditeur autorise @ip de l'ezproxy 9

Fonctionnement d'ezproxy EZproxy Éditeur HTML <a href="http://sciencedirect.com/article.pdf"> Télécharger la version PDF </a> 10

Fonctionnement d'ezproxy EZproxy <a href="http://sciencedirect.com/article.pdf"> Télécharger la version PDF </a> Réécriture des liens dans la page HTML retournée par l'éditeur. <a href="http://sciencedirect.com.gate1.inist.fr/article.pdf"> Télécharger la version PDF </a> 11

Fonctionnement d'ezproxy Client EZproxy HTML* <a href="http://sciencedirect.com.gate1.inist.fr/article.pdf"> Télécharger la version PDF </a> 12

Avantages d'ezproxy Proxy transparent pour l'utilisateur Pré-configuré pour les grands éditeurs Flexibilité pour l'authentification Possibilité de mesure des consultations 13

Mesure des consultations Analyse des logs EZproxy permet de : Compter les consultations par éditeurs Compter les consultations par revues Compter les consultations par articles (en cours) Chiffres utiles pour : Par laboratoire Évaluation des campagnes de tests d'abonnements Choix des abonnements pour le CNRS Négocier les tarifs avec les éditeurs 14

Contrôle d'accès avec EZProxy + 15

Authentifications disponibles Athens POP Blackboard RADIUS CAS Referring URL DRA Web2 Shibboleth FTP SirsiDynix IMAP SIP Innovative Interface Inc. Text file Insignia Ticket L4U TLC LDAP Windows Domain Library card numbers Virtual reference ODBC Multiple auth 16

Authentification par ticket http://gate1.inist.fr/ Ticket https://ezticket.inist.fr 17

Principe du ticket EZProxy https://ezticket.inist.fr/index.php?service=http://www.sciencedirect.com/ &gate=gate1 1. Délégation de l'authentification à https://ezticket.inist.fr par redirection HTTP 2. Authentification (shibboleth) 3. Récupération des groupes spécifiques 4. Génération du ticket http://gate1.inist.fr/login?url=http://www.sciencedirect.com/ &user=stephane.gully%40inist.fr &ticket=45d2244ab202541...2541a2148a286a8275044 5. Redirection HTTP vers ezproxy 18

Contenu d'un ticket EZProxy http://gate1.inist.fr/login?url=http://www.sciencedirect.com/ &user=stephane.gully%40inist.fr &ticket=45d2244ab202541...2541a2148a286a8275044 Le ticket - est crypté - possède une date d'expiration (10 secondes) - contient une preuve de l'authentification - contient les groupes spécifiques (bibliovie, biblioshs,...) 19

Configuration EZProxy user.txt # délégation de l'authentification ::CGI=https://ezticket.inist.fr/index.php?service=^U&gate=gate1 # authentification par ticket ::Ticket AcceptGroups bibliovie TimeValid 10 MD5 xxxxx Expired; Deny expired.html /Ticket config.txt Group bibliovie IncludeFile../share/editors/plateforme_elsevier IncludeFile../share/editors/wos IncludeFile../share/editors/sciencemag IncludeFile../share/editors/blackwell #... 20

Code PHP pour la génération d'un ticket EZProxy https://ezticket.inist.fr/index.php function EZproxyURLInit( $EZproxyServerURL, $secret, $user = "portal", $groups = "") { global $EZproxyStartingPointURL; if (strcmp($secret, "") == 0) { echo("ezproxyurlinit secret missing"); exit(1); } } $packet = '$u'. time(); if (strcmp($groups, "")!= 0) { $packet.= '$g'. $groups; } $EZproxyTicket = urlencode(md5($secret. $user. $packet). $packet); $EZproxyStartingPointURL = $EZproxyServerURL. "/login?user=". urlencode($user). "&ticket=". $EZproxyTicket; function EZproxyURL($url) { global $EZproxyStartingPointURL; } if (strcmp($ezproxystartingpointurl, "") == 0) { echo("ezproxyurlinit must be called before EZproxyURL"); return ""; } return $EZproxyStartingPointURL. "&url=". $url; 21

Intégration du SP + 22

Fournisseur de service Ticket https://ezticket.inist.fr WAYF 23

Configuration du fournisseur de service Plate-forme : Linux Debian Module apache : libapache2-mod-shib2 Déploiement avec pkgi : SHIBSP_ENTITYID="https://ezticket-dev.inist.fr" SHIBSP_WAYF_URL="https://services-federation.renater.fr/validation/wayf" SHIBSP_METADATA_URL="https://services-federation.renater.fr/metadata/renater-metadata.xml" SHIBSP_LAZY_SESSION="no" SHIBSP_PATH_TO_PROTECT="/" 24

Attributs récupérés mail ex : stephane.gully@inist.fr sn ex : GULLY givenname ex : Stéphane o ex : CNRS ou ex : UPS76 (code unité) cnrsds ex : 97 (département scientifique) 25

Utilisation des attributs https://ezticket.inist.fr mail sn givenname ou o cnrsds Administrateur des portails INIST 1. Mémorisation des attributs. 2. Récupération de l'attribut «communauté» (bibliovie, biblioshs ) fedeadmin 1. Réglages manuels des droits. 2. Enrichissement de la base de connaissance (CD) Référentiel utilisateurs 26

Agrégation d'attributs https://ezticket.inist.fr mail sn givenname ou o cnrsds Administrateur des portails INIST communaute Shib SP 2.2 <AttributeResolver type="simpleaggregation"... fedeadmin IdP 27

Gestion des chercheurs isolés https://ezticket.inist.fr WAYF 1. Création des comptes des chercheurs isolés. 2. Réglage des droits de chaque chercheur isolé. 3. Volumétrie doit rester raisonnable. IdP «virtuel» 28

EZProxy et les éditeurs + 29

SP côté éditeur Client Éditeur WAYF 30

EZProxy et les éditeurs Les tendances sont : SP côté éditeurs Analyse fine des logs EZProxy Lourdeur technique pour la cohabitation : Un SP est difficile à ezproxifier : https://sciencedirect.com/shibboleth.sso/saml2/post https://sciencedirect.com.gate1.inist.fr/shibboleth.sso/saml2/post Nécessiterait de rajouter un vhost + un entityid avec des AssertionConsumerService ezproxifiées coté SP. 31

Calendrier 2007 et avant EZProxy avec fichier à plat. (login labo) Entre 2008 et 2010 EZproxy avec Ticket, LDAP, CAS et interface d'admin. (login labo) 2011 et après EZProxy avec Ticket, SP, IdP, WAYF, LDAP, CAS et interface d'admin. (login individuels) 32

Merci, des questions? Stéphane Gully (stephane.gully@inist.fr) 33

2026 © DocPlayer.fr Politique de confidentialité | Conditions de service | Feed-back