La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le mécanisme de Single Sign-On CAS (Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry.

Présentations similaires


Présentation au sujet: "Le mécanisme de Single Sign-On CAS (Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry."— Transcription de la présentation:

1 Le mécanisme de Single Sign-On CAS (Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry

2 Généralités Fonctionnement de base –Tickets utilisésTickets utilisés –URLs utiliséesURLs utilisées –Premier accès à une applicationPremier accès à une application –Accès suivants à la même applicationAccès suivants à la même application –Accès à une autre applicationAccès à une autre application Fonctionnement multi-tiers –Tickets utilisésTickets utilisés –Premier accès à un mandatairePremier accès à un mandataire –Accès suivants à un mandataireAccès suivants à un mandataire –Avec session entre mandataire et serviceAvec session entre mandataire et service Plan Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

3 Généralités Sous forme de servlets java Ne traite que lauthentification (mais extensions à priori aisées) Sintègre dans uportal sans développement Utilisé par différentes universités américaines Fonctionnalité de proxy très intéressante Nombreuses bibliothèques clientes –perl, java, pl-sql, PHP, … Modules apache et pam Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

4 Fonctionnement de base Similaire aux autres mécanismes de SSO, mais –Utilisation de tickets opaques –Sécurité accrue Pas de fonctionnement multi-tier –Nécessite un « contact » direct entre lapplication ayant besoin dauthentification et le navigateur web Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

5 Tickets utilisés TGC : Ticket Granting Ticket (Cookie) –Valable pour un utilisateur –Cookie de session privé et protégé (https) du serveur CAS vers le navigateur –Permet dobtenir les ST –Évite les ré-authentifications (rejouable) ST : Service Ticket –Valable pour un service et un utilisateur –Authentifie une personne, pour une application (une URL) –À usage unique (non rejouable) Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

6 Table des matières AccueilLe mécanisme SSO CAS – groupe SSO URLs utilisées /Login : connexion, HTTPS –En cas de succès, positionnement du TGC –Permet déviter une ré authentification /Logout : déconnexion, HTTP(S) –Suppression du TGC –Suppression des références de lutilisateur au niveau du serveur CAS /Validate (ou /serviceValidate), HTTP(S) –Passage du ST pour validation –Retour de lidentifiant de lutilisateur –Invalidation du ST navigateurs web applications

7 Premier accès à une application serveur CAS client web application 1 base dauthentification premier accès (sans ST ni session applicative) formulaire dauthentification ID appli 1 redirection (GET) ID appli 1 pas de TGC Sans TGC, lutilisateur doit sauthentifier auprès du serveur CAS Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

8 Premier accès à une application serveur CAS client web application 1 base dauthentification authentification redirection (GET) ST TGC accès avec ST ST demande de validation ST TGC demande dauthentification (HTTPS) ID appli 1 user password Le ST doit être validé par le serveur CAS ST TGC identification Le TGC (rejouable) est stocké par le navigateur Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

9 Premier accès à une application serveur CAS client web application 1 base dauthentification authentification redirection (GET) ST TGC accès avec ST ST demande de validation ST TGC identification création dune session applicative ID session 1 page web ID session 1 demande dauthentification (HTTPS) ID appli 1 user password ID session 1 identification Lidentificateur de session est stocké sur le navigateur TGC identification Le ST (non rejouable) est supprimé Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

10 Accès suivants à la même application serveur CAS client web application 1 base dauthentification TGC ID session 1 identification page web accès avec session applicative ID session 1 Les applications gèrent ensuite leurs propres sessions TGC identification Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

11 Accès à une autre application serveur CAS client web application 2 base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID appli 2 TGC ID session 1 ID appli 2 accès avec TGC TGC identification ST Le TGC est connu, un nouveau ST est généré Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

12 Accès à une autre application serveur CAS client web application 2 base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID appli 2 TGC ID session 1 ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST demande de validation ST TGC identification ST Le ST doit être validé par le serveur CAS Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

13 Accès à une autre application serveur CAS client web application 2 base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID appli 2 TGC ID session 1 ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST demande de validation ST identification page web ID session 2 création dune session applicative ID session 2 identification ID session 2 TGC identification Le ST (non rejouable) est supprimé Le TGC permet ensuite laccès à dautres applications sans ré-authentification Toutes les redirections sont transparentes pour lutilisateur Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

14 Le fonctionnement multi-tiers Possibilité pour une application (mandataire) dinterroger une autre application (service) Aucun lien nest nécessaire entre le navigateur et lapplication tiers Possibilité de chaîner les mandataires Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

15 Tickets utilisés TGC : Ticket Granting Ticket ST : Service Ticket PGT : Proxy Granting Ticket –Valable pour un utilisateur –Envoyé par le serveur CAS à une appli proxy CAS –Permet dobtenir les PT –Évite les ré-authentifications des applications (rejouable) PT : Proxy Ticket –Valable pour un service et un utilisateur –Équivalent du ST pour les mandataires –Utilisé pour les services nayant pas de lien avec le navigateur Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

16 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST TGC identification ST Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

17 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST identification PGT id PGT Le PGT est envoyé à travers un canal chiffré séparé pour assurer lidentité du mandataire TGC identification PGT Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

18 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST TGC identification PGT identification PGT Le PGT est stocké sur le mandataire Il permet dobtenir un PT demande de PT PGT ID appli 2 Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

19 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST TGC identification PGT identification PGT demande de PT PGT ID appli 2 Accès avec PT PT Le PT doit être validé par le serveur CAS Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

20 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST TGC identification PGT identification PGT demande de PT PGT ID appli 2 Accès avec PT PT demande de validation PT Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

21 Premier accès à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification premier accès (sans ST ni session applicative) redirection (GET) ID mand. TGC ID mand. accès avec TGC TGC redirection (GET) ST accès avec ST ST application 2 (service) demande de validation ST TGC identification PGT identification PGT demande de PT PGT ID appli 2 Accès avec PT PT demande de validation PTidentification ID session identification création dune session applicative page web ID session Toutes les redirections sont transparentes pour lutilisateur Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

22 application 2 (service) Accès suivants à un mandataire serveur CAS client web application 1 (mandataire) base dauthentification TGC ID session identificationID session 1 ID session identification page web PT Accès avec PT PT demande de validation PT demande de PT PGT ID appli 2 PGT TGC identification PGT Table des matières AccueilLe mécanisme SSO CAS – groupe SSO

23 application 2 (service) Avec session entre mandataire et service serveur CAS client web application 1 (mandataire) base dauthentification TGC ID session 1 identification page web ID session 2 identification accès avec session applicative ID session 2 PGT Les mandataire gèrent ensuite leurs propres sessions avec les services TGC identification PGT Table des matières AccueilLe mécanisme SSO CAS – groupe SSO


Télécharger ppt "Le mécanisme de Single Sign-On CAS (Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry."

Présentations similaires


Annonces Google