SHIBBOLETH - Med-IT
Download
Report
Transcript SHIBBOLETH - Med-IT
Fédération d'identité
Khalid FARRAHE
Co-fondateur Inteos
Qui sommes-nous?
INTEOS est une société de service en ingénierie informatique spécialisée dans le
domaine Linux et logiciels libres dans l'entreprise et d'éducation.
Inteos est composé d'hommes et de femmes passionnés par leur métier. Ils sont
organisés autour de quatre pôles :
- Audit et conseil architecture réseau, architecture système, sécurité informatique
- Ingénierie informatique open source
- Formation logiciels libres
- Support
Co-fondateur de INTEOS, il a participé à l'élaboration du shéma directeur des ENT
(gestion des identités).
Ces projets :
- féderation d'identité entre l'éducation nationale et l'enseignement agricole en France.
- sécurisation et expertise de dispositifs web au ministère de l'agriculture en France.
- gestion et mise en place de la messagerie pour l'enseignement agricole
- Chef de projet système d'authentification et propagation d'identité pour
l'interopérabilité entre
2
le SI de l'enseignement agricole et le SI de l'éducation nationale.
Plan
Introduction
Origines
Objectifs
I Fonctionnement
1 Définitions : les briques
2 Déroulement
3 Confiance
4 Socle organisationnel
3
Plan (suite)
II Intégration
1 Sans fédération d’identités
2 Avec fédération d’identités
3 Requêtes
4 Délégation avec Shibboleth
III Avantages / Inconvénients
1 Avantages
2 Inconvénients
IV Conclusion
4
Introduction
Avec la multiplication des mots de passe pour accéder
aux ressources informatiques, l’entreprise, l'université doivent faire face
à deux problématiques :
le choix de mots de passe trop simples, renouvelés peu régulièrement
ou notés sur post-it™ est à l’origine de failles de sécurité; quant à
l’oubli de mots de passe, il est source d’une perte de productivité des
utilisateurs, associée à une charge de travail supplémentaire pour les
services de helpdesk.
5
Introduction (suite)
Objectifs de la féderation :
Gain de temps
Déléguer l'authentification à l'établissement d'origine de
l'utilisateur
Obtenir certains attributs de l'utilisateur (gestion du contrôle
d'accès ou personnalisation des contenus)
6
I Fonctionnement
Basé sur Security Assertion Markup Language (SAML v2 depuis
2005)
Standard définissant un protocole pour échanger des informations
liées à la sécurité (authentification, autorisation, attributs) entre un
fournisseur d’identités et un fournisseur de services
Interconnexion des Single Sign-On (redirection, cookies, …) entre
établissements
Single Sign-On : centralisation des authentifications
Chaque utilisateur dépend d'une des entités partenaires
L'utilisateur est authentifié par le partenaire dont il dépend lors de
l’accès à un service du réseau.
Chaque service du réseau gère indépendamment sa propre politique de
sécurité.
7
I Fonctionnement (suite)
La délégation d’authentification est basée sur le SSO web : une
seule authentification pour accéder à plusieurs ressources
informatiques.
Réduction de temps
Centralisation des informations
Simplification
Propagation des attributs utilisateur
Partage de méta données
Définition de règles de confiance
8
I.1 Définitions : les briques
Fournisseur de services (service provider SP) : module
d’authentification pour le serveur Web
Délègue l'authentification des utilisateurs à un fournisseur
d'identités
Transmet le profil utilisateur
Gère le contrôle d'accès de manière optionnelle
9
I.1 Définitions : les briques
(suite)
Fournisseur d’identités (Identity provider idP) : module de
gestion d’authentification des utilisateurs en réponse à la
requête d’un SP
L’authentification peut être déléguée à un serveur CAS
(Central Authentification Service)
Authentification via login / mot de passe ou certificat électronique
ou les deux
Les attributs de l'utilisateur sont extraits d'un annuaire LDAP,
d'une base SQL ou bien calculés, puis propagés au fournisseur
de services
Un SP choisit à quels fournisseurs d’identités il ouvre l’accès
10
I.1 Définitions : les briques
(suite)
Service de découverte (WAYF) : permet à un utilisateur de
sélectionner son organisme de rattachement, c'est-à-dire
celui auprès duquel il pourra s'authentifier.
Fédération d’identités : délégation d’authentification et
propagation des attributs
Niveau de confiance minimal partagé entre les fournisseurs
11
I.2 Déroulement
Etapes
Accès à une ressource numérique
Redirection vers le service de découverte de la fédération
Sélection de l’établissement d’origine
Renvoi vers le fournisseur d’identités
Le fournisseur doit disposer d’une Central Authentification
Service (CAS) : système d’authentification unique
Obtention des attributs selon l’utilisateur définis par le
fournisseur d’identités
12
Principe de SAML2
1 - L'utilisateur veut accéder à l'ENT, protéger par Shibboleth. La requête est interceptée par le SP.
2 - Le SP interroge l'IdP pour savoir si l'utilisateur à le droit d'accéder à la page.
3 - L'IdP demande à l'utilisateur ses informations de connexion.
4 - L'utilisateur indique son login et son mot de passe.
5 - L'IdP interroge un annuaire LDAP avec les informations fournies par l'utilisateur.
6 - Le LDAP confirme ou non que l'utilisateur existe bien et transmet à l'IdP ses informations.
7 - L'IdP retransmet les attributs de l'utilisateur authentifié au SP
8 - En fonction des attributs de l'utilisateurs, le SP va permettre l'accès à la page sécurisée : l'ENT.
13
I.3 Confiance
Confiance accordée par un SP
Qualité d’authentification des utilisateurs
Qualité des attributs propagés
Disponibilité des services d’authentification et de propagation
des attributs
Confiance accordée par un idP
Les attributs propagés ne servent qu’aux usages initialement
prévus (accès authentifié mais anonyme avec Shibboleth)
14
I.3 Confiance (suite)
Formalisation des relations de confiance
établir un niveau de confiance minimal
Exemples d’engagements pour un idP
Disponibilité et sécurisation du service d’authentification
Mise à jour du référentiel
…
Les formes possibles
Respect des bonnes pratiques
Engagement contractuel
…
15
I.4 Socle organisationnel
Utilisation d’un socle organisationnel : fédération
d’autorités d’authentification.
Ex : organismes publics, universités, etc.
Les autorités d’identification peuvent définir et normaliser
les attributs d’authentification
16
II Intégration
Intérêt de la mise en place d’une fédération d’identités
Gérer des accès à des ressources en ligne
Accessibilité aux utilisateurs externes
Contexte
Mise en place de SSO dans les établissements
Nécessité de collaboration entre les établissements
17
II.1 Sans fédération d’identités
18
II.2 Avec fédération d’identités
19
II.3 SSO + WAYF
Service Provider
Le consommateur d’assertions agit comme un pré-filtre
Le demandeur d’attributs est chargé de la récupération des attributs
des utilisateurs auprès de l’IdP
Le contrôleur d’accès est chargé d’autoriser ou non l’accès aux
ressources demandées
Identity Provider
Le service SSO est chargé de l’authentification des utilisateurs
L’autorité d’authentification associe le nameIdentifier à l’identifiant
de l’utilisateur.
L’autorité d’attributs délivre, en réponse à une demande d’un SP
20
II.3 SSO + WAYF (suite)
1ère requête vers un SP
1
Le WAYF affiche
à l’utilisateur une
liste d’IdP
possibles.
21
Celui-ci ne sachant pas quel
IdP sera utilisé, le SP
redirige le navigateur vers le
WAYF
II.3 SSO + WAYF (suite)
La requête suivante vers
le WAYF redirige le
navigateur vers l’IdP
choisi
1
qui a son tour redirige
le navigateur vers le
serveur SSO, qui
propose alors un
formulaire
d’authentification
22
II.3 SSO + WAYF (suite)
Le navigateur s’authentifie auprès du
serveur SSO, et l’authentification se
déroule comme suit :
1
Login + Password
23
II.3 SSO + WAYF (suite)
Requêtes suivantes vers le
même SP
1
Une session étant mise en
place entre le navigateur et
le SP (ou plutôt le
consommateur d’assertions
du SP), ni le WAYF, ni l’IdP
ni le serveur SSO
n’interviennent ensuite pour
l’accès au même
SP
24
II.3 SSO + WAYF (suite)
Requêtes suivantes vers un autre SP
Lors du choix de l’IdP par l’utilisateur :
Possibilité pour le WAYF de mémoriser ce choix dans le
navigateur (à l’aide d’un cookie).
Le WAYF peut utiliser ultérieurement cette information
les requêtes suivantes deviennent non bloquantes (en
redirigeant automatiquement vers l’IdP choisi la première fois).
II.3 SSO + WAYF (suite)
Dans ce cas, l’authentification de l’utilisateur
est totalement transparente lors de l’accès à
un autre SP.
1
26
III.1 Avantages
Basé sur des standards (Single sign on, etc.). Interopérabilité avec
d’autres logiciels utilisant les mêmes standards.
Apache License 2.0 : open source
Publication sélective des informations
Accès protégé aux ressources en ligne + simplication
Augmentation de la sécurité
Préservation des données personnelles
27
IV EduGain
eduGAIN est un service d'interconnexion des fédérations
éducation/recherche au niveau internationnal.
Ce service est opéré par GEANT, le réseau européen pour la
recherche.
Après une longue gestation et une phase pilote, le service est
finalement lancé officiellement le 27 avril 2011.
28
IV EduGain
Le besoin d'interfédération apparaît dès lors qu'un SP doit interagir avec
des IdP issus de plusieurs fédérations. Sans eduGAIN, les
administrateurs du SP ont deux alternatives : s'inscrire dans chaque
fédération ou mettre en œuvre des relations bilatérales. Les deux options
sont contraignantes, dès lors que le nombre d'IdP et/ou de fédérations est
important.
29
IV EduGain
30
IV Conclusion
Bonne solution en termes de gestion de ressources avec
accès sécurisé à ces dernières
Gratuité et interopérabilité
Complexe : des formations existent
Intéressant à utiliser pour les institutions publiques ou
université pour le partage des ressources communes
31
IV Conclusion
Bonne solution en termes de gestion de ressources avec
accès sécurisé à ces dernières
Gratuité et interopérabilité
Complexe : des formations existent
Intéressant à utiliser pour les institutions publiques ou
université pour le partage des ressources communes
32
Pour plus de détails venez nous voir au stand 65
Questions ?
33