ENVOLE 1.5 Calendrier Envole.

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

Botnet, défense en profondeur
Client Mac dans un réseau Wifi d’entreprise sécurisé
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
13/04/05 - RB1 Montpellier 24/03/2005 Les interactions entre le SSO ESUP et le mécanisme de propagation d'identité
ESPACE NUMERIQUE DE TRAVAIL ESUP-Portail Campus Numériques et Universités Numériques en Région Montpellier – 1/10/2003.
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
Journée d’échange du 17 Novembre
Les Web Services Schéma Directeur des Espaces numériques de Travail
Microsoft Office Groove Le contexte Une utilisation des postes de travail en très grande évolution chez les professionnels. Des lieux de travail.
La sécurité en toute simplicité Solution daccès logique By ADDEXA.
Ressources numériques Offres, accès, usages, évaluation Plan DUNE - Formation de formateurs documentalistes 24 & 25 octobre 2012.
Espaces Pédagogiques Pour les Universités Numériques Un Espace Numérique de Travail centré sur lutilisateur.
Le projet d ENT dans l'académie de Rennes Réunion des Interlocuteurs TICE en SPCFA 6 mai 2009.
Vue d'ensemble Implémentation de la sécurité IPSec
Vue d'ensemble Création de comptes d'utilisateurs
Circulaire du 11 juillet 2008 Circulaire de rentrée du 20 mai 2009.
ARENB et DELEGCE Présentation générale Description des actions possibles.
DIFFUSION DIJON 2006 Lauthentification des utilisateurs.
Année 1 : Etat des lieux / Analyse contextuelle
Le mécanisme de Single Sign-On CAS (Central Authentication Service)
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)
S. CAGNI, S. PICARD et A. CORDIER Vous avez dit :.
Sécurité Informatique
Formation Centra - GDE.
ManageEngine ADSelfService Plus
Public Key Infrastructure
Etude des Technologies du Web services
Fournisseur de service 3
SECURITE DU SYSTEME D’INFORMATION (SSI)
Passer à la première page SYMPA Un nouveau service pour la diffusion et léchange d informations, sécurisé et adapté aux besoins de lacadémie.
XML-Family Web Services Description Language W.S.D.L.
ManageEngine ADManager Plus 6
Module 1 : Préparation de l'administration d'un serveur
Web Services - ADFS Pellarin Anthony En collaboration avec : Sogeti 1.
Le portail des MSH
WINDOWS Les Versions Serveurs
Brique technique ENVOLE S2I2E
Environnements de travail Schéma directeur des. SDET : un méta projet du S3IT S3IT : Une démarche globale Une démarche structurante Une démarche de projet.
SSO : Single Sign On.
Module 3 : Création d'un domaine Windows 2000
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
Installation d’un fournisseur d’identités Shibboleth
4 - Annuaires Les Annuaires d ’Entreprises Offres et solutions
1 Architecture orientée service SOA Architecture orientée service SOA (Service Oriented Architecture)
Expose sur « logiciel teamviewer »
1 ESUP Day 17 novembre 2005 L’ENT dans l’académie de Rennes.
 SHIBBOLET Vitthagna BARNIER Paul CLEMENT M2 MIAGE Nancy 2009/2010.
Module 3 : Création d'un domaine Windows 2000
Ministère de la Fonction Publique et de la Modernisation de l’Administration Rencontre mensuelle avec les responsables informatiques des départements ministériels.
La technologie Shibboleth
Soutenance de projet Mise en place d’une solution de reporting.
L’authentification Kerberos
V- Identification des ordinateurs sur le réseau
STRUCTURE RESEAU DU COLLEGE BARBOT
Point Projet PLMA 10 avril 2009 EADS. 21 juillet Plan Rappel du projet Point sur la phase écoulé Difficultés rencontrés Objectifs prochaine phase.
Sécurité des Web Services
> Nouveaux services en ligne > avril 2014 > Page ‹#›
Présentation du projet » Correspondant établissement DDEC 49 Enseignement Catholique Régional Rectorat de Nantes.
TWP Toolkit Formation 21/10/2009.
Formation « Administrateur ATRIUM ». 1.Un accompagnement technique par la Région Formation des « administrateurs » Support technique 2.Un accompagnement.
Travail Collaboratif & Open Source Etat de l’art - Solutions - Méthodes.
Chapitre 8 Protection du trafic réseau à l'aide de la sécurité IPSec et de certificats Module S43.
Retour d'expérience de l'utilisation du cloud comme infrastructure de service Guillaume PHILIPPON.
Les fonctionnalités OVIDENTIA. Fonctions Bénéfices Prestations Contrat de service Avril 2004OVIDENTIA : le Portail d'Entreprise de CANTICO2 Les fonctionnalités.
Rencontres LCG-France 01/12/2014. Agenda La Fédération Education-Recherche –Pourquoi, pour qui, comment ? L’inter-fédération eduGAIN Autres travaux et.
Chapitre 9 Configuration de Microsoft Windows XP Professionnel pour fonctionner sur des réseaux Microsoft Module S41.
Séminaire EOLE Dijon Octobre 2008 Eole SSO.
Transcription de la présentation:

ENVOLE 1.5 Calendrier Envole

1 septembre 2008 1 avril 2008 sur EOLE V 2.0 10 octobre 2008 Modification du SSO EOLE 2.2 (PAM-CAS, CT EOLE V 2.2 RC RSA FIM + module additionnel RSA FIM Packaging et préparation de la diffusion EOLE V 2.2 intégrant EnvOLE 1.5 1 septembre 2008 EOLE V 2.1 Dev. Version 1.5 1 avril 2008 V 1.13 sur EOLE V 2.0 10 octobre 2008 V 1.15 RC sur EOLE V 2.0 Premier rapport d'audit sécurité (2/10), lancement des corrections 15/12 Prise en compte du SSO EOLE 2,2 (PAM-CAS) et cassification des services de base Version 1.15 Envole SSO Gibii et Mathenpoche, CNS, SiteTV, KNE... Statistiques d'utilisation Interface d'administration : Sauvegarde bases et fichiers, effacement des bases Mise en ligne de la charte d'utilisation Saisie simplifiée des liens vers les ressources Bascule vers les comptes "meta_" ... Véritable gestionnaire de fichier (ergonomie, diaporama, balladodiffusion, commentaires...)‏ Webshare à la place de SmbWebClient Webcalendar : affichage retravaillé, améliorations Cahier de texte en ligne : version 3.0.7 GRR : version 1.9.4 (ou 1.9.5 si disponible)‏ Multi-blog : WordPress Mu version 1.5 (Wordpress 2.5)‏ Version 1.15 Envole SSO Gibii et Mathenpoche, CNS, SiteTV, KNE... Statistiques d'utilisation Interface d'administration : Sauvegarde bases et fichiers, effacement des bases Mise en ligne de la charte d'utilisation Saisie simplifiée des liens vers les ressources Bascule vers les comptes "meta_" ... Véritable gestionnaire de fichier (ergonomie, diaporama, balladodiffusion, commentaires...)‏ Webshare à la place de SmbWebClient Webcalendar : affichage retravaillé, améliorations Cahier de texte en ligne : version 3.0.7 GRR : version 1.9.4 (ou 1.9.5 si disponible)‏ Multi-blog : WordPress Mu version 1.5 (Wordpress 2.5)‏ Version 1.5 Envole, EOLE V2.2, RSAFIM +Module additionnel Sécurité : Liaison authentification Envole et SSO Académique RSA CT (utilise les fonctionnalité EOLE 2.2 et le module additionnel de RSA FIM en cours de qualification)‏ Liaison authentification Envole et SSO Local (CAS, PAM-CAS..., cassification de tous les services de base : gestion de fichiers, etc... )‏ Audit de sécurité et amélioration consécutives Diffusion EOLE : Packaging Prise de connaissance par l'équipe EOLE pour gérer la diffusion auprès des autres académies

GESTION IDENTITE DE L EDUCATION NATIONALE 1 Rappels et définitions en matière de gestion des identités et des habilitations 2 Présentation des composants à mettre en place 3 Démarches de mise en œuvre et principes fondamentaux

Que signifie « identité » ? L’identité numérique est l’équivoque de l’identité physique dans le monde numérique (système d’information, portail applicatif, etc.), et vice versa. Exemples : Personne physique  Login utilisateur Machine  Nom DNS d’un serveur, adresse IP Téléphone  Numéro de téléphone L’identification consiste associer une personne physique, un composant ou un élément logiciel à une identité numérique. L’identification permet de faire des actions sur tout ou partie d’un système d’information, portail : Accéder S’inscrire Créer, modifier, désactiver, révoquer, supprimer S’engager Ouvrir des droits Signer

Qu’entend-on par « habilitation »? Les habilitations correspondent aux droits d’accès associés à un utilisateur. Elles peuvent concerner une ou plusieurs ressources Elles sont définies en fonction : Du contexte de l’utilisateur De sa fonction, son poste dans l’organisation Son rôle opérationnel (Exemple : le RSSI ou l’administrateur d’une application) RH ou Service d’inscription Fonction, poste, position Habilitations Autorisation Application Rôle opérationnel Mission

GESTION IDENTITE DE L EDUCATION NATIONALE 1 Rappels et définition en matière de gestion des identités et des habilitations 2 Présentation des composants à mettre en place 3 Démarches de mise en œuvre et principes fondamentaux

Etat des lieux Annuaire (LDAP sun Académique Annuaire Fédérateur) RSA Gestion des accès protection url Delegce Gestion des autorisations (moteur de délégations) Arenb portail d’accès agent. (Généralisation aux applications nationales) FIM fédération (Fournisseur d’identité, Fournisseur de Services) Gospel BE1D OTP (accès nominatif sécurisé aux applications) BE1D Sconet notes

Objectifs d’évolution des infrastructures de gestion des identités et des habilitations Homogénéiser la gestion des identités et des habilitations (travaux en cours PIA) Contrôle du circuit de gestion du cycle de vie des identités et des habilitations de bout en bout Consolidation des informations Construction d’un référentiel d’entreprise Mise en place d’outils de synchronisation des référentiels du SI Renforcer le contrôle d’accès Authentification forte (OTP certificats (dématérialisation de documents) Mise en cohérence des habilitations Faciliter l’accès aux application Mise en place d’un service d’authentification central Mise en place d’un service de gestion de jetons (SSO) Au sein d’un unique espace de confiance (expliquer) Entre plusieurs espace de confiance (Fédération d’identité)

Les composantes nécessaires à la gestion de l’identité et des accès AAA annuaire fédérateur RSA clear-trust Alimentation et synchronisation Administration (Distribution, gestion des identités et des habilitations) Ressources / Applications Référentiel entreprise (Identifiant(s), authentifiant(s), habilitations) RSA clear-trust Authentification manager RSA FIM Contrôle d’accès (Identification, authentification et autorisation) Propagation (Fédération, gestion de jetons) OTP SecurId

Les différentes démarches

Mise en œuvre d’un référentiel éducation nationale Informations sur la personne (organisationnel) Informations relatives aux comptes (IT) Bases RH Base partenaires Fichiers clients … Alimentation et synchronisation des référentiels applicatifs Alimentation automatisée Messagerie Référentiel MEN Windows / Linux Alimentation manuelle Référentiel sécurité Définition et gestion de la politique d’habilitation Référentiel applicatif Politique d’habilitation Politique d’habilitations

Mise en œuvre de fonction de contrôle d’accès Scénario 2 : Contrôle d’accès avec fonction SSO Scénario 1 : Contrôle d’accès traditionnel Vecteur identité (à définir) Application Application Propagation jeton Référentiel de sécurité Génération jeton Référentiel de sécurité Autorisation Autorisation Authentification Authentification Identifiant, authentifiant Identifiant, authentifiant

Fédération entre espaces de confiance Politique de fédération Espace de confiance #2 Espace de confiance #1 SAML, Kerberos Application Emetteur du jeton Réception du jeton Identification Authentification

Pré-requis à la mise en place de fonctions de contrôle d’accès Déterminer la nature des applications Web vs client/serveur 1 tiers vs nTiers Identifier les acteurs (politique d’habilitation) Déterminer le niveau d’authentification attendu et les technologies envisagées Mot de passe OTP Certificat Biométrie Déterminer les principes de passage de jeton aux applications en fonction des contraintes applicatives Niveau d’intrusion possible au niveau des application Compatibilités avec les technologie de propagation de jeton (Liberty Alliance, Kerberos, SAML, WSS, etc.) Solution poste de travail Solution serveur / portail Authentification Authentification multi-canal

EC Etablissement / Académie

GESTION IDENTITE DE L EDUCATION NATIONALE 1 Rappels et définition en matière de gestion des identités et des habilitations 2 Présentation des composantes à mettre en place 3 Démarches de mise en œuvre et principes fondamentaux

Architecture technique espace de confiance primaire Note : L’architecture du réseau local d’établissement indique les briques fonctionnelles utilisées. Le nombre de machine physique peut varier suivant les établissements. Environnement EOLE

Architecture technique espace de confiance secondaire

Diagramme de séquence d’accès à ARENB depuis le portail établissement

Ce schéma détaille en fait les étapes de la cinématique de connexion en mode IdP-initiated au niveau de FIM 1/2 L’utilisateur est authentifié auprès du serveur Eole SSO de son académie. Il dispose donc d’une session valide dans l’ECP; L’utilisateur décide d’accéder à l’ECS. Le jeton d’authentification est généré; L’utilisateur envoie à l’aide de la méthode POST l’assertion SAML ainsi générée au FIM du FS ; Validation du jeton par FIM

Ce schéma détaille en fait les étapes de la cinématique de connexion en mode IdP-initiated au niveau de FIM: 2/2 Le NameID Plug-in du FS est chargé de réaliser le chaînage de entre l’identité locale à l’ECS et l’identité présente dans l’assertion. Dans notre cas, il s’agira de trouver le DN de l’utilisateur à partir de son adresse mail. Cette opération est effectuée à l’aide de l’Admin API de ClearTrust  L’Attribute Plug-in du FS va renseigner les informations concernant cet utilisateur à partir des attributs présents dans l’assertion en peuplant les propriétés de ClearTrust au travers de l’Admin API de ClearTrust. Dans notre cas, aucun attribut ne sera modifié  Le Session Plug-in du FS va générer un jeton d’authentification dans l’ECS et le renvoyer à l’utilisateur. L’utilisateur possédera alors un jeton d’authentification valide dans l’ECS ; L’utilisateur peut maintenant se connecter aux systèmes protégés dans l’ECS. Dans le cas présent, l’utilisateur est redirigé vers la page de sélection de l’établissement.

AUTRE CAS D’ARCHITECTURE PORTAIL ACADEMIQUE GUICHET D’IDENTITE VERS PLEIADE PORTAIL ADMINISTRATION CENTRALE SSO DE BOUT EN BOUT

Architecture RSA / MOSS 2007

Le cookie doit véhiculer les informations identité et autorisations

TRAVAUX EN COURS SSO et FEDERATION RSA vers CAS (DIJON PÔLE EOLE) RSA vers MICROSOFT (POC PLEIADE) RSA vers IBM (POC PLEIADE) RSA FIM vers Shibboleth (207 universités et centres de recherches) travaux avec académie de Rennes RSA intégration portail PIA JBOSS (en cours)

Glossaire EC : Espace de Confiance ECP : Espace de Confiance Primaire ECS : Espace de Confiance Secondaire EJB : Enterprise Java Beans FI : Fournisseur d’Identité FIM : Federated Identity Manager FS : Fournisseur de Services IGC : Infrastructure de Gestion de Clé SAML : Security Assertion Markup Language SLO : Single Log-Out SOAP : Simple Object Access Protocol SSL : Secure Sockets Layers SSO : Single Sign-On VI : Vecteur d’Identification