Single Sign On et Web SSO Page 1 Nicolas Dewaele Single Sign On.

Slides:



Advertisements
Présentations similaires
INTRODUCTION. INTRODUCTION PLAN DE SOUTENANCE PREMIER PARTIE: GÉNÉRALITÉS Chapitre 1: Présentation de la structure d’accueil Chapitre 2 : généralité.
Advertisements

Comprendre Internet Bases théoriques et exercices pratiques, pour débutants complets... Et curieux !
Outil Système Complet d'Assistance Réseau CRDP de l'académie de Lyon Documentation librement inspirée de la présentation.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Guide Share France Web Single Sign On Panorama des solutions SSO.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Cloud computing Présenté par Robert Ogryzek, Teddy Frontin, Kevin Lambert et Matthew Cronne.
Messagerie Open Source à la DGCP Implémentation réalisée par IBM et Pilot Systems Sylvain Viollon.
Intégration de logiciels libres en entreprise Sommaire Présentation du groupe AlterWay2 Présentation de la société Argedis6 Présentation du projet Argedis8.
Créer un site Web avec Eva Spip Première approche B. Gugger – Mars 2006 – Département RTC.
Le système Raid 5 Table des matières Qu'est ce que le RAID ? Les objectifs Le raid 5 Les avantages et les inconvénients Les composants d’un Raid.
SSO : Single Sign ON Authentification unique Il y a 10 ans : Un luxe Il y a 3 ans : Un composant à part entiere Aujourd'hui : Incontournable Demain : Le.
Vers les usages... Le projet EnvOLE séminaire EOLE novembre 2006, Dijon Accueil Orientations Architecture Socle > EnvOLE Services > Centre de ressources.
1 Observer le paramétrage d’un réseau. 2 Dans notre réseau téléphonique habituel, les postes, reliés à un auto-commutateur... …peuvent dialoguer, car.
1 Identifier les composants d’un réseau local. 2 Les composants d’un réseau Des ordinateurs, appelés stations... …munis d’une carte réseau leur permettant.
TP Sécurité - Sécuriser l’accès d’administration en utilisant
INTERNET #1 Qu’est-ce qu’internet ? Qu’est-ce qu’un site internet ?
Haute École Roi Baudouin CATÉGORIE ÉCONOMIQUE INFORMATIQUE DE GESTION
Eric b, emmanuel l, damien t
Mise en place d’un système de partage de fichiers
Outil Système Complet d'Assistance Réseau
Quelques Infos sur LDAP
Réussir la mise en œuvre de Pôle emploi 2015 Plaquette de présentation
Introduction aux Systèmes de Gestion de Bases de données
Réf. CS&S/ISE/DFC/TES,xxxx/-/02
INSIA SRT 3 PAM !.
Sécurisation de l’accès Internet
Chiffrement de bout en bout
Séminaire EOLE Dijon Octobre 2010
Sécurité Web Protocole HTTPS.
Batterie TSE.
Sécurité - Configuration de
Les technologies AJAX.
Sécurité - Configuration de -
Module S41 Chapitre 9  Configuration de Microsoft Windows 7 pour fonctionner sur des réseaux Microsoft.
Comment fonctionne RADIUS?
Bienvenue Comment peut-on disposer d’un espace numérique permettant de stocker toutes sortes de documents pouvant être utilisés par n’importe quel membre.
Cyril Bras Journée « Sécu »
MISE EN PLACE DE LA ToIP CAS DU MINJEC
Mise en place d’une stratégie de groupe
Chapitre 7 Configuration de l'environnement du bureau
Documentation technique (Linux)
PRESENTATION DE Cahier de charges 1. Mise en place d’un système de portail captif au sein de l’IGA PROJET : 2.
Mise en œuvre d’une solution de portail
Bureau distant sur Windows Vista /2008 Server
EPREUVE E4: PPE Mise en place d’un portail captif
Informatique générale
Service web Réalise par: Latifa Gamoun Mariem jridi Majdouline Hassni Service web Réalise par: Latifa Gamoun Mariem jridi Majdouline Hassni 1.
Plan d'urbanisation Version / 02 / Nov Mai 2013 Passation des marchés Sommaire Une vision unifiée de l'urbanisation et de l'approche.
Outils et principes de base. Exemple d’application  Gestion de données d’enquête : Interface de saisie en ligne  insère directement les données dans.
Mise en place d'un Serveur Radius pour la sécurité d'un réseau Wireless sous Windows Serveur Présenter par le Stagiaire : Etienne Mamadou Guilavogui.
Single Sign-On open source avec CAS (Central Authentication Service)
La gestion des habilitations par le partenaire
Exposé de système / réseaux IR3
Retour d’expérience CEVIF ESUP Day
Single Sign-On open source avec CAS (Central Authentication Service)
Un cloud de production et de stockage
PLATE FORME DE GESTION ÉLECTRONIQUE DE DOCUMENTS Présenté par: Amine LARIBI.
Notions d'architecture client-serveur. Présentation de l'architecture d'un système client/serveur Des machines clientes contactent un serveur qui leur.
Conception de sites web marchands: TD 2
Test de performances. Test de performances:  Un test de performance est un test dont l'objectif est de déterminer la performance d'un système informatique.
Service de consultation en ligne
Projet de fin d’études : Université Cadi Ayyad Ecole Supérieure de Technologie-Safi Techniques Instrumentales et Management de la Qualité Sujet traité.
Présentation des missions en entreprise et formation
Implémentation de FTP Rappel sur FTP Relation entre un site Web et FTP
Qu’est ce qu’une page web? Comment fonctionne un site web?
Présentation des missions en entreprise
Internet Stage – Semaine 5.
Transcription de la présentation:

Single Sign On et Web SSO Page 1 Nicolas Dewaele Single Sign On

et Web SSO Page 2 Nicolas Dewaele Sommaire Introduction I- Présentation de la technologie II- Architectures classiques et étude du marché III- Implémentation en entreprise IV- Présentation de systèmes SSO Annexes

Single Sign On et Web SSO Page 3 Nicolas Dewaele Introduction

Single Sign On et Web SSO Page 4 Nicolas Dewaele Dialogue entre utilisateurs du réseau informatique : « - La gestion des mots de passe de mon entreprise est très compliquée : D'abord, le service informatique me fait renseigner un mot de passe pour entrer sur Windows qui doit être obligatoirement compliqué, donc je l'oublie régulièrement et je suis obligé de rappeler le service informatique. Ce mot de passe ne dure qu'un certain temps donc à chaque fois c'est la même chose. En plus, il faut retenir un mot de passe pour les mails et pour chaque application, je ne m'en sors plus. - Moi j'utilise un carnet que je laisse toujours sur mon bureau et je note soigneusement tous mes mots de passe à chaque fois qu'ils changent. » Conclusions : → La multiplication des systèmes de sécurité devient à terme contre-productive. → Ce n'est pas à l'utilisateur de centraliser les informations de sécurité mais au système informatique ! Introduction

Single Sign On et Web SSO Page 5 Nicolas Dewaele I- Présentation générale

Single Sign On et Web SSO Page 6 Nicolas Dewaele Définition générale du SSO - Single Sign On : Authentification unique - Permet à un utilisateur d'accéder à plusieurs services en ayant à effectuer qu'une opération d'authentification. - L'information d'authentification se propage sur chacun des services réseau. I- Présentation générale

Single Sign On et Web SSO Page 7 Nicolas Dewaele Avantages du SSO - Simplification de l'authentification de l'utilisateur : - Cela lui évite d'avoir à retenir trop de mots de passe ou pire, à les noter dans un carnet ! - Cela lui évite de taper un mot de passe à chaque fois qu'il lance une application - Sécurité améliorée : Toute la sécurité est laissée entre les mains d'un serveur spécialisé. Chaque application n'est pas responsable de la sécurité. -Cohérence dans la gestion des comptes utilisateurs (allocation, expiration, mises à jour)  Ergonomie utilisateur, rationalisation dans la gestion des comptes. I- Présentation générale

Single Sign On et Web SSO Page 8 Nicolas Dewaele Critique du SSO - Une seule authentification pour accéder à toutes les ressources donc en cas d'obtention d'un mot de passe par une personne mal intentionnée, elle aura l'accès à tous les services réseau. - Pour éviter cela, il faut réfléchir à une politique d'authentification et si besoin passer à un système d'authentification lourde. I- Présentation générale

Single Sign On et Web SSO Page 9 Nicolas Dewaele Principes du SSO - Concepts inspirés de Kerberos : - Authentification assurée par un serveur dédié et transparente pour l’application (pas de recueil du couple identifiant+mot de passe) - Tickets délivrés au client (maintien de la session d’authentification) et aux applications (transmission de l’identité de l’utilisateur) - Relation de confiance entre les applications et le serveur d’authentification (cryptographie symétrique ou asymétriques, certificats X509) I- Présentation générale

Single Sign On et Web SSO Page 10 Nicolas Dewaele Définition du SSO lourd - Le SSO lourd nécessite une installation et une configuration sur chacun des clients. - Cette installation peut être sous forme de logiciel « agent ». - Le SSO lourd peut aussi concerner une méthode d'authentification forte (certificats, carte à puce, clé USB, biométrie). I- Présentation générale

Single Sign On et Web SSO Page 11 Nicolas Dewaele Définition du Web SSO - Le Web SSO fournit une signature unique pour les Web services basés sur HTTP et HTTPS. - Il est considéré comme léger car aucune configuration n'est à faire côté client, tout se passe sur le serveur. I- Présentation générale

Single Sign On et Web SSO Page 12 Nicolas Dewaele Termes associés au SSO Identification / Authentification / Autorisation L'identification permet de vérifier l'identité d'une personne via un login par exemple. L'authentification permet de s'assurer Qu'une personne est bien celle qu'elle Prétend être par login et mot de passe Et plus encore par biométrie. L'autorisation permet à partir de l'identification et l'authentification de définir des droits à une personne. Le travail du SSO est avant tout l'authentification. I- Présentation générale

Single Sign On et Web SSO Page 13 Nicolas Dewaele Termes associés au SSO Authentification forte : L'authentification forte est un processus combinant plusieurs moyens d'authentification : - Un mot de passe - Un élément matériel : une carte à puce, une clé USB - Une authentification par biométrie Fédération d'identité : La fédération d'identité permet de gérer l'identification des utilisateurs au sein d'une société possédant plusieurs sites géographiques. Les serveurs d'identification sont répartis, l'utilisateur peut se connecter de n'importe où et pourquoi pas profiter d'un SSO (mais pas obligatoirement). I- Présentation générale

Single Sign On et Web SSO Page 14 Fédération Identités : Apports attendus Offrir des services personnalisés basés sur l’idendité numérique …garantissant le respect de la vie privée des utilisateurs… …interoperabilité des différents modèles de gestion des identités numérique… …usages sécurisés de l’identité numérique… … viabilité économique du modèle pour tous les acteurs de la chaîne de valeur …cohérence et simplicité du parcours utilisateur… I- Présentation générale

Single Sign On et Web SSO Page 15 Nicolas Dewaele Fédération d’identités: schéma technique I- Présentation générale ip-sts infocard idp services territoriaux services bancaires profil bancaire ip-sts infocard profil citoyen idp régional profil télécom services gouvernementaux idp services télécom profil régalien

Single Sign On et Web SSO Page 16 Nicolas Dewaele II- Exemples d'architectures de Single Sign On et étude du marché II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 17 Nicolas Dewaele SSO Lourd et Web SSO : Méthode de l'agent II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 18 Nicolas Dewaele SSO Lourd et Web SSO : Méthode de l'agent II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 19 Nicolas Dewaele SSO Lourd : Authentification forte II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 20 Nicolas Dewaele Web SSO : Méthode du reverse proxy II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 21 Nicolas Dewaele Web SSO : Méthode de la délégation II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 22 Nicolas Dewaele Étude de marché : D'une manière générale, les principaux SSO lourds sont des solutions d'entreprises et les Web SSO sont plutôt des projets open source. SSO lourd : 4 grandes solutions : - Evidian : Enterprise SSO - Actividentity : SecureLogin - Avencis : SSOX - CA : SSO Principales solutions de Web SSO : - Central Authentication Service (CAS) - LemonLDAP-NG - Vulture-NG - Shibboleth III- Implémentation en entreprise

Single Sign On et Web SSO Page 23 Nicolas Dewaele Evidian II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 24 Nicolas Dewaele Computer Associates (CA) II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 25 Nicolas Dewaele Actividentity II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 26 Nicolas Dewaele Avencis II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 27 Nicolas Dewaele Web SSO Les principaux Web SSO sont plutôt des projets open source. CAS : Système de Web SSO réparti, avec un serveur SSO, un serveur d'authentification et éventuellement un proxy. Vulture-NG : Reverse proxy qui permet de faire du filtrage, des redirections d'URL et du SSO. LemonLDAP-NG : Système de Web SSO réparti, avec un serveur SSO, un serveur d'authentification et éventuellement un proxy. II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 28 Nicolas Dewaele SSO pour les particuliers Solutions de Web SSO pour les particuliers : - Passport et LiveID de Microsoft - OpenID - Personal Identity Portal de Verisign II- Exemples d'architectures SSO

Single Sign On et Web SSO Page 29 Nicolas Dewaele III- Implémentation d'un projet de SSO en entreprise III- Implémentation en entreprise

Single Sign On et Web SSO Page 30 Nicolas Dewaele Méthodologie : 1) Définition du besoin 2) Analyse de l'existant 3) Architecture logique 4) Mise en œuvre III- Implémentation en entreprise

Single Sign On et Web SSO Page 31 Définition du besoin : Nicolas Dewaele III- Implémentation en entreprise Réduire les coûts de help desk Accroître la productivité des utilisateurs : - Éviter les pertes de temps, oublis mots de passe Améliorer la sécurité : -Renforcer le contrôle d’accès aux applications critiques Se conformer aux lois et règlement de l’Entreprise Renforcer la simplicité des architectures

Single Sign On et Web SSO Page 32 Nicolas Dewaele Exemple de calcul de R.O.I. III- Implémentation en entreprise

Single Sign On et Web SSO Page 33 Nicolas Dewaele Analyse de l'existant : Utilisateurs : - Nombre d'utilisateurs - Nombre d'applications protégées - Temps moyen pour taper un mot de passe - Temps moyen de réinitialisation d'un mot de passe Parc informatique : - Recensement des serveurs - Recensement des applications - Sources de données (bases SQL, annuaires LDAP, …) - Types d'authentifications → Choix d'une solution III- Implémentation en entreprise

Single Sign On et Web SSO Page 34 Nicolas Dewaele Architecture logique : III- Implémentation en entreprise Choix de l'architecture : - Choix des applications - Choix des matériels et des serveurs - Choix des sources de données - Réplication des données - Politique de gestion des mots de passe - Exploitation → Processus de déploiement

Single Sign On et Web SSO Page 35 Nicolas Dewaele Mise en œuvre : III- Implémentation en entreprise Installation et configuration : - Installations matérielle - Installations logicielle - Configurations - Développements - Intégration Support : - Formation - Dépannage, aide aux utilisateurs - Documentations

Single Sign On et Web SSO Page 36 Nicolas Dewaele IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 37 Nicolas Dewaele Serveur d'authentification avec CAS Présentation de CAS en pratique IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 38 Nicolas Dewaele CAS : Principe du ticket - Ticket Granting Cookie : Quand le client s'authentifie sur le serveur, il reçoit un ticket sous forme de Cookie dans son navigateur. Ce cookie ne peut être lu ou écrit que par le serveur CAS. Si le navigateur refuse les cookies, le client sera redirigé vers le serveur CAS à chaque fois qu'il accédera à un service. - Service Ticket : Ticket présent sous forme d'URL (méthode GET) qui permet au service d'échanger des informations avec le serveur CAS. Il ne sert qu'une seule fois et pour chaque application et chaque utilisateur. IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 39 Nicolas Dewaele CAS : Le standard SAML Security assertion markup language : Langage basé sur XML. SAML est un format de données qui définit comment les applications peuvent s'échanger des informations d'authentification. Il permet à des serveurs de SSO de s'échanger des informations en respectant un certain format. CAS utilise SAML, il est donc potentiellement compatible avec d'autres systèmes SSO utilisant le même protocole. Microsoft, Novell, Verisign et IBM utilise un protocole concurrent : WS-Federation IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 40 Nicolas Dewaele Clients CAS Pour « cassifier » des applications, c'est à dire prévenir les applications de passer d'abord par le serveur CAS et demander le ticket, plusieurs librairies sont disponibles : Clients officiels : - Cas Client for Java - phpCAS - mod_auth_cas pour Apache - Acegi (maintenant nommé Spring Security) - Une liste et des méthodes de « cassification » sont disponibles sur le site : IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 41 Nicolas Dewaele Reverse Proxy avec Vulture-NG Présentation sur PC du reverse proxy Vulture-ng IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 42 Nicolas Dewaele SSO Watch - Evidian Démonstration en vidéo d'écran sur leur site IV- Présentation de solutions techniques

Single Sign On et Web SSO Page 43 Nicolas Dewaele Annexes

Single Sign On et Web SSO Page 44 Nicolas Dewaele Bibliographie : - Aucun livre dédié spécifiquement au SSO - Linux Magazine – Fév : SSO avec CAS - Linux Magazine – Jan : SSO avec CAS et radius

Single Sign On et Web SSO Page 45 Nicolas Dewaele Liens Internet : - Comité réseau des universités (CRU) : Vulture SSO : - CAS : - Novell Secure Login : - Evidian IAM :