Les solutions techniques
Download
Report
Transcript Les solutions techniques
Fédération d’identités et
propagation d’attributs avec Shibboleth
Olivier Salaün, Florent Guilleux
Pascal Aubry
Comité Réseau des Universités
IFSIC – Université de Rennes 1
UNR Bretagne
http://federation.cru.fr
Copyright © 2005 – Comité Réseau des Universités
Plan
• Pourquoi une fédération ?
Copyright © 2005 – Comité Réseau des Universités
– Problématiques et besoins
– Scenarii d’utilisation
• Objectif :
vous convaincre que vous en avez besoin ;-)
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
• Les solutions techniques
SAML
Liberty Alliance
Shibboleth
WS-Federation
Le choix de Shibboleth
Copyright © 2005 – Comité Réseau des Universités
–
–
–
–
–
• Objectif :
vous montrer l’environnement technique
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Copyright © 2005 – Comité Réseau des Universités
–
–
–
–
• Objectif :
vous faire comprendre comment ça marche techniquement
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Copyright © 2005 – Comité Réseau des Universités
–
–
–
–
–
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibbotleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
• Objectif : vous montrer comment on configure les briques
logicielles de Shibboleth
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
• Objectif : vous faire comprendre ce qu’est une fédération
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
•
•
•
•
Copyright © 2005 – Comité Réseau des Universités
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
• Retours d’expérience et perspectives
–
–
–
–
–
SWITCHaai, fédération académique Suisse
Projets en France
Délégation dans un contexte multi tiers
Fournisseur d’identités virtuel
Grilles de calcul
• Objectif : vous montrer ce qui marche aujourd’hui et ce qui
pourrait marcher demain
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
Copyright © 2005 – Comité Réseau des Universités
– Problématique et besoins
– Scenarii d’utilisation
Fédération d’identités et propagation d’attributs avec Shibboleth
Le besoin
•
Problématique
–
–
Copyright © 2005 – Comité Réseau des Universités
•
Gérer l’accès à des ressources web
Pour des utilisateurs d’autres établissements
Contexte
–
–
–
Mise en place de Single Sign-On dans les établissements
Besoins de collaboration entre établissements
Ces services ne sont pas interopérables
Fédération d’identités et propagation d’attributs avec Shibboleth
Avant c’était la zone…
•
Certaines ressources pas
protégées du tout
•
Contrôle d’accès par
adresses IP souvent utilisé
•
Problèmes de gestion des
utilisateurs au niveau de la
ressource
•
Multiplication des
procédures de login
•
Multiplication des comptes
donc des mots de passe
Copyright SWITCHaai
Université A
Sympa
Moodle
Bibliothèque B
Périodiques
Copyright © 2005 – Comité Réseau des Universités
Fond docu.
Université C
Thèses
Moodle
Gestion utilisateurs
/ Authentification
Contrôle
d’accès
Ressource
• Difficultés de mise en
place de ressources
inter-établissements
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec le SSO, c’était un peu mieux
Copyright SWITCHaai
Université A
Sympa
Moodle
Bibliothèque B
Périodiques
Copyright © 2005 – Comité Réseau des Universités
Fond docu.
Université C
Thèses
Moodle
Gestion utilisateurs
/ Authentification
Contrôle
d’accès
Ressource
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec le SSO, c’était un peu mieux
Copyright SWITCHaai
Université A
Sympa
Moodle
• au niveau local…
Bibliothèque B
Périodiques
Copyright © 2005 – Comité Réseau des Universités
Fond docu.
Université C
Thèses
• …mais pareil
pour le reste !
Moodle
Gestion utilisateurs
/ Authentification
Contrôle
d’accès
Ressource
Fédération d’identités et propagation d’attributs avec Shibboleth
Heureusement, la fédération est arrivée !
Copyright SWITCHaai
Université A
Sympa
Moodle
Bibliothèque B
Périodiques
Copyright © 2005 – Comité Réseau des Universités
Fond docu.
Université C
Thèses
Moodle
Gestion utilisateurs
/ Authentification
Contrôle
d’accès
Ressource
Fédération d’identités et propagation d’attributs avec Shibboleth
Heureusement, la fédération est arrivée !
Copyright SWITCHaai
Université A
Sympa
Moodle
Bibliothèque B
Périodiques
Copyright © 2005 – Comité Réseau des Universités
Fond docu.
• Aucune tâche de
gestion des utilisateurs
au niveau de la
ressource
• L’utilisateur
s’authentifie une seule
fois, dans son
établissement
Université C
Thèses
Moodle
Gestion utilisateurs
/ Authentification
Contrôle
d’accès
Ressource
• L’utilisateur a accès à
de nouvelles ressources
• Les ressources ont une
plus grande audience
Fédération d’identités et propagation d’attributs avec Shibboleth
Articulation avec l’existant
• Shibboleth ne remplace ni un annuaire LDAP, ni un SSO
Copyright © 2005 – Comité Réseau des Universités
• Shibboleth a besoin de l’annuaire LDAP et du SSO
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
Copyright © 2005 – Comité Réseau des Universités
– Problématique et besoins
– Scenarii d’utilisation
Fédération d’identités et propagation d’attributs avec Shibboleth
Cas général
Copyright © 2005 – Comité Réseau des Universités
• Un établissement donne accès à des contenus en ligne
• Accès restreints aux utilisateurs des autres établissements
de la communauté enseignement / recherche
• Mais les cas d’utilisation vont au-delà de ce cas
standard…
Fédération d’identités et propagation d’attributs avec Shibboleth
Scenario n°1
• Intranet pour un groupe de travail
• Les membres sont disséminés
Copyright © 2005 – Comité Réseau des Universités
– Chercheur, étudiants, association
• On délègue l’authentification
Fédération d’identités et propagation d’attributs avec Shibboleth
Scenario n°2
• Contrôle d’accès en fonction du profil de l’utilisateur
Copyright © 2005 – Comité Réseau des Universités
– Exemple : étudiant en pharmacie
• Plus besoin de gérer la liste des utilisateurs potentiels
Fédération d’identités et propagation d’attributs avec Shibboleth
Scenario n°3
• Accès aux périodiques électroniques depuis un ENT
Copyright © 2005 – Comité Réseau des Universités
– Elsevier, OCLC, JSTOR…
• Le fournisseur de services est hors communauté
– Pas d’informations nominatives
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
• Pourquoi une fédération ?
• Les solutions techniques
SAML
Liberty Alliance
Shibboleth
WS-Federation
Le choix de Shibboleth
Copyright © 2005 – Comité Réseau des Universités
–
–
–
–
–
Fédération d’identités et propagation d’attributs avec Shibboleth
Security Assertion Markup Language
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Standard OASIS en 2002
Répond à un besoin d’interopérabilité
Echanges d’assertions de sécurité entre services
Indépendant des mécanismes d’authentification
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Types d’assertions SAML
• Authentification
Copyright © 2005 – Comité Réseau des Universités
• Échange d’attributs
• Décisions d’autorisation
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Exemple d’assertion SAML
Copyright © 2005 – Comité Réseau des Universités
<saml:Assertion MajorVersion=”1” MinorVersion=”0”
AssertionID=”128.9.167.32.12345678”
Issuer=”Comite Reseau des Universites”
IssueInstant=”2002-03-21T10:02:00Z”>
<saml:Conditions NotBefore=”2002-03-21T10:02:00Z”
NotAfter=”2002-03-21T10:07:00Z” />
<saml:AuthenticationStatement
AuthenticationMethod=”password”
AuthenticationInstant=”2002-03-21T10:02:00Z”>
<saml:Subject>
<saml:NameIdentifier
SecurityDomain=”www.cru.fr”
Name=”osalaun” />
</saml:Subject>
</saml:AuthenticationStatement>
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Liberty Alliance
• Liberty Alliance n’est pas un produit
Copyright © 2005 – Comité Réseau des Universités
• Consortium d’industriels produisant des spécifications sur
la gestion d’identités
• S’appuie sur SAML
• Implémenté dans de nombreux produits
• Retenu par l’ADAE pour « Mon Service Public »
SourceID
Sun
LASSO
Liberty Alliance
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Les frameworks de Liberty Alliance
• ID-FF (Federation Framefork)
– Fédération de comptes
– Délégation d’authentification
– Single logout
Copyright © 2005 – Comité Réseau des Universités
• ID-WSF (Web Services Framework)
– Propagation d’attributs utilisateur
– Recherche de services d’identités
– Échange de méta données
SourceID
Sun
LASSO
Liberty Alliance
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Shibboleth
• Norme et produit développé par Internet2
• Open source
• Première version en 2002
• Basé sur SAML (bibliothèque OpenSAML)
Copyright © 2005 – Comité Réseau des Universités
• Utilisé par la communauté enseignement/recherche
– en production en Suisse, USA, Angleterre, Finlande, Australie
– en cours de déploiement en Belgique, Allemagne
Shibboleth
Shibboleth
SourceID
Sun
LASSO
Liberty Alliance
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Shibboleth
• Conçu pour interconnecter les SSO des établissements
Copyright © 2005 – Comité Réseau des Universités
• Fonctionnalités
–
–
–
–
–
Délégation d’authentification
WAYF pour orienter l’utilisateur
Propagation des attributs utilisateur
Partage de méta données
Définition de règles de confiance
Shibboleth
Shibboleth
SourceID
Sun
LASSO
Liberty Alliance
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
Copyright © 2005 – Comité Réseau des Universités
D’autres normes basées sur SAML
Shibboleth
Shibboleth
SourceID
Sun
LASSO
Liberty Alliance
Oblix
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
WS-Federation
• Draft porté par Microsoft et IBM, 2003
• Basée sur les spécifications WS-*
– WS-Security, WS-Trust, WS-Policy, WS-MetadataExchange
Copyright © 2005 – Comité Réseau des Universités
• Définit l’échange d’identités et d’attributs entre domaines
de sécurité
Shibboleth
Shibboleth
SourceID
Sun
ADFS
LASSO
Liberty Alliance
Oblix
SAML
Fédération d’identités et propagation d’attributs avec Shibboleth
WS-Federation
WS-*
Plan
• Pourquoi une fédération ?
• Les solutions techniques
SAML
Liberty Alliance
Shibboleth
WS-Federation
Le choix de Shibboleth
Copyright © 2005 – Comité Réseau des Universités
–
–
–
–
–
Fédération d’identités et propagation d’attributs avec Shibboleth
Nos critères de choix
• Besoins fonctionnels
– Gestion d’attributs, anonymat, gestion de la confiance, single logout
• Adaptation à notre environnement
Copyright © 2005 – Comité Réseau des Universités
– Fournisseurs d’identités multiples
• Interopérabilité
– Intégration dans un SI, interopérabilité avec d’autres produits
• Solution open source
– Adaptabilité, pérennité, support, communauté des utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Notre choix : Shibboleth
• Le CRU a évalué 2 solutions
– Shibboleth
– Lasso / SourceID
Copyright © 2005 – Comité Réseau des Universités
• Les raisons du choix de Shibboleth
–
–
–
–
–
–
Shibboleth est un produit ; Lasso/SourceID sont des bibliothèques
Modèle adapté à N fournisseurs d’identités
Fonctionnalités avancées (gestion de la confiance)
Solution non intrusive
De nombreuses applications déjà « shibbolisées »
Choix partagé par nos homologues
Fédération d’identités et propagation d’attributs avec Shibboleth
Interopérabilité de Shibboleth
Copyright © 2005 – Comité Réseau des Universités
• SAML : naturellement compatible
• Liberty Alliance : base commune SAML, Shibboleth 2.0
s’appuiera sur SAML 2.0
• WS-Federation : intégration dans Shibboleth en cours
• Burton Group Catalyst Conference Interop Demo
– Test d’interopérabilité organisé par le Burton Group, juillet 2005
– Résultats concluant entre Shibboleth (SAML 1.1) et Trustgenix, Sun,
BMC, CA (Netegrity), HP et Datapower
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibbotleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Shibboleth, c’est simple ;-)
ssoId
Serveur
SSO
Navigateur
ticket
ticket
ticket
userId
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
nameId
Autorité
d’authentification
nameId
attributes
Autorité userId
d’attributs
attributes
attributes
Demandeur
d’attributs
Fournisseur
de service
Contrôleur
d’accès
• De nombreux acteurs
• De nombreuses interactions
Fédération d’identités et propagation d’attributs avec Shibboleth
Référentiel
utilisateurs
Ressource
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibbotleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Sans SSO
Copyright © 2005 – Comité Réseau des Universités
Navigateur
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
(SP)
Sans SSO
(première requête vers un SP)
Copyright © 2005 – Comité Réseau des Universités
Navigateur
Fournisseur
d’identités
(IdP)
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
(SP)
Sans SSO
(première requête vers un SP)
Navigateur
userId
password
nameId
Copyright © 2005 – Comité Réseau des Universités
nameId
Fournisseur
d’identités
(IdP)
nameId
attributes
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
(SP)
Sans SSO
(première requête vers un SP)
Navigateur
3
1
userId
password
4
Copyright © 2005 – Comité Réseau des Universités
2
Fournisseur
d’identités
(IdP)
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
(SP)
Sans SSO
(requêtes suivantes vers le même SP)
Copyright © 2005 – Comité Réseau des Universités
Navigateur
Fournisseur
d’identités
(IdP)
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
(SP)
Architecture logique du SP
Navigateur
userId
password
nameId
nameId
Copyright © 2005 – Comité Réseau des Universités
Consommateur
d’assertions
Fournisseur
d’identités
(IdP)
nameId
attributes
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Demandeur
d’attributs
Fournisseur
de service
Contrôleur
d’accès
Ressource
Architecture logique de l’IdP
Navigateur
Base
d’authentification
userId
password
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
userId
nameId
Fournisseur
Autorité
d’authentification
d’identités
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Shibboleth, c’est quoi ?
Navigateur
Base
d’authentification
userId
password
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
userId
nameId
Fournisseur
Autorité
d’authentification
d’identités
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO
(première requête vers un SP)
Serveur
SSO
Navigateur
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Autorité
d’authentification
Autorité
d’attributs
Consommateur
d’assertions
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO
(première requête vers un SP)
userId
Serveur
SSO
password
Navigateur
ticket
ticket
ticket
userId
nameId
nameId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Consommateur
d’assertions
nameId
Autorité
d’authentification
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Avec SSO
(le point de vue de l’utilisateur)
Serveur
SSO
userId
2
password
3
Navigateur
1
4
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Autorité
d’authentification
Autorité
d’attributs
Consommateur
d’assertions
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO
(requêtes suivantes vers le même SP)
Serveur
SSO
Navigateur
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Autorité
d’authentification
Autorité
d’attributs
Consommateur
d’assertions
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO
(première requête vers un autre SP)
ssoId
Serveur
SSO
Navigateur
ticket
ticket
userId
nameId
nameId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Consommateur
d’assertions
nameId
Autorité
d’authentification
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Avec SSO
(première requête vers un autre SP)
ssoId
Serveur
SSO
Navigateur
ticket
ticket
userId
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
nameId
Autorité
d’authentification
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(première requête vers un SP)
Serveur
SSO
Navigateur
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(première requête vers un SP)
Serveur
SSO
Navigateur
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(première requête vers un SP)
userId
Serveur
SSO
password
Navigateur
ticket
ticket
ticket
userId
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
nameId
Autorité
d’authentification
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Avec SSO et WAYF
(le point de vue de l’utilisateur)
Serveur
SSO
userId
4
password
5
Navigateur
1
3
6
2
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(requêtes suivantes vers le même SP)
Serveur
SSO
Navigateur
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(requêtes suivantes vers un autre SP)
Serveur
SSO
Navigateur
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Avec SSO et WAYF
(requêtes suivantes vers un autre SP)
ssoId
Serveur
SSO
Navigateur
ticket
ticket
userId
nameId
nameId
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
nameId
Autorité
d’authentification
Demandeur
d’attributs
nameId
attributes
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
attributes
Contrôleur
d’accès
Ressource
Avec SSO et WAYF
(requêtes suivantes vers un autre SP)
Serveur
SSO
Navigateur
1
3
4
2
Service
d’authentification
Consommateur
d’assertions
Copyright © 2005 – Comité Réseau des Universités
WAYF
Autorité
d’authentification
Autorité
d’attributs
Demandeur
d’attributs
Contrôleur
d’accès
Ressource
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
La délégation avec Shibboleth
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Délégation dans un contexte multi tiers
Navigateur
Copyright © 2005 – Comité Réseau des Universités
nameId
Fournisseur
d’identités
nameId
attributes for SP#1
(encrypted)
attributes for SP#2
Fournisseur
de services
n°1
(encrypted)
attributes for SP#2
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de services
n°2
Une application : la méta recherche
Copyright © 2005 – Comité Réseau des Universités
Fournisseur de
contenus 1
...
Fournisseur de
contenus 2
Portail
documentaire
Navigateur
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur de
contenus n
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
WAYF et topologie
• Service critique
Copyright © 2005 – Comité Réseau des Universités
• Objectifs
– Disponibilité du service maximale
– Maintenance minimale
• À quoi sert un SP sans WAYF ?
Fédération d’identités et propagation d’attributs avec Shibboleth
WAYF et topologie
SP
SP
SP
IdP A
WAYF
Copyright © 2005 – Comité Réseau des Universités
établissement A
établissement B
établissement C
IdP B
IdP C
Navigateur
Fédération d’identités et propagation d’attributs avec Shibboleth
WAYF et ergonomie
• Simplicité
– Le service est utilisé par des dizaines de milliers d’utilisateurs
Copyright © 2005 – Comité Réseau des Universités
• Ergonomie
– Les listes déroulantes sont très limitantes
– Soyons attractifs !
• Fiabilité
– Le service est critique
Fédération d’identités et propagation d’attributs avec Shibboleth
Copyright © 2005 – Comité Réseau des Universités
Démonstration
Fédération d’identités et propagation d’attributs avec Shibboleth
Copyright © 2005 – Comité Réseau des Universités
Demain peut-être ?
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Installation des briques Shibboleth
Navigateur
Copyright © 2005 – Comité Réseau des Universités
Fournisseur
d’identités
Fournisseur
de service
• Module d’authentification
– Pour Apache
• Application J2EE
– Nécessite Tomcat
• Filtre ISAPI
– Pour IIS
• Version Java
– Actuellement en version bêta
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Intégration dans le SI
d’un fournisseur d’identités
Serveur
SSO
Navigateur
ticket
userId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
nameId
Autorité
d’authentification
Fournisseur
de service
nameId
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Connexion avec le
système d’authentification
Serveur
SSO
Navigateur
ticket
userId
• Intégration
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
– Filtre J2EE
– Module Apache
nameId
Autorité
d’authentification
• Couplage faible
nameId
– Champ d’entête HTTP
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de service
Connexion avec le
référentiel utilisateurs
Serveur
SSO
Navigateur
ticket
userId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
• Des sources multiples
nameId
Autorité
d’authentification
– Bases de données
– Annuaires LDAP
– Autres sources
nameId
Autorité userId
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de service
Contrôle de la diffusion
des attributs utilisateur
Serveur
SSO
Navigateur
ticket
userId
• Attribute Release Policy
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
nameId
Autorité
d’authentification
• Filtrage des attributs par
– Fournisseur de services
– Valeur de l’attribut
nameId
Autorité userId
ARP
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de service
Exemple d’attributs diffusés
Serveur
SSO
Navigateur
•
•
•
•
•
ticket
userId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
supannOrganisme
eduPersonAffiliation
edupersonPrincipalName
supannRole
mail
Fournisseur
de service A
nameId
Autorité
d’authentification
Fournisseur
de service B
nameId
Autorité userId
ARP
d’attributs
attributes
Référentiel
utilisateurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur
de service C
Accès anonyme à un fournisseur de
services
• On peut donc transmettre le profil de l’utilisateur sans
aucune donnée nominative
Copyright © 2005 – Comité Réseau des Universités
• Si besoin, un identifiant opaque mais persistant
(targetedId) peut être fourni
• L’UID de l’utilisateur ou son identifiant institutionnel sont
gérés comme les autres attributs
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Intégration dans le SI
d’un fournisseur de services
Navigateur
• Transmission attributs
– Champs entête HTTP
Copyright © 2005 – Comité Réseau des Universités
• Type de contrôle d’accès
Fournisseur
d’identités
– require affiliation [email protected]
– require user [email protected]
– require group etudiantsUnr
Fédération d’identités et propagation d’attributs avec Shibboleth
Consommateur
d’assertions
Demandeur
d’attributs
attributes
Contrôleur
d’accès
Ressource
Plan
Copyright © 2005 – Comité Réseau des Universités
• Pourquoi une fédération ?
• Les solutions techniques
• Le système Shibboleth
–
–
–
–
–
–
–
–
Fonctionnement sans SSO
Fonctionnement avec SSO
Fonctionnement avec SSO et WAYF
À propos du WAYF
Les briques Shibboleth
Configuration d’un fournisseur d’identités
Configuration d’un fournisseur de services
Relations de confiance, aspects techniques
Fédération d’identités et propagation d’attributs avec Shibboleth
Confiance du point de vue
du fournisseur de services
Navigateur
nameId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
• Assertion SAML signée
– X.509
Autorité
d’authentification
Autorité
d’attributs
Consommateur
d’assertions
Demandeur
d’attributs
• Vérifications
– Intégrité assertion
– Identité émetteur
Fédération d’identités et propagation d’attributs avec Shibboleth
Contrôleur
d’accès
Ressource
Confiance du point de vue
du fournisseur d’identités
Navigateur
• Authentification
– SOAP sur HTTPS
• Autorisation
nameId
Copyright © 2005 – Comité Réseau des Universités
Service
d’authentification
Autorité
d’authentification
Consommateur
d’assertions
Demandeur
d’attributs
nameId
attributes
Autorité
d’attributs
Fédération d’identités et propagation d’attributs avec Shibboleth
Contrôleur
d’accès
Ressource
Les méta données
Copyright © 2005 – Comité Réseau des Universités
• Concrétisent les relations de confiance au sein du cercle
de confiance
• Liste des fournisseurs d’identités et des fournisseurs de
services
– Certificat, Identifiant, URL, Organisme, Contacts
• Synchronisation au niveau de chaque site
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Schématisation d’une fédération
Université
A
Université
B
Université
E
Copyright © 2005 – Comité Réseau des Universités
Ressources
documentaires
Université
D
Université
C
Cours
en ligne
Fédération d’identités et propagation d’attributs avec Shibboleth
Application
métier
Relations entre fournisseurs
• Un fournisseur d’identités choisit à quels fournisseurs de
services ses utilisateurs accèdent
Copyright © 2005 – Comité Réseau des Universités
• Un fournisseur de services choisit à quels fournisseurs
d’identités il ouvre l’accès
• La fédération = niveau de confiance minimal partagé entre
les fournisseurs
Fédération d’identités et propagation d’attributs avec Shibboleth
Confiance accordée par
un fournisseur de services
Qualité de l’authentification des utilisateurs
•
Qualité des attributs propagés
Copyright © 2005 – Comité Réseau des Universités
•
•
Disponibilité des services d’authentification et de
propagation d’attributs
Fédération d’identités et propagation d’attributs avec Shibboleth
Confiance accordée par
un fournisseur d’identités
Copyright © 2005 – Comité Réseau des Universités
• Les attributs propagés ne servent qu’aux usages
initialement prévus
– Shibboleth permet l’accès authentifié mais anonyme
Fédération d’identités et propagation d’attributs avec Shibboleth
Formalisation des relations de confiance
• But : établir un niveau de confiance minimal
• Exemples d’engagements pour un fournisseur d’identités
Copyright © 2005 – Comité Réseau des Universités
– Disponibilité et sécurisation du service d’authentification
– Bon approvisionnement et mise à jour du référentiel
– …
• Plusieurs formes possibles
– Respect de bonnes pratiques
– …
– Engagement contractuel
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Historique
USA : Shibboleth, fédération
Fédération pilote
du CRU
Suisse : fédération
Copyright © 2005 – Comité Réseau des Universités
2002
2003
2004
2005
2006
France : SUPANN, ENT, SSO, UNR
CRU : étude Shibboleth
et Liberty Alliance
Fédération d’identités et propagation d’attributs avec Shibboleth
Premiers services
Les acteurs
1. Fournisseurs d’identités
– Établissements d’enseignement supérieur
Copyright © 2005 – Comité Réseau des Universités
2. Fournisseurs de services
– Enseignement supérieur et recherche, autres administrations,
prestataires privés
3. Le CRU
Fédération d’identités et propagation d’attributs avec Shibboleth
Travaux du CRU au sein de la fédération
Nommage et la sémantique communs des attributs
•
Assistance et conseil aux fournisseurs
•
Distribution des méta données
Copyright © 2005 – Comité Réseau des Universités
•
•
Formaliser les relations de confiance
Fédération d’identités et propagation d’attributs avec Shibboleth
Relations de confiance
• Simple engagement à respecter des bonnes pratiques
• Formalisation légère
Copyright © 2005 – Comité Réseau des Universités
– Signature d’une convention
• Documents publiés en janvier 2006
– Susceptibles d’évoluer
Fédération d’identités et propagation d’attributs avec Shibboleth
C’est un service technique
• Aspects non couverts : administratifs, financiers,
fonctionnels, etc.
Copyright © 2005 – Comité Réseau des Universités
• La fédération du CRU n’est pas signataire d’un contrat qui
peut lier un fournisseur de services à des fournisseurs
d’identités
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Besoin d’un nommage commun
Etablissement
A
Copyright © 2005 – Comité Réseau des Universités
Discipline
Etablissement
B
Discipline
disc.
Etablissement
C
Discipline
filière
AUTORISATION BASÉE SUR LA DISCIPLINE DE L’ÉTUDIANT
Cours en ligne réservé
aux étudiants en mathématiques
Fédération d’identités et propagation d’attributs avec Shibboleth
Besoin d’une sémantique commune
Etablissement
A
Copyright © 2005 – Comité Réseau des Universités
Discipline = mathématiques
Etablissement
B
Discipline = maths
Etablissement
C
Discipline = Sc. Mathématiques
AUTORISATION BASÉE SUR LA DISCIPLINE DE L’ÉTUDIANT
Cours en ligne réservé
aux étudiants en mathématiques
Fédération d’identités et propagation d’attributs avec Shibboleth
Attributs au sein de la fédération du CRU
• Base d’attributs : SUPANN
– sn, mail, eduPersonPrincipalName, eduPersonAffiliation,
supannOrganisme…
Copyright © 2005 – Comité Réseau des Universités
• Évolution en fonction des besoins des fournisseurs de
services
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Déclaration CNIL pour le référentiel
•
Diffusion d’attributs hors de l’établissement : nouvelle
déclaration CNIL ?
– Contacts avec la CNIL en cours
Copyright © 2005 – Comité Réseau des Universités
•
Cette diffusion est bien encadrée
1.
2.
3.
4.
Sous le contrôle de l’établissement
En fonction du fournisseur de services
Anonymisation possible
Uniquement lors d’une session utilisateur
Fédération d’identités et propagation d’attributs avec Shibboleth
Respect de la vie privée (privacy)
• Un utilisateur peut refuser la propagation d’attributs le
concernant vers un tiers (réglementation européenne)
Copyright © 2005 – Comité Réseau des Universités
• Contraintes ergonomiques et d’usages fortes
• Contrôle au niveau d’une interface dédiée
– Plutôt que dans Shibboleth
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération pilote du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Pour un fournisseur d’identités
•
Mon établissement peut-il respecter les bonnes
pratiques ?
•
Pré requis
Copyright © 2005 – Comité Réseau des Universités
– Un service central d’authentification
– Un ou plusieurs référentiels avec nommage et sémantique corrects
•
Démarche
1. Tester la mise en place technique avec la fédération de test
2. S’inscrire au sein de la fédération pilote
Fédération d’identités et propagation d’attributs avec Shibboleth
Pour un fournisseur de services (1)
• Utilisateurs concernés
– Appartiennent-ils tous à un établissement d’enseignement supérieur ?
– Ces établissements sont-ils dans la fédération ?
Copyright © 2005 – Comité Réseau des Universités
• Si non, une solution : le fournisseur d’identités virtuel
Fédération d’identités et propagation d’attributs avec Shibboleth
Fournisseur d’identités virtuel
IdP
virtuel
Université
A
Copyright © 2005 – Comité Réseau des Universités
Université
E
Université
D
Université
B
Université
C
W
A
Y
F
Fédération d’identités et propagation d’attributs avec Shibboleth
Application
métier
Pour un fournisseur de services (2)
• Utilisation d’attributs propagés ?
– Vérifier que ces attributs existent dans la fédération
– Utilisations possibles :
• Contrôle d’accès
• Privilèges applicatifs
• Personnalisation
Copyright © 2005 – Comité Réseau des Universités
• « Shibboliser » l’application
– Blackboard, JSTOR, Moodle, OCLC, OLAT, Sympa, TWiki, WebCT…
• Démarche
1. Tester la mise en place technique avec la fédération de test
2. S’inscrire au sein de la fédération pilote
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
Copyright © 2005 – Comité Réseau des Universités
•
•
•
•
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
–
–
–
–
–
–
Relations de confiance
La fédération pilote du CRU
Nommage et sémantique des attributs
Déclaration CNIL et respect de la vie privée
Rejoindre la fédération du CRU
Périmètre
Fédération d’identités et propagation d’attributs avec Shibboleth
Faut-il plusieurs fédérations ?
Université
A
Université
E
Université
B
Copyright © 2005 – Comité Réseau des Universités
Ressources
documentaires
Université
D
Université
C
Application
UNR
Cours
en ligne
Fédération d’identités et propagation d’attributs avec Shibboleth
Application
métier
Coexistence de fédérations
• Pas de problème technique
– Shibboleth permet à un fournisseur d’appartenir à plusieurs fédérations
Copyright © 2005 – Comité Réseau des Universités
• Organisationnel
– Simple pour un fournisseur de services
– Plus compliqué pour un fournisseur d’identités
• Surcharge administrative
• Multiplication des engagements de confiance
• Plusieurs jeux d’attributs à gérer
• Fédération spécifique si besoin de confiance spécifique
Fédération d’identités et propagation d’attributs avec Shibboleth
Du point de vue de l’utilisateur…
• C’est le WAYF qui concrétise la notion de fédération
Copyright © 2005 – Comité Réseau des Universités
• Il peut (doit ?) être placé au niveau d’un fournisseur de
services
– Liste de fournisseurs d’identités restreinte
– Visuel adapté au contexte (par ex. UNR)
• On simule ainsi des « fédérations virtuelles »
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
•
•
•
•
Copyright © 2005 – Comité Réseau des Universités
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
• Retours d’expérience et perspectives
– SWITCHaai, fédération académique Suisse
– Projets en France
– Perspectives
Fédération d’identités et propagation d’attributs avec Shibboleth
SWITCHaai
• En production depuis 2003
• 10 fournisseurs d’identités, 10 000 utilisateurs actifs
Copyright © 2005 – Comité Réseau des Universités
• Ressources
– Plates-formes d’enseignement à distance (OLAT, WebCT, Moddle)
– Documentations électroniques (Elsevier, SpringerLink) via EZproxy /
Shibboleth
• Retour d’expérience très positif
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
•
•
•
•
Copyright © 2005 – Comité Réseau des Universités
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
• Retours d’expérience et perspectives
– SWITCHaai, fédération académique Suisse
– Projets en France
– Perspectives
Fédération d’identités et propagation d’attributs avec Shibboleth
Projets en France
• Région bordelaise
– Accès WI-FI inter-établissements
Copyright © 2005 – Comité Réseau des Universités
• UNR Bretagne
– Plate-forme d’enseignement à distance Moodle
– Candisup : application d’inscription en première année d’enseignement
supérieur
• Expérimentation Couperin
– Accès à des fournisseurs de contenu électronique
Fédération d’identités et propagation d’attributs avec Shibboleth
Accès aux fournisseurs de contenu
• Actuellement par adresse IP
–
–
–
–
Nomadisme impossible sauf proxy
Contrôle d’accès impossible
Pas d'identification
Pas de quantification des accès
Copyright © 2005 – Comité Réseau des Universités
• Intérêt de Shibboleth
–
–
–
–
Nomadisme permis
Contrôle d’accès basé sur les attributs
Anonymisation possible au niveau du fournisseur de services
Identification et quantification possibles au niveau du fournisseur
d’identités
Fédération d’identités et propagation d’attributs avec Shibboleth
Expérimentation Couperin
• Objectifs
– Améliorer et standardiser l’accès aux documentations électroniques
– Valider l’intérêt de Shibboleth, retour d’expérience
Copyright © 2005 – Comité Réseau des Universités
• 12 établissements y participent
• Un ou deux fournisseurs de contenus : Elsevier, EBSCO
• Expérimentation au premier trimestre 2006
Fédération d’identités et propagation d’attributs avec Shibboleth
Perspectives accès aux
documentations électroniques
• Les fournisseurs de contenu sont en train d’adopter
Shibboleth
Copyright © 2005 – Comité Réseau des Universités
• La généralisation de Shibboleth permettra
– L’accès à des ressources documentaires gérées par les établissements
– Une recherche multi fournisseurs via un portail documentaire
Fédération d’identités et propagation d’attributs avec Shibboleth
Plan
•
•
•
•
Copyright © 2005 – Comité Réseau des Universités
Pourquoi une fédération ?
Les solutions techniques
Le système Shibboleth
La fédération pilote du CRU,
illustration de la mise en place d’une fédération d’identités
• Retours d’expérience et perspectives
– SWITCHaai, fédération académique Suisse
– Projets en France
– Perspectives
Fédération d’identités et propagation d’attributs avec Shibboleth
Perspectives
• Délégation multi-tiers
Copyright © 2005 – Comité Réseau des Universités
• Grilles de calcul : GridShib
– Intégrer Globus Toolkit et Shibboleth
– http://gridshib.globus.org
Fédération d’identités et propagation d’attributs avec Shibboleth
Ce qu’il faut retenir
• Ça marche, dès maintenant
Copyright © 2005 – Comité Réseau des Universités
• Ce n’est pas si compliqué
• Pour faire une fédération,
il faut être plusieurs ;-)
Fédération d’identités et propagation d’attributs avec Shibboleth
Copyright © 2005 – Comité Réseau des Universités
CRU NEEDS YOU!
Fédération d’identités et propagation d’attributs avec Shibboleth