josy « authentification centralisée » paris, 6 mai 2010 ... · title (microsoft powerpoint -...
TRANSCRIPT
JOSY « Authentification Centralisée »Paris, 6 mai 2010
Single Sign-On
Copyright 2010 © Consortium ESUP-Portail
Single Sign-On open source avec CAS
(Central Authentication Service)
Julien Marchal
SSO open source avec CAS
• Introduction
– Pourquoi le Single Sign-On ?
– Principes du SSO sur le web
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
• Le mécanisme CAS
• L’authentification sous CAS
• Démonstration
Pourquoi le Single Sign-On ?
• Single Sign-On = Authentification unique et unifiée
• Authentifications multiples
• Sécurité
– Le vol d’un mot de passe unique est critique
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
– Le vol d’un mot de passe unique est critique
• Protéger le mot de passe
• Ne pas le transmettre aux applications(simplification des applications et non délégation de la sécurité)
• Différents mécanismes d’authentification
– Abstraction du mode d’authentification
• LDAP, NIS, BDD, certificats X509, …
Pourquoi le Single Sign-On ?
Appli n°1Appli n°2Appli n°3
Service
Appli n°1Appli n°2Appli n°3
Service
Copyright 2010 ©
sans CAS
Navigateur web
Appli n°1Appli n°2Appli n°3
Navigateur web
Appli n°1Appli n°2Appli n°3
avec CASJOSY "Authentification Centralisée, Paris, 6 mai 2010
Principes du SSO web
• Centralisation de l’authentification
– Sur un serveur (d’authentification)
• Redirections HTTP transparentes
– Des applications vers le serveur d’authentification
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
– Des applications vers le serveur d’authentification
– Du serveur d’authentification vers les applications
• Passage d’informations lors de ces redirections
– Cookies
– Paramètres CGI
Principes du SSO web
Appli n°1Appli n°2Appli n°3
ServiceRéférenciel utilisateurs
Appli n°1Appli n°2Appli n°3
ServiceRéférenciel utilisateurs
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
sans CAS
Navigateur web
Appli n°1Appli n°2Appli n°3
Navigateur web
Appli n°1Appli n°2Appli n°3
avec CAS
Mais comment ça marche ?
1ère authentification d’un utilisateur
Serveur CAS
Copyright 2010 ©
Navigateur web
HT
TP
S
JOSY "Authentification Centralisée, Paris, 6 mai 2010
1ère authentification d’un utilisateur
Référenciel utilisateurs
Serveur CAS
Copyright 2010 ©
Identifiant
Mot de passe
TGC
•TGC : Ticket Granting Cookie• Passeport du navigateur auprès du serveur CAS
• Cookie privé et protégé (le seul cookie utilisé dans CAS ;il n’est pas obligatoire)
•Ticket opaque rejouable
HT
TP
S
TGC
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Navigateur web
Accès à une application(après authentification)
HT
TP
S
ST
ST
ID
Serveur CASApplication
Copyright 2010 ©
HT
TP
S
ST
• ST : Service Ticket
– Passeport du navigateur auprès
du client CAS
– Ticket opaque non rejouable
– Limité dans le temps
TGC
TGC
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Navigateur web
Accès à une application(après authentification)
HT
TP
S
ST
ST
ID
Application
Copyright 2010 ©
HT
TP
S
ST
TGC
TGC
• Toutes les redirections sont transparentes pour l’utilisateur
Dans la pratique…
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Navigateur web
Accès à une application(avant authentification)
Application
Serveur CAS
Copyright 2010 ©
HT
TP
S
formulaired’authentification
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Navigateur web
Accès à une application(avant authentification)
ST
ID
Serveur CAS
Application
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
TGC
HT
TP
S ST
identifiantmot de passe ST
TGC
• Il n’est pas nécessaire de s’être préalablement authentifié auprès du serveur CAS pour accéder à une application
Navigateur web
Remarques
• Une fois le TGC acquis, l’authentification devient transparente pour l’accès à toutes les autres applications CAS-ifiées
Copyright 2010 ©
les autres applications CAS-ifiées
• Une fois authentifié pour une application, une session applicative est mise en place
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Fonctionnement n-tiers
Serveur CAS
Serveur (imap)
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
TGC
ST
ST
ID
PGT
PGT
Navigateur web
Application (webmail)
Fonctionnement n-tiers
PTID
• PGT : Proxy Granting Ticket– Passeport d'un utilisateur pour
une application auprès du serveur CAS
– Ticket opaque rejouable
Serveur (imap)
Serveur CAS
Copyright 2010 ©
TGC
ST
PGT
PT
PGT
PT
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Application (webmail)
Navigateur web
Single Sign-Out
logout
Session applicative
Navigateur web
Serveur CAS
Session applicative
Copyright 2010 ©
TGC
JOSY "Authentification Centralisée, Paris, 6 mai 2010
• Lors d’un logout CAS– Le serveur va envoyer des requêtes de logout à chaque service ayant
demandé un ticket pour l’utilisateur
– A charge aux applications de traiter le logout
Session applicative
Technologies utilisées
• JAVA
• SPRING
Copyright 2010 ©
• SPRING
• REST
• HTTP
• SSL
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Les authentifications
• Le choix du/des mode(s) d’authentification est laissé à l’initiative de l’administrateur
• Configuration XML pour ajouter des « handlers » d’authentification
• Possibilité de développer ses propres couches d’authentification
Copyright 2010 ©
d’authentification
Active directory
Fichier plat
JAASJDBC LDAP
RADIUS
SPNEGO
X509
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Les protocoles
• Open ID• Système d’authentification décentralisé qui permet
l’authentification unique
Copyright 2010 ©
l’authentification unique
• SAML• Google apps
• RESTful
JOSY "Authentification Centralisée, Paris, 6 mai 2010
Démonstration rapide
nancy2.fr
nancy2.fr
nancy2.fr
Copyright 2010 ©JOSY "Authentification Centralisée, Paris, 6 mai 2010
nancy2.fr