Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Slides:



Advertisements
Présentations similaires
Sécurité informatique
Advertisements

CRÉER UNE APPLICATION INTERNET RELIEE A UNE BASE DE DONNEES
La sécurité dans Sharepoint
ASP.NET 2.0 et la sécurité Nicolas CLERC
Laccès distant aux bases bibliographiques J. Gutierrez / B.Nominé – Université Nancy 2.
Connecteurs entre socle et briques applicatives Journées rencontres du CSIESR 31 janvier et 1 er février 2005 Yohan Colmant Université de Valenciennes.
Pascal AUBRY François DAGORN IFSIC / Université de Rennes 1
Authentification Interne Authentification de base proposée par uPortal L'identifiant et le mot de passe sont stockés dans la base de données interne du.
Tomcat et son fonctionnement XML
Université Nancy 2 - CRI Propositions de mécanisme de SSO dans un environnement d’applications web.
05/07/07ESUP-Days IV Bravin - Jouin - Monclin Celcat à lUniversité de Reims Champagne - Ardenne.
Outils de communication. 17/11/2005Raymond Bourges2 Outils de communication Site Web Documentation (Bientôt gérée avec inJAC) Espace de téléchargement.
ESUP-FWA Connexion simplifiée à Apogée & Harpège via l'ENT
Les outils Web - ENT Authentification – Sécurité
Une solution personnalisable et extensible
Ressources numériques Offres, accès, usages, évaluation Plan DUNE - Formation de formateurs documentalistes 24 & 25 octobre 2012.
TRANSFER Alger – Serveur Web Nicolas Larrousse Septembre Petit historique du Worl Wide Web Notion dHypertexte Extension à internet par Tim Berners.
Cours 6 : XML et les architectures N-tiers – Tier Applicatif
ARENB et DELEGCE Présentation générale Description des actions possibles.
Web dynamique : solutions Sessions sous HTTP
Copyright 2010 © Consortium ESUP-Portail TOC ESUP-Days 10, Paris, 2 juillet 2010 De LDAP à Kerberos à lUniversité de Rennes 1 Pascal Aubry François Dagorn.
Single Sign-On open source avec CAS (Central Authentication Service)
Copyright © – ESUP-Portail esup-commons : où en est-on ? Pascal Aubry IFSIC / Université de Rennes 1
Atelier Portail SAP Durée : 2h.
TP 3-4 BD21.
Sécurité Informatique
LOG 02 Bases de Données Avancées Rappels sur JSP / Servlet
Plateforme de gestion de données de capteurs
SECURITE DU SYSTEME D’INFORMATION (SSI)
Le portail personnel pour les professionnels du chiffre
Développement dapplications web Initiation à la sécurité 1.
2013 Un spécialiste en Outils RFID
Le langage PHP 5.
Le langage ASP Les variables d'environnement HTTP avec Request.
Développement Rapide dApplications Web avec.NET « Mon premier site »
INTRANET au service du système d’information
Les instructions PHP pour l'accès à une base de données MySql
ASP.NET Par: Hugo St-Louis. C ARACTÉRISTIQUES A SP. NET Évolution, successeur plus flexible quASP (Active Server Pages). Pages web dynamiques permettant.
Jeudi, 20 août 2009 Sécurité informatique Cégep de St-Hyacinthe Par Hugo St-Louis.
Développement dapplications web Authentification, session.
Développement d’application web
Projet Trivial Poursuite
SSO : Single Sign On.
Un portail éducatif (1) Les fonctions d'un portail –Point d'entrée vers une palette de services existants (intégration). –Gestion de l' identité et des.
Installation d’un fournisseur d’identités Shibboleth
1 13/06/03DCI Présentation du groupe DCI Nicolas VialaAntoine Jacquet Projet site WEB DESS IF 2 ème itération.
eVinci-XP | Portail de services
PHP 5° PARTIE : LES COOKIES
JDBC L'API JDBC est utilisée pour utilisée pour intéragir avec une base de données.
CAS COMPTOIR (TD1 / SI3) TRANSFORMATION D’UN SI EXISTANT 1.
GESTION DE COMPOSANTS ELECTRONIQUES
Auvray Vincent Blanchy François Bonmariage Nicolas Mélon Laurent
 SHIBBOLET Vitthagna BARNIER Paul CLEMENT M2 MIAGE Nancy 2009/2010.
PHP 6° PARTIE : LES SESSIONS 1.Introduction 2.Identificateur de session 3.Variables de session 4.Client / Serveur 5.Principe 6.Ouverture de session 7.Enregistrement.
KSZ-BCSS Frank ROBBEN - Administrateur général Banque Carrefour de la sécurité sociale Généralisation de l’usage de la carte d’identité électronique au.
Présentation ESTRABOX
 Fonctions diverses, scripts PHP Variables de session Les sessions sous PHP permettent de conserver des données d'un utilisateur coté serveur, lors de.
L’authentification Kerberos
Copyright 2008 © Consortium ESUP-Portail Formation CAS, mars 2009 Formation CAS Julien Marchal.
Séance /10/ Projet de site dynamique avec Dreamweaver : MyCMS
Site LMD-J2EE Présentation générale Sécurité Web.
Sécurité des Web Services
Présentation Caccia Jeudi 29 Novembre
TWP Toolkit Formation 21/10/2009.
JI Les systèmes d’autorisation et d’authentification dans AMI Fabian Lambert.
APP-TSWD Apprentissage Par Problèmes Techniques des Sites Web Dynamiques Licence Professionnelle FNEPI Valérie Bellynck, Benjamin Brichet-Billet, Mazen.
Violation de Gestion d'Authentification et de Session
Développement d’applications Web
Single Sign-On open source avec CAS (Central Authentication Service)
Single Sign-On open source avec CAS (Central Authentication Service)
Transcription de la présentation:

Le mécanisme de Single Sign-On CAS (Central Authentication Service) ESUP Portail – groupe SSO - Pascal Aubry

Plan Généralités Fonctionnement de base Fonctionnement multi-tiers Tickets utilisés URLs utilisées Premier accès à une application Accès suivants à la même application Accès à une autre application Fonctionnement multi-tiers Premier accès à un mandataire Accès suivants à un mandataire Avec session entre mandataire et service Plan Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Généralités Sous forme de servlets java Ne traite que l’authentification (mais extensions à priori aisées) S’intègre dans uportal sans développement Utilisé par différentes universités américaines Fonctionnalité de proxy très intéressante Nombreuses bibliothèques clientes perl, java, pl-sql, PHP, … Modules apache et pam Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Fonctionnement de base Similaire aux autres mécanismes de SSO, mais Utilisation de tickets opaques Sécurité accrue Pas de fonctionnement multi-tier Nécessite un « contact » direct entre l’application ayant besoin d’authentification et le navigateur web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Tickets utilisés TGC : Ticket Granting Ticket (Cookie) Valable pour un utilisateur Cookie de session privé et protégé (https) du serveur CAS vers le navigateur Permet d’obtenir les ST Évite les ré-authentifications (rejouable) ST : Service Ticket Valable pour un service et un utilisateur Authentifie une personne, pour une application (une URL) À usage unique (non rejouable) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

URLs utilisées /Login : connexion, HTTPS En cas de succès, positionnement du TGC Permet d’éviter une ré authentification /Logout : déconnexion, HTTP(S) Suppression du TGC Suppression des références de l’utilisateur au niveau du serveur CAS /Validate (ou /serviceValidate), HTTP(S) Passage du ST pour validation Retour de l’identifiant de l’utilisateur Invalidation du ST navigateurs web applications Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à une application serveur CAS application 1 base d’authentification redirection (GET) ID appli 1 premier accès (sans ST ni session applicative) formulaire d’authentification ID appli 1 ID appli 1 pas de TGC Sans TGC, l’utilisateur doit s’authentifier auprès du serveur CAS client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à une application identification TGC ST serveur CAS application 1 base d’authentification authentification demande de validation ST accès avec ST ST demande d’authentification (HTTPS) ID appli 1 user password redirection (GET) ST TGC Le ST doit être validé par le serveur CAS TGC Le TGC (rejouable) est stocké par le navigateur client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à une application identification TGC Le ST (non rejouable) est supprimé serveur CAS application 1 base d’authentification création d’une session applicative identification authentification demande de validation ST ID session 1 identification accès avec ST ST page web ID session 1 demande d’authentification (HTTPS) ID appli 1 user password redirection (GET) ST TGC TGC L’identificateur de session est stocké sur le navigateur ID session 1 client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Accès suivants à la même application identification TGC serveur CAS application 1 base d’authentification ID session 1 identification accès avec session applicative ID session 1 page web Les applications gèrent ensuite leurs propres sessions TGC ID session 1 client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Accès à une autre application identification TGC ST serveur CAS base d’authentification Le TGC est connu, un nouveau ST est généré ID appli 2 accès avec TGC TGC TGC redirection (GET) ID appli 2 ID session 1 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Accès à une autre application identification TGC ST serveur CAS base d’authentification Le ST doit être validé par le serveur CAS demande de validation ST ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST TGC redirection (GET) ID appli 2 ID session 1 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Accès à une autre application identification TGC Le ST (non rejouable) est supprimé serveur CAS Le TGC permet ensuite l’accès à d’autres applications sans ré-authentification Toutes les redirections sont transparentes pour l’utilisateur base d’authentification identification demande de validation ST ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST création d’une session applicative page web ID session 2 TGC redirection (GET) ID appli 2 ID session 2 identification ID session 1 ID session 2 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Le fonctionnement multi-tiers Possibilité pour une application (mandataire) d’interroger une autre application (service) Aucun lien n’est nécessaire entre le navigateur et l’application tiers Possibilité de chaîner les mandataires Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Tickets utilisés TGC : Ticket Granting Ticket ST : Service Ticket PGT : Proxy Granting Ticket Valable pour un utilisateur Envoyé par le serveur CAS à une appli proxy CAS Permet d’obtenir les PT Évite les ré-authentifications des applications (rejouable) PT : Proxy Ticket Valable pour un service et un utilisateur Équivalent du ST pour les mandataires Utilisé pour les services n’ayant pas de lien avec le navigateur Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC ST application 2 (service) serveur CAS base d’authentification ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC PGT application 2 (service) serveur CAS Le PGT est envoyé à travers un canal chiffré séparé pour assurer l’identité du mandataire base d’authentification identification PGT id PGT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC PGT application 2 (service) serveur CAS base d’authentification demande de PT PGT ID appli 2 identification PGT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Le PGT est stocké sur le mandataire Il permet d’obtenir un PT accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC PGT PT application 2 (service) serveur CAS base d’authentification PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Le PT doit être validé par le serveur CAS accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC PGT PT application 2 (service) serveur CAS base d’authentification demande de validation PT PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Premier accès à un mandataire identification TGC PGT application 2 (service) serveur CAS base d’authentification identification demande de validation PT PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Toutes les redirections sont transparentes pour l’utilisateur accès avec ST ST création d’une session applicative page web ID session TGC PGT redirection (GET) ID mand. ID session ID session identification premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Accès suivants à un mandataire identification TGC PGT application 2 (service) serveur CAS base d’authentification identification demande de validation PT PT demande de PT PGT ID appli 2 Accès avec PT PT ID session 1 TGC PGT ID session page web ID session identification client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

Avec session entre mandataire et service identification TGC PGT application 2 (service) serveur CAS base d’authentification ID session 2 identification accès avec session applicative ID session 2 Les mandataire gèrent ensuite leurs propres sessions avec les services Aucune relation entre le client et le service tiers. ID session 2 ID session 1 TGC PGT ID session 1 page web ID session 1 identification client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO