Transcript Installation d`un fournisseur d`identités (IdP) Shibboleth

Nouveautés et migration vers
Shibboleth 2
Journée fédération d’identités
Janvier 2011
mercredi 8 avril 2015
PLAN
• État des lieux
• Migrer vers Shibboleth 2
• Nouveautés de Shibboleth 2
• Articulation de Shibboleth IdP et
SSO-CAS
État des lieux
• 4 Fournisseurs d’identités Shibboleth 1.x
• 1 IdP simpleSAMLphp
• 40 sur 141 SP qui ne supportent pas encore
SAML2
• 4 SP supportent exclusivement SAML2
• Les autres implémentations SAML2 :
– openSSO, simpleSAMLphp, oioSAML
mercredi
8/9
avril 2010
8 avril 2015
3
Migration vers Shibboleth 2
• Le cadre technique de la fédération va évoluer
n’incluant plus que le protocole SAML 2
• Certaines ressources de la fédération ne
dialoguent qu’en SAML 2
• Les briques techniques Shibboleth v1 ne sont
plus supportées par les développeurs
• Profiter des fonctionnalités qu’offre le protocole
SAML 2
mercredi 8 avril 2015
Nouveautés - Shibboleth IdP 2.2.x
• Légers changements dans les configurations des
journaux – anciens fichiers non réutilisables
• Nouvelles fonctionnalités telles que la gestion
d’un cache pour les résultats issus de requêtes
LDAP/SGBD
• Légers changements de syntaxe dans le fichier
relying-party.xml
https://spaces.internet2.edu/display/SHIB2/IdP22Upgrade
mercredi 8 avril 2015
À Venir Shibboleth IdP version 3
• Gestion native de mise en cluster (haute-disponibilité)
• Un « Clustered datastore » sera également implémenté
pour facilité la mise en place des StoredID
• Intégration d’un module de consentement de l’utilisateur
(logiciel uApprove)
• Implémentation de la norme openID et OTP (sms)
• Implémentation Single Log Out
Single Log Out ?
• Mécanisme de déconnexion généralisée de
toutes les ressources auprès desquelles des
sessions ont été ouvertes
• Préviens des vols de sessions dans le cas où les
cookies de sessions n’ont pas été invalidés
• Inconvénient : les applications protégées doivent
s’appuyer sur les sessions des SP qui les
protègent
Single Log Out
IdP
SLO request
SLO requests
SP
SP
SP
session
application
Déconnexion
sessions
application
application
Nouveautés - Shibboleth SP 2.4
• Le fichier de configuration (XML) simplifié
• Gestion des méta-données optimisée
– Exécution en tache de fond
– Meilleure gestion du cache
– Validation complète avant écrasement de la version
précédente
• Possibilités de désactivation du cache (assertions SAML)
pour les SP à gros trafic
https://spaces.internet2.edu/display/SHIB2/NativeSPInterestingFeatures
Nouveautés Shibboleth SP 2 : Le service de
découverte
•
Discovery service = appellation SAML2 du WAYF
•
Fonctionnement :
– Ancien : SP  WAYF  IdP  SP
– Nouveau : SP  DS  SP (Identifiant IdP)  IdP  SP
•
Discovery Service centralisé
– Plusieurs ressources s’appuyant sur un DS commun
– Possibilité d’intégrer un EDS directement sur les pages d’accueil des ressources
•
Projet EDS = Embedded Discovery Service
– Actuellement en beta test
– Inclue un moteur de recherche
– Va être « packagé » avec Shibboleth SP 2.4.x
– Intégration simple (fichiers JavaScript + CSS)
– Format de données compact et léger (JSON)
https://spaces.internet2.edu/display/SHIB2/EDSDetails#EDSDetails-3ImplementationDetails
IdP / SSO-CAS - Articulation
• Shibboleth IdP est un serveur d’authentification
• Beaucoup d’applications intra-établissement
« CASsifiées »
• L’IdP délégue la phase d’authentification à un
serveur CAS en frontal
• L’IdP se charge de prolonger le SSO hors de
l’établissement et de fournir les attributs
IdP / SSO-CAS - Limites
• En France, la majorité des IdP délègue
l’authentification à des serveurs SSO-CAS
• Profil REMOTE_USER utilisé
– Single Logout non supporté
– Force authentication non supporté
• Implémentation de ces deux fonctionnalités
envisagée – Handler Shibboleth SSO pour CAS
• Une application CASsifiée n’est pas Shibbolisée
pour autant
mercredi
8/9
avril 2010
8 avril 2015
12
QUESTIONS ?