La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Identication & Authentication

Publié parAimé Beauchamp Modifié depuis plus de 6 années

Présentations similaires

Présentation au sujet: "Identication & Authentication"— Transcription de la présentation:

1 Identication & Authentication
1

2 Principes généraux

3 Policy Enforcement Model ( 1 / 7 )
basé sur le "Policy Enforcement Model" générique Acronymes Policy Enforcement Point (PEP) Policy Decision Point (PDP) Policy Information Point (PIP) Policy Administration Point (PAP) Principes de contrôle d'accès Role Based Access Control (RBAC) Attribute Based Access Control (ABAC) AuthoriZation Based Access Control (ZBAC)

4 Policy Enforcement Model ( 2 / 7 )
Un utilisateur souhaite obtenir accès à une application

5 Policy Enforcement Model ( 3 / 7 )
Le PEP contacte le PDP et demande: Quels sont les attributs de l'utilisateur X avec les attributs d'identification Y, Z ? Quels sont les rôles de l'utilisateur X avec les attributs d'identification Y, Z ? L'utilisateur X avec les attributs d'identification Y,Z a-t-il accès au DTW ?

6 Policy Enforcement Model ( 4 / 7 )
Le PDP répond à la question posée par le PEP

7 Policy Enforcement Model ( 5 / 7 )
sur la base des réponses fournies par le PDP le PEP détermine si l'utilisateur a accès à l'application

8 Policy Enforcement Model ( 6 / 7 )

9 Policy Enforcement Model ( 7 / 7 )
gestion des diverses policies géré par du personnel qualifié environnement sécurisé

10 SSO pour services web

11 Principes généraux SSO (1/2)
But Complète la gestion intégrée des accès et des utilisateurs Accès à divers services au cours d'une même session. Principales caractéristiques soutien des principes ABAC et ZBAC basé sur le protocole SAML1.1 Notions WSC : web service consumer WSP : web service provider STS : Secure Token Service

12 Principes généraux SSO (2/2)

13 STS Request/Response (1/7)
Description du flow (1) et (2) Illustration à partir des attributs suivants Médecin reconnu

14 STS Request/Response (2/7) Structure générale de la requête
header contient toutes les informations nécessaires au STS pour l'aspect sécurité. x509 certificat d'identification eID certificat eHealth Exemple: x509: eID du médecin

15 STS Request/Response (3/7) Request : éléments SAML
Confirmation method: Holder-of-Key Subject SAML assertion Attributs d'identification AttributeDesignator Tous les attributs demandés Exemple certified: médecin reconnu

16 STS Request/Response (4/7) Structure générale de la réponse
Caractéristiques générales Statut global Assertion signée par eH Réponse aux attributs demandés Exemple certified: médecin reconnu TRUE

17 STS Request/Response (5/7) Remarques
Attributs par exemple certified: médecin reconnu TRUE certified infirmier reconnu FALSE Erreurs techniques Lorsqu'une erreur survient pendant le traitement d'une requête La requête est interrompue Un message d'erreur est envoyé au WSC. REQ-01: Checks on ConfirmationMethod failed Durée de validité Tout attribut certifié a une durée de validité

18 WSC/WSP communication (1/3)
Description du flow (3) et (2) Illustration à partir des attributs suivants Médecin reconnu

19 WSC/WSP communication (2/3) Structure générale de la requête
'header' contient toutes les informations nécessaires au WSP pour l'aspect sécurité Identification basée sur SAML assertion Exemple: SAML assertion fournie par eHealth

20 WSC/WSP communication (3/3)
Contrôles à effectuer par le WSP Validation du certificat x509 Certificate Revocation List (CRL) Trusted Certificate Authority Contrôle de SAML assertion Signée par eHealth L'assertion est-elle toujours valable (cf. durée de validité) contrôle profile Holder-Of-Key SAML assertion & x509 et évidemment les autres règles d'accès

21 Principes de base

22 Mécanismes d'identification
carte d'identité électronique certificat eHealth (prestataire de soins) certificat eHealth (propriétaire du logiciel) token de chiffrement certificat d'authentification token de chiffrement certificat d'authentification

23 Lancer une session Certificat d'identification: eID
certificat eHealth (prestataire de soins) certificat HOK: certificat eHealth (logiciel) Attributs: Attributs de l'application par exemple: APP1 urn:be:fgov:person:ssin:ehealth:1.0:doctor:nihii11 APP2 urn:be:fgov:person:ssin:ehealth:1.0:doctor:boolean

24 Demande d'un Token SAML Pas à pas

25 Etape 1: génération d'une assertion
Ajout des attributs “subject assertion” Issuer subject DN de l'eID IssuerInstant heure actuelle Ajout de subject samlConditions NotBefore heure actuelle NotOnOrAfter longueur souhaitée du SAMLToken Ajout de subject attributeStatements SAMLNameIdentifiers subject DN de l'eID Confirmation method: holder-of-key Attributs d'identification

26 Etape 2: génération d'un SAMLrequest
Création d'un SAMLAttributeQuery Subject Key info certificat Holder-Of-Key certificat eHealth (logiciel) subjectConfirmationData SAMLAssertion (étape 1) AttributeDesignator Signature du SAMLAttributeQuery sur la base du certificat HOK

27 Etape 3: envoi du SAMLquery
SAMLquery est placé dans le body. Attention: ne rien modifier au SAMLquery Les éléments de sécurité suivants doivent être appliqués Ajout d'un timestamp Ajout du certificat de l'eID Signature au moyen de l'eID body timestamp BinarySecurityToken (certificat)

28 Etape 4: réception de la SAMLresponse
La SAMLassertion reçue ne peut PAS être modifiée

29 Documentation WSP

30 Documentation WSP Bibliothèque technique 1 document par WSP
Spécification SecureTokenService Appeler STS pas à pas en Java 1 document par WSP Description complète de la manière dont le WSP doit être appelé WSDL / XSD / URL de tous les services STS : aperçu des attributs nécessaires y compris first testcases y compris procédure de test

31 Evolutions futures

32 Evolutions futures Soutien de SAMLv2 Soutien de WS-Trust

33 Merci ! Questions?

Télécharger ppt "Identication & Authentication"

Présentations similaires

User Management entreprises et organisations dans le cadre d'eHealth (Gestion des utilisateurs et des accès)

User Management entreprises et organisations dans le cadre d'eHealth (Gestion des utilisateurs et des accès)
La plate-forme eHealth ICT InfoDay 2 mars 2011. 2 02/03/2011 Services de base plate-forme eHealth Réseau Schéma plate-forme de collaboration Patients,

La plate-forme eHealth ICT InfoDay 2 mars /03/2011 Services de base plate-forme eHealth Réseau Schéma plate-forme de collaboration Patients,
Demande de certificats eHealth

Demande de certificats eHealth
Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Conception et développement des modules de GED pour l’ indexation.

Projet de fin d'étude pour l'obtention du Diplôme Nationale d'Ingénieur en Informatique Conception et développement des modules de GED pour l’ indexation.
Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.

Logiciel Assistant Gestion d’Événement Rémi Papillié (Chef d’équipe) Maxime Brodeur Xavier Pajani Gabriel Rolland David St-Jean.
Guide Share France Web Single Sign On Panorama des solutions SSO.

Guide Share France Web Single Sign On Panorama des solutions SSO.
Séminaire EOLE Dijon 23-24 Octobre 2008 Eole SSO.

Séminaire EOLE Dijon Octobre 2008 Eole SSO.
La norme ISO et la gestion documentaire La création et la mise en œuvre d'un outil informatique.

La norme ISO et la gestion documentaire La création et la mise en œuvre d'un outil informatique.
SITC 10 rue de la libération Bâtiment C 93330 Neuilly-sur-Marne Processus création et envoi de newsletter changement du mot de passe.

SITC 10 rue de la libération Bâtiment C Neuilly-sur-Marne Processus création et envoi de newsletter changement du mot de passe.
Rencontres Mondiales Du Logiciel Libre CAS, OpenID, SAML : concepts, différences et exemples Clément OUDOT 13 juillet 2011.

Rencontres Mondiales Du Logiciel Libre CAS, OpenID, SAML : concepts, différences et exemples Clément OUDOT 13 juillet 2011.
1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.

1 Y a-t-il une place pour Opensocial dans l'enseignement supérieur ? David Verdin RENATER JRES - Toulouse – novembre 2011.
Consulat Général de France à Madrid C/ Marqués de la Ensenada, Madrid Madrid

Consulat Général de France à Madrid C/ Marqués de la Ensenada, Madrid Madrid
Windows NT/2000/XP Enjeux et contraintes techniques

Windows NT/2000/XP Enjeux et contraintes techniques
Banques – 25 mai 2016.

Banques – 25 mai 2016.
TMS session pratique Session pratique pour utilisateurs des associations.

TMS session pratique Session pratique pour utilisateurs des associations.
Activité DIESEL TS1 BTS MCI 2016  STRATEGIES INJECTION

Activité DIESEL TS1 BTS MCI 2016  STRATEGIES INJECTION
Présentation du Protocole Promevent et de son guide d’accompagnement

Présentation du Protocole Promevent et de son guide d’accompagnement
Qui peut utiliser ces formulaires ? Comment utiliser un formulaire ?

Qui peut utiliser ces formulaires ? Comment utiliser un formulaire ?
Formation pour les services d'assistance

Formation pour les services d'assistance
Portail e-Reporting SASH / 17 février 2017.

Portail e-Reporting SASH / 17 février 2017.

Présentations similaires

Annonces Google