LemonLDAP::NG et le support SAML2 (RMLL 2010)
Télécharger en tant que ODP, PDF1 j'aime1,010 vues
Le document traite de l'implémentation de SAML2 dans le système Lemonldap::NG, qui est un logiciel libre pour l'authentification unique (SSO) des applications web. Il présente les fonctionnalités clés telles que la gestion des sessions, le contrôle d'accès et l'interaction avec des annuaires LDAP, ainsi que l'architecture de Lemonldap::NG. Le document explique également comment SAML permet la fédération d'identités entre fournisseurs de services et d'identités, incluant des concepts et des démonstrations pratiques.
LemonLDAP::NG et le support SAML2 (RMLL 2010)
- 1. Support de SAML2 dans LemonLDAP::NG Clément OUDOT Mercredi 7 juillet 2010
- 2. SOMMAIRE Enjeux et usages du SSO
- 4. SAML2 et la fédération d'identités
- 5. Support SAML2 dans LemonLDAP::NG
- 7. Le WebSSO SSO signifie « Single Sign On », qui peut se traduire en français par « authentification unique »
- 8. Le WebSSO se consacre à l'authentification unique pour les applications Web, c'est-à-dire des applications client-serveur dont le client est un navigateur Web (IE, Firefox, etc.)
- 9. Le principe de base est d'intercepter les requêtes entre le client et le serveur, et indiquer au serveur que le client est bien authentifié
- 10. Techniquement, cela repose essentiellement sur la gestion d'une session SSO stockée au niveau du serveur WebSSO et liée à un cookie dans le navigateur de l'utilisateur
- 11. Deux architectures complémentaires existent : WebSSO par délégation
- 12. WebSSO par mandataire inverse
- 14. SSO par mandataire inverse
- 15. Autres fonctionnalités Le rôle standard du WebSSO est de propager l'authentification sur des applications Web
- 16. En supplément, ces fonctionnalités sont souvent présentes dans les produits de WebSSO : Contrôle d'accès aux applications (qui a accès à quoi)
- 17. Transfert d'informations complémentaires à l'identifiant de l'utilisateur (nom, mails, etc.)
- 18. Gestion du mot de passe (interface de changement de mot de passe, réinitialisation, etc.)
- 19. Présentation de LemonLDAP::NG LemonLDAP::NG est un logiciel libre (licence GPL) hébergé chez OW2 : http://lemonldap.ow2.org
- 20. Développé à l'origine par Xavier GUIMARD pour les besoins de la Gendarmerie Nationale
- 21. Produit basé sur Apache et mod_perl, entièrement écrit en Perl (moteur et interfaces)
- 22. Fournit un portail d'accès dynamique et une interface d'administration
- 23. Architecture
- 24. Principe L'implémentation par défaut utilise un annuaire LDAP pour : authentifier l'utilisateur (vérification du mot de passe)
- 25. effectuer un contrôle d'accès (selon les attributs LDAP de l'utilisateur)
- 26. approvisionner les applications (par transmission des attributs LDAP dans les en-têtes HTTP)
- 27. permettre à l'utilisateur de changer son mot de passe
- 29. Gestion des sessions Utilisation de n'importe quel module Apache::Session pour le stockage (File, DBI, LDAP, ...)
- 30. Inscription du numéro de session dans un cookie temporaire (non écrit sur disque) avec le choix : Cookie non-sécurisé
- 31. Cookie sécurisé (HTTPS uniquement)
- 32. Double cookie Durée de vie des sessions configurable
- 33. Règles d'accès Les règles d'accès sont des expressions Perl
- 34. Elles peuvent être appliquées sur tout ou partie d'une application protégée (utilisation d'expressions régulières sur les URL)
- 35. Tous les attributs exportés lors de l'authentification sont disponibles dans les règles
- 36. Un système de macros permet de stocker des valeurs calculées en session
- 37. Règles d'accès Accès pour tous les utilisateurs authentifiés : Default => accept Accès pour le groupe « admin » : Default => $groups =~ /admin/ Interception du logout de l'application : ^/logout.php => logout_sso
- 38. Hôtes virtuels La distinction des applications est basée sur la notion d'hôtes virtuels
- 39. Les hôtes virtuels peuvent être répartis sur plusieurs serveurs Apache
- 40. Chaque hôte virtuel possède : Des règles d'accès
- 41. Des en-têtes HTTP Les en-têtes HTTP contiennent également des expressions Perl : Auth-User => $uid
- 42. Auth-Name => uc($sn).", ".ucfirst($gn)
- 44. Autres applications compatibles Applications reposant sur la sécurité Apache (.htaccess) : Nagios, ...
- 45. Applications reposant sur la sécurité Tomcat (users.xml) : Lutece, Probe, ...
- 46. Applications utilisant HTTP Basic : Domino Web Access, Outlook Web Access, ...
- 49. Le protocole SAML La fédération d'identité permet de créer des cercles de confiance entre fournisseurs de service et fournisseurs d'identités
- 50. Les comptes des différents fournisseurs de services peuvent être fédérés avec le compte du fournisseur d'identité (ce compte est appelé principal)
- 51. Chaque fournisseur de service dialogue alors avec le fournisseur d'identité pour s'assurer que l'utilisateur est bien reconnu sur le cercle de confiance
- 52. Les standards d'origine SAML1, Liberty Alliance et Shibboleth convergent aujourd'hui vers SAML2
- 53. SAML gère également la déconnexion (Single Logout), l'échange d'attributs, l'autorisation...
- 54. Concepts SAML
- 56. SAML2 et LemonLDAP::NG Utilisation de la bibliothèque GPL Lasso
- 57. Modules : LemonLDAP::NG en tant que fournisseur de service (SP) : l'authentification et la récupération d'attributs sont faites sur un fournisseur d'identité SAML2
- 58. LemonLDAP::NG en tant que fournisseur d'identité (IDP) : l'ouverture d'une session locale WebSSO ouvre également une session SAML2
- 59. LemonLDAP::NG en tant que fournisseur d'attributs (AA) : délivrance d'attributs issus de la session utilisateur
- 60. LemonLDAP::NG en tant que mandataire d'identité (Proxy IDP) : les modules SP et IDP sont activés simultanément
- 61. SAML dans la vraie vie
- 62. Démonstration
- 63. 16, 17 et 18 MARS 2010 Merci de votre attention