Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.

Slides:



Advertisements
Présentations similaires
Nomadisme: contextes Dans son établissement
Advertisements

Sécurité informatique
Sécurité d’un réseau sans fil : Service d’authentification RADIUS
1 Utilisation dICP pour le recensement GSIS 2004, Genève Mel Turner, Lise Duquet Statistique Canada.
Les Web Services Schéma Directeur des Espaces numériques de Travail
Exposé de système présenté le 2 décembre 2004, Par Rémy Lataix
Informations sur la liste de messagerie « imbe.fr »
La sécurité dans Sharepoint
ASP.NET 2.0 et la sécurité Nicolas CLERC
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Agendas ESUP-Days 5 5 Février 2008.
Esup-Days 5 Présentation Evolutions CAS Version 3 5 février 2008.
Copyright 2013 © Consortium ESUP-Portail Chainage de serveur CAS ESUP-Days 16, Paris 02 juillet 2013 Julien Marchal – Université de Lorraine.
Service d'accès à des applications via l'ENT. Université de Rennes 1 : le serveur dapplications Le contexte Les objectifs La solution mise en place Conclusion.
Conception de Site Webs dynamiques Cours 6
Les outils Web - ENT Authentification – Sécurité
DUDIN Aymeric MARINO Andrès
Formation au portail SIMBAD
Xavier Tannier Yann Jacob Sécurite Web.
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)
Atelier Portail SAP Durée : 2h.
TP 3-4 BD21.
11:16:331 Programmation Web Programmation Web : Formulaires HTML Jérôme CUTRONA
Common Gateway Interface
Plateforme de gestion de données de capteurs
Public Key Infrastructure
XML-Family Web Services Description Language W.S.D.L.
Le langage PHP 5.
Le langage ASP Les variables d'environnement HTTP avec Request.
1 Sécurité Informatique : Proxy Présenter par : Mounir GRARI.
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
IUT2 de Grenoble Université Pierre Mendès France
Interaction audio sur le site web du LIA
Xavier Tannier Sécurite Web.
Le portail des MSH
Mise en place d'un serveur SSL
Protocole 802.1x serveur radius
Internet : la mémoire courte ? Capture de sites Web en ligne Conférence B.N.F, Avril 2004 Xavier Roche(HTTrack)
Développement dapplications web Authentification, session.
SSO : Single Sign On.
802.1x Audric PODMILSAK 13 janvier 2009.
An Introduction to distributed applications and ecommerce 1 1 Les services Web, XML et les places de marchés.
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
Installation d’un fournisseur d’identités Shibboleth
Projet de Master première année 2007 / 2008
Sécurité et Vie Privée Dans les Réseaux Sociaux
Aymeric BERNARD Stéphane BRINSTER Guillaume LECOMTE.
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
Outil de gestion des cartes grises
1 Lionel Bargeot, ENESAD,13 Décembre 2006 IGCS et l'interopérabilité Colloque du 13 décembre 2006 Lionel Bargeot responsable régional du programme IGCS.
eVinci-XP | Portail de services
PHP 5° PARTIE : LES COOKIES
Une nouvelle architecture
Soutenance ProJet Individuel
 SHIBBOLET Vitthagna BARNIER Paul CLEMENT M2 MIAGE Nancy 2009/2010.
IPSec Formation.
 Fonctions diverses, scripts PHP Variables de session Les sessions sous PHP permettent de conserver des données d'un utilisateur coté serveur, lors de.
SecretManager Présentation du SecretServer. Description générale Le SecretServer est un processus qui tourne en tâche de fond sur le même serveur que.
L’authentification Kerberos
Copyright 2008 © Consortium ESUP-Portail Formation CAS, mars 2009 Formation CAS Julien Marchal.
CPI/BTS 2 Programmation Web Les sites dynamiques Prog Web CPI/BTS2 – M. Dravet – 02/10/2003 Dernière modification: 02/10/2003.
Site LMD-J2EE Présentation générale Sécurité Web.
Sécurité des Web Services
Les identités numériques dans un monde connecté Digicloud 2016 – Marrakech Ouadie TALHANI Consultant Senior Sécurité Tél.: +336.
Violation de Gestion d'Authentification et de Session
Développement d’applications Web
Transcription de la présentation:

Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web

Préalable Pas une solution, mais une réflexion Simpliste, démarche générale Pas mis en oeuvre Inspiré de mécanismes existants 04/12/2002 - Proposition d'un mécanisme de SSO

Plan Etat des lieux Pré-requis Propositions (3 scénarios) Existant Besoins Pré-requis Propositions (3 scénarios) Extensions souhaitables Démo 04/12/2002 - Proposition d'un mécanisme de SSO

Etat des lieux Situation actuelle Existant : Un compte unique pour un utilisateur Ré-authentifications successives Limites Sécurité du mot de passe -> https? Traçabilité Evolutions difficiles (certificats de personnes, …) 04/12/2002 - Proposition d'un mécanisme de SSO

Eviter les ré-authentifications Etat des lieux Besoins Eviter les ré-authentifications Indépendance des applis par rapport aux mécanismes d’authentification Délégation d’authentification 04/12/2002 - Proposition d'un mécanisme de SSO

Contraintes Compatibilité avec navigateurs standards Sécurisation des échanges de mot de passe Indépendance pas rapport aux mécanismes internes d’authentification Extension à un mécanisme inter-établissement 04/12/2002 - Proposition d'un mécanisme de SSO

Propositions Points communs aux 3 scénarios proposés Scénario 1 : communication directe appli – serveur d’authentification Scénario 2 : le navigateur web sert de transport à la communication Scénario 3 : amélioration du scénario 2 Passage du mot de passe aux applications 04/12/2002 - Proposition d'un mécanisme de SSO

Points communs aux propositions Un serveur Web dédié à l’authentification : SAW (Service d’Authentification Web) Un ticket d’authentification : JAA (Jeton d’Authentification Applicatif) Une session SAW portée par le JAG (Jeton d’Authentification Global) Le JAG est porté par un cookie Sessions applicatives 04/12/2002 - Proposition d'un mécanisme de SSO

SAW : Service d’Authentif. Web Un serveur web dédié, accessible en https Lui seul fait appel au(x) mécanisme(s) d’authentification de l’Université (proxy) Génère le JAA pour les applis Gère des sessions pour éviter ré-authentifications Dispose d’un couple clé privée/clé publique 04/12/2002 - Proposition d'un mécanisme de SSO

JAA (Jeton d’Authent. Applis) Authentifie une personne Spécifique à une appli, et limité en temps (quelques secondes) Contient différentes informations : l’uid, l’ID d’appli, un timestamp (validité du JAA), l’IP du client, le type d’authentif, la base utilisée, .. Le JAA est signé avec la clé privée du SAW 04/12/2002 - Proposition d'un mécanisme de SSO

JAG : ID de session SAW SAW doit gérer une session (mémoriser infos sur users préalablement authentifiés) Infos à conserver : l’uid, l’IP du client, un timestamp (validité de la session SAW), le type d’authentif, l’ID d’appli, la base utilisée, .. Durée de session et reconduction Id de session SAW (JAG) porté par cookie 04/12/2002 - Proposition d'un mécanisme de SSO

Problèmes à résoudre Communication applis – SAW Protection du mot de passe Comment transporter le JAG Sécurité, et vol possible du JAA ou JAG 04/12/2002 - Proposition d'un mécanisme de SSO

Scénario 1 Communication directe appli – SAW Utilisation de ‘services web’? Le client Web n’a pas de communication directe avec le SAW JAG signé avec clé privée du SAW 04/12/2002 - Proposition d'un mécanisme de SSO

Scénario 1: dialogue appli - SAW Jeton d’Authentif. D’Appli (JAA) et Jeton Global (JAG) passés en service web Envoi Login / mot de passe authentification Service d’Authentification Web Saisie Login / mot de passe Premier accès Pas de JAG Page Web en retour Et JAG en cookie Contrôle JAG Jeton d’Authentif. D’Appli (JAA) retourné en service web Base d’authentification Appli 1 Intérêts : Authentification externalisée Pas de rebonds du client Web SAW ne communique qu’avec des applis et non des clients Web Inconvénients : Piratage du JAG Cookie nécessaire Login/password géré par les applis Password pas nécessairement protégé en https Navigateur Web Page Web en retour Accès vers autre appli JAG présent Appli 2

Impossibilité du scénario 1 JAG peut être volé très facilement Saisie login/mot de passe à charge de l’appli 04/12/2002 - Proposition d'un mécanisme de SSO

Scénario 2 : redirections http Pas de communication directe appli – SAW Rebonds http (GET - POST ?) Interactions avec le client Web et SAW JAG est un cookie privé de SAW en https 04/12/2002 - Proposition d'un mécanisme de SSO

Scénario 2 : redirections http authentification Service d’Authentification Web Premier accès : Pas de session interne Redirection vers l’appli Avec le JAA Page web En retour Base d’authentification Appli 1 Jeton d’Authentif. D’appli (JAA) Passé en formulaire Redirection Post ou GET Passage de paramètres Pas de JAG Jeton d’Authentif. D’appli (JAA) Passé en champ de formulaire Jeton D’Authentif Global (JAG) Passé en cookie privé Redirection Post ou Get Passage de paramètres JAG présent Saisie Login/mot de passe Intérêts : Authentification externalisée Simple Password protégé en https Login/password non géré par appli Protection du JAG Inconvénients : Multiples redirections Cookies / javascript nécessaire Navigateur Web Redirection vers l’appli Avec le JAA Accès vers autre appli Page web En retour Appli 2

Scénario 3 : JAA non renouvelable Proche du scénario 2 JAA non rejouable Communication directe Appli -> SAW après réception du JAA Permet la récupération d’infos annexes Apporte de la sécurité 04/12/2002 - Proposition d'un mécanisme de SSO

Scénario 3 : JAA non renouvelable Service Web d’Authentification Base d’authentification Intérêts : Mêmes que précédemment JAA ne porte pas d’info Meilleure sécurité Protocole de transport d’infos Inconvénients : Plus complexe Appli 1 Passage du JAA Redirection Post ou Get Passage de paramètres JAG présent Demande de paramètres et de validation du JAA (SAML?) JAA validé Et paramètres transmis (SAML?) Navigateur Web Accès vers autre appli Redirection vers l’appli Avec le JAA Page Web en retour Appli 2

Extensions possibles A-t-on besoin du mot de passe? Traiter l’Autorisation (droits des applis) Quelles infos nécessaires pour l’Autorisation ? Autres infos utiles aux applis Restrictions d’accès par le serveur http Aspects inter-établissement Groupe de travail à venir 04/12/2002 - Proposition d'un mécanisme de SSO

Conclusion Demo : http://cridev.univ-nancy2.fr:7999/PORTAIL/ Voir les implémentations existantes Faire quelque chose de souple, évolutif Proposer un mécanisme général et des modules clients 04/12/2002 - Proposition d'un mécanisme de SSO