La présentation est en train de télécharger. S'il vous plaît, attendez

La présentation est en train de télécharger. S'il vous plaît, attendez

Le mécanisme de Single Sign-On CAS (Central Authentication Service)

Présentations similaires


Présentation au sujet: "Le mécanisme de Single Sign-On CAS (Central Authentication Service)"— Transcription de la présentation:

1 Le mécanisme de Single Sign-On CAS (Central Authentication Service)
ESUP Portail – groupe SSO - Pascal Aubry

2 Plan Généralités Fonctionnement de base Fonctionnement multi-tiers
Tickets utilisés URLs utilisées Premier accès à une application Accès suivants à la même application Accès à une autre application Fonctionnement multi-tiers Premier accès à un mandataire Accès suivants à un mandataire Avec session entre mandataire et service Plan Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

3 Généralités Sous forme de servlets java
Ne traite que l’authentification (mais extensions à priori aisées) S’intègre dans uportal sans développement Utilisé par différentes universités américaines Fonctionnalité de proxy très intéressante Nombreuses bibliothèques clientes perl, java, pl-sql, PHP, … Modules apache et pam Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

4 Fonctionnement de base
Similaire aux autres mécanismes de SSO, mais Utilisation de tickets opaques Sécurité accrue Pas de fonctionnement multi-tier Nécessite un « contact » direct entre l’application ayant besoin d’authentification et le navigateur web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

5 Tickets utilisés TGC : Ticket Granting Ticket (Cookie)
Valable pour un utilisateur Cookie de session privé et protégé (https) du serveur CAS vers le navigateur Permet d’obtenir les ST Évite les ré-authentifications (rejouable) ST : Service Ticket Valable pour un service et un utilisateur Authentifie une personne, pour une application (une URL) À usage unique (non rejouable) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

6 URLs utilisées /Login : connexion, HTTPS
En cas de succès, positionnement du TGC Permet d’éviter une ré authentification /Logout : déconnexion, HTTP(S) Suppression du TGC Suppression des références de l’utilisateur au niveau du serveur CAS /Validate (ou /serviceValidate), HTTP(S) Passage du ST pour validation Retour de l’identifiant de l’utilisateur Invalidation du ST navigateurs web applications Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

7 Premier accès à une application
serveur CAS application 1 base d’authentification redirection (GET) ID appli 1 premier accès (sans ST ni session applicative) formulaire d’authentification ID appli 1 ID appli 1 pas de TGC Sans TGC, l’utilisateur doit s’authentifier auprès du serveur CAS client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

8 Premier accès à une application
identification TGC ST serveur CAS application 1 base d’authentification authentification demande de validation ST accès avec ST ST demande d’authentification (HTTPS) ID appli 1 user password redirection (GET) ST TGC Le ST doit être validé par le serveur CAS TGC Le TGC (rejouable) est stocké par le navigateur client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

9 Premier accès à une application
identification TGC Le ST (non rejouable) est supprimé serveur CAS application 1 base d’authentification création d’une session applicative identification authentification demande de validation ST ID session 1 identification accès avec ST ST page web ID session 1 demande d’authentification (HTTPS) ID appli 1 user password redirection (GET) ST TGC TGC L’identificateur de session est stocké sur le navigateur ID session 1 client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

10 Accès suivants à la même application
identification TGC serveur CAS application 1 base d’authentification ID session 1 identification accès avec session applicative ID session 1 page web Les applications gèrent ensuite leurs propres sessions TGC ID session 1 client web Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

11 Accès à une autre application
identification TGC ST serveur CAS base d’authentification Le TGC est connu, un nouveau ST est généré ID appli 2 accès avec TGC TGC TGC redirection (GET) ID appli 2 ID session 1 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

12 Accès à une autre application
identification TGC ST serveur CAS base d’authentification Le ST doit être validé par le serveur CAS demande de validation ST ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST TGC redirection (GET) ID appli 2 ID session 1 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

13 Accès à une autre application
identification TGC Le ST (non rejouable) est supprimé serveur CAS Le TGC permet ensuite l’accès à d’autres applications sans ré-authentification Toutes les redirections sont transparentes pour l’utilisateur base d’authentification identification demande de validation ST ID appli 2 accès avec TGC TGC redirection (GET) ST accès avec ST ST création d’une session applicative page web ID session 2 TGC redirection (GET) ID appli 2 ID session 2 identification ID session 1 ID session 2 premier accès (sans ST ni session applicative) client web application 2 Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

14 Le fonctionnement multi-tiers
Possibilité pour une application (mandataire) d’interroger une autre application (service) Aucun lien n’est nécessaire entre le navigateur et l’application tiers Possibilité de chaîner les mandataires Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

15 Tickets utilisés TGC : Ticket Granting Ticket ST : Service Ticket
PGT : Proxy Granting Ticket Valable pour un utilisateur Envoyé par le serveur CAS à une appli proxy CAS Permet d’obtenir les PT Évite les ré-authentifications des applications (rejouable) PT : Proxy Ticket Valable pour un service et un utilisateur Équivalent du ST pour les mandataires Utilisé pour les services n’ayant pas de lien avec le navigateur Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

16 Premier accès à un mandataire
identification TGC ST application 2 (service) serveur CAS base d’authentification ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

17 Premier accès à un mandataire
identification TGC PGT application 2 (service) serveur CAS Le PGT est envoyé à travers un canal chiffré séparé pour assurer l’identité du mandataire base d’authentification identification PGT id PGT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

18 Premier accès à un mandataire
identification TGC PGT application 2 (service) serveur CAS base d’authentification demande de PT PGT ID appli 2 identification PGT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Le PGT est stocké sur le mandataire Il permet d’obtenir un PT accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

19 Premier accès à un mandataire
identification TGC PGT PT application 2 (service) serveur CAS base d’authentification PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Le PT doit être validé par le serveur CAS accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

20 Premier accès à un mandataire
identification TGC PGT PT application 2 (service) serveur CAS base d’authentification demande de validation PT PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST accès avec ST ST TGC PGT redirection (GET) ID mand. premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

21 Premier accès à un mandataire
identification TGC PGT application 2 (service) serveur CAS base d’authentification identification demande de validation PT PT demande de PT PGT ID appli 2 identification PGT Accès avec PT PT ID mand. accès avec TGC TGC redirection (GET) ST demande de validation ST Toutes les redirections sont transparentes pour l’utilisateur accès avec ST ST création d’une session applicative page web ID session TGC PGT redirection (GET) ID mand. ID session ID session identification premier accès (sans ST ni session applicative) client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

22 Accès suivants à un mandataire
identification TGC PGT application 2 (service) serveur CAS base d’authentification identification demande de validation PT PT demande de PT PGT ID appli 2 Accès avec PT PT ID session 1 TGC PGT ID session page web ID session identification client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO

23 Avec session entre mandataire et service
identification TGC PGT application 2 (service) serveur CAS base d’authentification ID session 2 identification accès avec session applicative ID session 2 Les mandataire gèrent ensuite leurs propres sessions avec les services Aucune relation entre le client et le service tiers. ID session 2 ID session 1 TGC PGT ID session 1 page web ID session 1 identification client web application 1 (mandataire) Table des matières Accueil Le mécanisme SSO CAS – groupe SSO


Télécharger ppt "Le mécanisme de Single Sign-On CAS (Central Authentication Service)"

Présentations similaires


Annonces Google