View
82
Download
2
Category
Preview:
Citation preview
Mmoire de fin de cycle
REPUBLIQUE DU SENEGAL
***** * * ********
Ecole Centrale des Logiciels Libres et de
Tlcommunications
SUJET : Conception et implmentation d'une plateforme de
fdration didentit pour lUniversit Virtuelle du Sngal
MEMOIRE DE FIN DE CYCLE
Pour lobtention du Diplme de master en Tlcommunications/Rseaux
Option: Rseaux et Services
Lieu de stage : RTN Priode stage : Aot Dcembre 2013
Prsent et soutenu par Professeur encadreur :
NIANG Pape Saer Dr. Samuel OUYA
Anne universitaire : 2011 2013
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
i
Je ddie ce travail mes parents:
Aucune ddicace ne saurait exprimer mon respect, mon amour ternel et ma considration pour
les sacrifices que vous avez consenti pour mon instruction et mon bien tre.
Je vous remercie pour tout le soutient et lamour que vous me portez depuis mon enfance et jespre
votre bndiction maccompagne toujours.
Que ce modeste travail soit lexaucement de vos vux tant formuls, que Dieu, le Trs Haut, vous
accorder sant, bonheur et longue vie.
A mon pre CHEIKH NIANG
Rien au monde ne vaut les efforts fournis jour et nuit pour mon ducation et mon bien tre. Ce
travail est le fruit de tes sacrifices que tu as consenti pour mon ducation et ma formation.
A ma mre ANNE MARIE BA
A ma tante AMINATA GUEYE
Vous tes lexemple de dvouement qui na pas cess de mencourager et de prier pour moi.
Puisse ALLAH, le tout puissant, vous prserve et vous accorde sant, longue vie et bonheur.
Ddicaces
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
ii
Je ne saurais commencer ce mmoire sans remercier ALLAH le tout puissant, qui a toujours
guid mes pas vers le chemin de la connaissance, par sa protection et sa bndiction.
Je tiens aussi remercier et tmoigner toute ma reconnaissance :
A mon pre Cheikh Mor Niang et ma tante Bousso Kass et toute la famille.
Au Docteur Samuel OUYA, notre encadreur, pour sa disponibilit et ses multiples recommandations.
A Monsieur Amadou Dahirou Gueye et Jean Diokh pour leurs contributions
A Monsieur Alfatma THIAM et Abdou Salam BA
A mes frre Aly Niang et El hadji Mamadou Niang pour tout leur soutient
A mes surs Kine, Diatou et Mami
A tous les membres du laboratoire TICE du groupe RTN : Mouhamadou Yaya Sow, Achiraf Amoussa, Alkhali Saleh, Yvan Kalia, Yanness Allabi, Gilchrist Ayeboua, Cherif
Tchagbele
A tout le personnel de RTN et EC2LT
A toutes les personnes qui de prs ou de loin, ont contribu la ralisation de ce document.
Remerciements
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
iii
Lcole Centrale des Logiciels Libres et des Tlcommunications (EC2LT) est une cole prive
denseignement suprieur universitaire et professionnelle qui offre une palette de formations axe sur
l'informatique, les rseaux et tlcommunications en partenariat avec le groupe RTN (Rseaux et
Techniques Numriques).
La formation en master est sanctionne par deux annes dtudes thoriques et pratiques suivi
d'un stage dans une entreprise.
Le stage en entreprise est un moment important de mise en pratique des enseignements reus. Il
permet tout dabord ltudiant de faire une application relle des connaissances thoriques, ensuite,
mne ltudiant exprimer les acquis pdagogiques en savoir-faire et savoir tre, lui permettant de se
positionner dans le monde du travail. En outre, il permet ltudiant de travailler sur un projet de fin
dtudes et de mener bien llaboration de celui-ci depuis ltude pralable jusqu sa mise en uvre.
Durant son stage ltudiant exprime son niveau de maturit dautonomie, et de sa capacit voluer en
dehors du milieu scolaire, dans le strict respect des rgles du monde du travail.
Les tudiants issus de cette formation vont capitaliser des comptences professionnelles
diverses leur permettant dintgrer le monde professionnel pour rpondre aux besoins et exigences des
entreprises dans les domaines des technologies de l'information et de la communication et le
dveloppement des applications autour des logiciels propritaires et libres.
Cest dans cette optique que nous avons effectu un stage de quatre (4) mois la R.T.N. Durant
cette priode, notre travail consistait concevoir et dimplmenter un systme de fdration d'identit
qui entre dans le cadre du projet de l'Universit Virtuelle du Sngal.
Ce document tient lieu de mmoire de fin de formation et a pour objectif de prsenter le travail
effectu sur le thme propos dont, la soutenance est publique et sera soumis lapprciation d'un jury.
AVANT PROPOS
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
iv
RESUME
La multiplication et la diversit des systmes dauthentification lie aux ressources numriques
constituent un enjeu majeur pour les entreprises, en effet chaque application est soumise une
procdure de contrle daccs spcifique.
De ce fait chaque opration raliser peut ncessiter un contrle daccs et des droits associs,
pouvant entrainer une confusion pour lutilisateur qui, par exemple perd, ou oublie ses mots de passe.
Le prsent mmoire consiste concevoir et mettre en place une fdration dindent via
lapplication Shibboleth pour rpondre aux besoins dinterconnexion des systmes dauthentification
dorganismes htrognes en proposant deux services : la dlgation de lauthentification et la
propagation dattributs utilisateur afin d'ouvrir laccs des ressources partages.
Les technologies de linformation et de la communication mis en uvre ont alors pour objectif
de mettre en relation les membres de la fdration et les systmes dinformations des organisations
physiques dorigine impliques dans le partenariat. La difficult rside alors dans les diffrences au
niveau des infrastructures et des politiques de scurits implmentes par chacun des partenaires.
Chacun dentre eux doit sinterconnecter avec les autres et permettre le partage des ressources tout en
prservant la scurit de sa propre organisation.
Mots clefs : Fdration didentits, propagation dattributs, organisation virtuelle, SAML, Shibboleth.
RESUME/ABSTRACT
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
v
ABSTRACT
Multiplication and diversity of authentication systems related to digital resources is a major
challenge for companies, in fact each application is subject to a procedure specific access control.
Thus each operation to be performed may require access control and related rights, that could
cause confusion for the user, for example lost or forgotten passwords.
Herein is to design and implement an indented federation via Shibboleth software to meet the
interconnection needs of heterogeneous organizations authentication systems by offering two services:
authentication delegation and propagation of user attributes to provide access to shared resources.
The information technology and communication implemented then aim to bring together
members of the federation and the information of the physical origin of organizations involved in the
partnership systems. The difficulty lies in the differences in infrastructure and security policies
implemented by each partner. Each must interconnect with each other and enable the sharing of
resources while preserving the security of its own organization.
Keywords: Federation of identities, propagation attributes, virtual organization, SAML, Shibboleth.
RESUME/ABSTRACT
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
vi
DEDICACES .................................................................................................................................... i
REMERCIEMENTS .........................................................................................................................ii
AVANT-PROPOS ............................................................................................................................iii
RESUME / ABSTRACT ...................................................................................................................iv
TABLE DES MATIERES .................................................................................................................vi
LISTE DES TABLEAUX ................................................................................................................ ix
LISTE DES FIGURES .......................................................................................................................x
SIGLES ET ABREVIATIONS ......................................................................................................... xi
INTRODUCTION
Chapitre 1: Prsentation Gnrale ........................................................................................................ 3
1.1 Prsentation de lentreprise RTN ............................................................................................ 3
1.2 Missions de RTN ..................................................................................................................... 3
1.3 Organigramme de RTN ........................................................................................................... 3
1.4 Domaine dactivits ................................................................................................................. 4
1.5 Prsentation de l'Universit Virtuelle du Sngal(UVS) ........................................................ 5
1.6 Mission de l'Universit Virtuelle du Sngal.............................................................................. 8
1.7 Concept d'Espace Numrique Ouvert (ENO).......................................................................... 9
1.8 Prsentation du sujet .............................................................................................................. 10
1.8.1 Contexte du sujet ............................................................................................................... 10
1.8.2 Problmatique .................................................................................................................... 11
TABLES DES MATIERES
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
vii
1.8.3 Objectifs attendus .............................................................................................................. 12
Chapitre 2: tat de lart de la fdration d'identit .......................................................................... 13
2.1 Concepts dorganisations virtuelles ...................................................................................... 13
2.2 Dfinition de la fdration d'identit ..................................................................................... 14
2.3 Cercle de confiance ............................................................................................................... 15
2.4 Fonctionnement des fdrations d'identits........................................................................... 16
Chapitre 3 : Systme dauthentification centralis ............................................................................ 18
3.1 Single Sign-On (SSO) ........................................................................................................... 18
3.2 Mthode d'authentification SSO............................................................................................ 19
3.3 Les diffrents types dauthentification unique ...................................................................... 20
3.3.1 Approche fdratif ............................................................................................................. 20
3.3.2 Approche centralis ........................................................................................................... 20
3.3.3 Approche cooprative ....................................................................................................... 20
3.4 Prsentation du CAS ............................................................................................................. 21
3.5 Fonctionnement du CAS ....................................................................................................... 21
3.6 Gnralits sur les annuaires lectroniques .......................................................................... 22
3.6.1 Prsentation ....................................................................................................................... 22
3.6.2 Diffrences entre annuaire et une Base de Donnes ......................................................... 23
3.6.3 Protocole LDAP ................................................................................................................ 23
3.6.4 Les classes d'objets ............................................................................................................ 24
3.6.5 Les schmas ....................................................................................................................... 25
3.6.6 La norme Supann .............................................................................................................. 25
3.6.7 Les objectifs de la norme Supann ..................................................................................... 26
3.6.8 Prsentation des schmas .................................................................................................. 26
3.7 Structure du DIT (Directory Information Tree) .................................................................... 27
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
viii
3.7.1 Scurit LDAP .................................................................................................................. 28
3.8 Les solutions techniques ........................................................................................................ 31
3.8.1 Les solutions propritaires ................................................................................................ 32
3.8.2 La solution libre : Shibboleth ............................................................................................ 32
3.9 Le choix de Shibboleth .......................................................................................................... 36
Chapitre 4: Le systme Shibboleth ...................................................................................................... 37
4.1 Les composants de Shibboleth .............................................................................................. 37
4.1.1 Fournisseur de services ..................................................................................................... 37
4.1.2 Fournisseur d'identits(IDP) .............................................................................................. 37
4.1.3 Service de dcouverte ........................................................................................................ 38
4.2 Le fonctionnement de Shibboleth ......................................................................................... 38
4.2.1 Le fonctionnement de Shibboleth sans SSO .................................................................... 38
4.2.2 Le fonctionnement de Shibboleth avec SSO .................................................................... 41
4.2.3 Le fonctionnement de Shibboleth avec SSO et WAYF ................................................... 43
4.3 Fdration didentits avec Shibboleth ................................................................................. 45
4.3.1 Mtadonnes ...................................................................................................................... 45
4.3.2 Relations de confiance entre les membres d'une fdration .............................................. 46
4.4 Scuriser linformation change entre les diffrents composants ...................................... 47
4.4.1 Security Assertion Markup Language (SAML) ................................................................ 47
4.4.2 Web Services-Federation (WS-Federation) ...................................................................... 48
4.4.3 Liberty alliance .................................................................................................................. 48
Chapitre 5: Implmentation de Shibboleth ........................................................................................ 49
5.1 Conception de lannuaire LDAP .......................................................................................... 49
5.2 Installation de lIdP ............................................................................................................... 51
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
ix
5.3 Installation du SP .................................................................................................................. 55
5.3.1 Installation du WAYF ....................................................................................................... 58
5.4 Shibbolisation de quelques ressources .................................................................................. 60
5.4.1 Moodle .............................................................................................................................. 60
5.4.2 Authentification shibboleth pour Moodle ......................................................................... 60
5.5 Intgration de Shibboleth ESUP-PORTAIL ...................................................................... 63
5.5.1 Le projet ESUP-PORTAIL ............................................................................................... 63
5.5.3 Shibbolisation de Esup ...................................................................................................... 66
Conclusion ............................................................................................................................................... 67
REFERENCES ........................................................................................................................................ 69
Bibliographie ........................................................................................................................................... 69
Webographie ........................................................................................................................................... 69
ANNEXES .............................................................................................................................................. 70
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
x
Table 1.3. Attributs shac de lannuaire LDAP................................................................................................34
Tableau 3.1. Comparaison des produits de fdration d'identit............................................................40
Tableau 5.1. Attributs communs aux utilisateurs....................................................................................55
Table 5.2. Attributs spcifiques aux personnels......................................................................................55
Table 5.3. Attributs spcifiques aux tudiants........................................................................................56
Table 5.4. Attributs spcifiques aux enseignants .................................................................................. 56
Liste des Tableaux
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
xi
Figure 1.1- Organigramme RTN ...........................................................................................................14
Figure 2.1- Organisation virtuelle .........................................................................................................23
Figure 2.2 - Fonctionnement dun cercle de confiance ..........................................................................25
Figure 2.3- Schma rcapitulatif dune fdration didentit ...............................................................26
Figure 3.1- Authentification SSO ...........................................................................................................28
Figure 3.2- Fonctionnement du CAS .....................................................................................................30
Figure3.3-Structure du DIT ....................................................................................................................37
Figure 3.4- Architecture des annuaires maitre esclaves ......................................................................38
Figure 3.5-Architecture Fonctionnelle dun annuaire en referral ..........................................................39
Figure 4.1- Authentification et envoie du nameId vers le SP .................................................................47
Figure 4.2- Rcupration des attributs de lutilisateur par ls SP ............................................................47
Figure 4.3- Envoi de la rponse de SP lutilisateur .............................................................................48
Figure 4.4- Point de vue ct utilisateur..................................................................................................48
Figure 4.5- Premire requte vers un SP ................................................................................................49
Figure 4.6- Point de vue utilisateur dans un contexte SSO ....................................................................50
Figure 4.7- Redirection vers le WAYF puis vers le CAS .......................................................................51
Figure 4.8- Redirection du serveur SSO vers lIdP puis le SP ...............................................................52
Figure 4.9- Point de vue utilisateur dans un contexte SSO et WAYF ....................................................52
Liste des Figures
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
xii
Figure 5.1- Dploiement de lIdP par Tomcat .......................................................................................62
Figure 5.2- Service de dcouvertes ........................................................................................................69
Figure 5.3- Authentification via SSO natif de Shibboleth .....................................................................70
Figure 5.4- Authentification via CAS ....................................................................................................70
Figure 5.5- Page daccueil de la ressource .............................................................................................71
Figure 5.6- Portail Esup .........................................................................................................................72
Figure 5.7- Authentification Shibboleth dans Esup ...............................................................................73
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
xiii
Nous prsentons ici quelques sigles et abrviations que nous utiliserons dans le document.
CAS Central Authentication Service
HTTPS HyperText Transfert Protocol Secure
LDAP Lightweight Directory Access Protocol
IdP Identifier Provider
SP Service Provider
WAYF Where Are You From
SAML Security Assertion Markup Language
PHP Hypertext Preprocessor
PT Proxy Ticket
RTN Rseaux et Techniques Numriques
UVS Universit Virtuelle du Sngal
ENO Espace Numrique Ouvert
SSL Secure Sockets Layer
SSO Single Sign On
ST Service Ticket
PGT Proxy Granting Ticket
TGC Ticket Granting Cookies
TIC Technologies de lInformation et de la Communication
TICE Technologies de lInformation et de la Communication pour lEnseignement
XML eXtensible Markup Language
ARP Attribute Release Policy
CNAES Concertation Nationale sur lAvenir de lEnseignement Suprieur
STEM Sciences, Technologie, Ingnierie Mathmatiques
Sigles et Abrviations
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
1
Lmergence des Technologies de lInformation et de la Communication (T.I.C) et plus
particulirement du rseau de communication Internet est sans conteste la prouesse du millnaire
ralise par les hommes. Elle a abouti une croissance exponentielle dchanges d'applications web
via les rseaux informatiques.
Cette multiplication des applications web est une ralit dans les tablissements, entranant
ncessairement une authentification des utilisateurs. Ces derniers sont amens fournir de nombreuse
fois auprs de chacune de ces applications, en multipliant les couples identifiant/mot de passe retenir.
Le dploiement des annuaires LDAP, outre leur apport fonctionnel pour la gestion des groupes, a
permis de simplifier la situation en utilisant un rfrentiel d'authentification commun la majorit des
applications. Ainsi pour les applications utilisant ce rfrentiel dauthentification, lutilisateur peut
utiliser un mot de passe unique.
La mise en place d'un systme de Single Sign On (SSO) doit permettre l'utilisateur de saisir un
mot de passe une seule fois pour accder toutes les applications web de ltablissement, amliorant
ainsi la fois l'ergonomie d'accs aux applications et la scurit du systme d'information en limitant la
circulation des mots de passe.
La fdration didentit rpond ce besoin dinterconnexion des systmes dauthentifications et
offre un cadre technique et de confiance permettant ses participants de scuriser et de simplifier
l'accs des ressources Web.
Elle permet galement aux utilisateurs ayant droit sur les ressources de rduire le nombre de
mots de passe retenir, et aussi une meilleure matrise de la diffusion de donnes caractre personnel
Le prsent mmoire comporte cinq (05) chapitres :
Dans le premier chapitre nous prsenterons la structure daccueil ainsi que le contexte, la
problmatique, et les objectifs vises travers cette tude.
Introduction
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
2
Le deuxime chapitre mettra laccent sur ltat de lart et les concepts de fdration didentit
afin de mieux simprgner du sujet traiter.
Dans le troisime chapitre nous parlerons des systmes dauthentifications qui sont
indispensable dans une fdration didentit.
Dans le quatrime chapitre une tude dtaille de la technologie Shibboleth sera effectue
Enfin dans le cinquime chapitre une phase dimplmentation des diffrents composants de
Shibboleth et a ralis pour obtenir une fdration didentit digne de ce nom.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
3
Chapitre 1: Prsentation Gnrale
Ce chapitre prsente la structure daccueil du stage ainsi que le cadre gnral du projet travers
la problmatique, les objectifs viss, et la prsentation de lUniversit Virtuelle du Sngal.
1.1 Prsentation de lentreprise RTN
Rseaux et Techniques Numriques est une socit dirige par une quipe de professionnels
qualifis, spcialise en logiciels libres et centre sur les services informatiques, techniques numriques
et tlcommunications. La socit offre une large gamme de formations se basant sur des supports de
cours, fruits de recherches approfondies. Ces supports tests et avrs permettent aux apprenants dtre
aussitt oprationnels.
RTN dispose dune quipe de recherche pluridisciplinaire (informaticiens, Mathmaticiens, Tl-
communicants, etc.) travaillant sur ladministration et la scurit des rseaux informatiques, des
travaux de recherche sur les technologies innovantes, les nouvelles techniques de simulations
numriques, des problmes conomiques, environnementaux et dingnierie.
1.2 Missions de RTN
La mission du groupe RTN vise accrotre la comptitivit de ses clients par la valorisation des
composantes informatiques, logicielles et rseaux constituants le systme d'information de ces derniers.
Cela leur confre des gains importants en produisant plus et mieux budget rduit, grce
lexploitation de la puissance des logiciels libres existants et ceci, sans rupture des cycles d'exploitation
de service de ces entreprises et sans remise en cause organisationnelle. Leur principal objectif est de
conseiller et de former le personnel des entreprises qui veulent disposer des logiciels libres et adapts
leurs besoins minimisant ainsi les cots d'investissements en rseaux informatiques tout en leur
apportant une scurit avance.
1.3 Organigramme de RTN
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
4
Figure 1.1-Organigramme RTN
1.4 Domaine dactivits
La socit RTN offre une palette de services dans le domaine de la technologie de linformation et de
la communication. Les services de RTN sont orientes Open Source et ralises selon les besoins et
l'exploration des opportunits d'entreprise. Elles rpondent par consquent aux problmes rels.
RTN met galement un accent sur le dveloppement des services valeurs ajoutes, et
linterconnexion des rseaux Linux et Windows, participant ainsi la cohabitation et lharmonisation
des rseaux htrognes Linux-Windows.
Depuis septembre 2013 la RTN a mis en place trois laboratoires de recherche dans les domaines
suivants :
0-1
Conseil d'Orientation Scientifique
DG
Directeur Formation Recherche EC2LT
Service acceuil, info,
animation scolaire
Bureau des tudiants
Service Ressource
Technique et Documentaire
Service scolarit,
recouvrement et caisse
Dpartements
Commissions permanentes
ou adhoc
Conseil de la vie scolaire et
des tudes (DFR)
Service Recherche
dploiement & formation
Service comptabilit
et finance
Service marketing
communication &
commerciales
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
5
le laboratoire de Cloud Computing
le laboratoire des technologies de linformation et de la communication pour
lenseignement(TICE) est charg dimplmenter des technologies et outils pour lefficacit de
lenseignement avec des plateformes varies comme Moodle, BigBlueButton Wims Shibboleth,
EsupPortal.
le laboratoire de Virtualisation
La RTN intervient galement dans les domaines suivants :
Conseils et orientations professionnelles pour la gestion dun rseau dentreprise
Mise niveau du personnel des entreprises
La RTN dispense aussi un ventail de formations dont la liste non exhaustive est la suivante
Tlphonie sur IP avec le protocole SIP
Tlphonie sur IP avec le protocole H323
Tlphonie sur IP avec lIPBX open source Asterisk
Mise en place de la Tlphonie sur IP avec le Call Manager de Cisco
Messagerie collaborative
Les services rseaux
RTN intervient galement dans les domaines suivants :
Une expertise approfondie en logiciels libres
Une expertise en ingnierie des rseaux
Une expertise dans les plateformes de formation distance (e-Learning)
Une expertise dans les plateformes denvironnement numrique de travail
Une expertise dans les plateformes de fdration didentits
Une expertise en cloud computing
Une expertise en virtualisation
1.5 Prsentation de l'Universit Virtuelle du Sngal(UVS)
En dcidant de mettre en place lUniversit virtuelle du Sngal (UVS), lEtat du Sngal
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
6
travers le Ministre de lEnseignement Suprieur et de la Recherche sengage dans un extraordinaire
pari sur lavenir qui peut changer jamais le visage de lenseignement suprieur en particulier et de la
formation en gnral au Sngal. LUVS [W01] est la sixime universit publique sngalaise, elle est
de ce point de vue une universit comme les autres.
Toutefois la spcificit de lUVS tient au fait que le modle de livraison des enseignements fait
essentiellement appel aux Technologies de lInformation et de la Communication (TIC) alors que dans
le modle traditionnel la livraison des enseignements se fait en prsentiel, face face.
Pour ce qui est du modle dvaluation des tudiants, lUVS se retrouve dans le mme modle que les
universits traditionnelles en ce sens que les valuations se feront en prsentiel et sous surveillance.
LUVS sinscrit naturellement dans la mouvance du systme LMD (Licence Master Doctorat). Les
tudiants de lUVS sont tenus deffectuer les diffrents parcours de formation qui leur sont proposs
dans les mmes dlais et avec les mmes contraintes acadmiques que leurs homologues du systme
traditionnel.
Le dispositif ci-dessus dcrit est celui de la formation initiale qui est proposes aux bacheliers
nouvellement orients lUVS. Toutefois, lUVS a lambition de toucher trs rapidement dautres
segments demandeurs en formations, et pour ces derniers les formats dapprentissage adquats seront
proposs.
Pour mener bien sa mission lUVS, sappuie sur un rseau dEspaces Numriques Ouverts
(ENO). Les ENO sont les terminaisons physiques de lUVS, ce sont de vritables synapses partir
desquelles luniversit interagit avec ses apprenants et son environnement. Le rseau des ENO ira en se
densifiant au cours des annes venir permettant ainsi lUVS de procder un maillage optimal du
territoire sngalais. LUVS apparat de ce fait comme tant un lment majeur de lamnagement
numrique du territoire national. Cependant, lUVS sera partout o le rseau la portera, cest donc dire
que lambition de lUVS terme ne se limite pas seulement au territoire physique du pays.
LUVS propose une palette de formations que sont :
Anglais
- Assistanat/Secrtariat de direction bilingue
- Tourisme et industrie culturelle
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
7
- Marketing et Communication
- Littrature et civilisation Anglophone
- Mtiers de lhumanitaire et du dveloppement social
Sciences conomiques et de Gestion
- Licence Comptabilit Finance
- Licence Economie sociale et solidaire (ESS)
- Licence Management des petites et moyennes organisations
- Licence Micro finance Assurance
- Licence Management des organisations sanitaires et sociales
Sciences juridiques et Politiques
- Licence Droit Public
- Licence Droit Priv
- Licence Sciences Politiques
Mathmatiques appliques et informatique (MAI)
- Mathmatique
- Informatique
Sociologie
- Intervention sociale
Une filire est compose de modules qui apportent aux tudiants des comptences et savoir-faire utiles
la maitrise de leur environnement de travail, leur dveloppement personnel et qui seront capitaliss
comme des lments denrichissement de leur profil au terme de leur formation.
- La maitrise de lenvironnement de travail
- Les outils de bureautiques courants
- Langlais et bien dautres modules qui seront dlivrs tout au long du parcours de ltudiant
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
8
Les tudes lUVS dmarrent par certains modules jugs fondamentaux pour une mise niveau
des tudiants et le partage dun minimum de comptences communes.
1.6 Mission de l'Universit Virtuelle du Sngal
La cration de lUVS par dcret N 2013-1294 est une mise en uvre de la dcision 02 du Conseil
Prsidentiel du 14 aot 2013 qui consiste "Mettre les Technologies de lInformation et de la
Communication (TIC) au cur du dveloppement de lenseignement suprieur et de la recherche pour
amliorer laccs lenseignement suprieur et lefficacit du systme". Cette dcision porte sur les
directives suivantes:
Mettre en place lUniversit virtuelle sngalaise (UVS) et des Espaces numriques ouverts
(ENO) dans chacune des rgions du Sngal et au sein des universits publiques.
Mettre en place le systme dInformation et de Gestion de l'Enseignement Suprieur et de la
Recherche(SIGESR).
Interconnecter tous les tablissements denseignement suprieur public et priv.
Crer une bibliothque nationale virtuelle pour partager les ressources numriques.
Crer le Centre de Mutualisation et de Partage(CMP) de l'enseignement suprieur et de la
recherche.
Dvelopper lenseignent distance et encourager le personnel denseignant et de recherche
utiliser les TIC.
Le but principal de l'UVS est de contribuer au dveloppement du capital humain travers une
formation qualifiante et efficiente par les TIC pour un dveloppement conomique inclusif du pays.
Pourquoi avoir cre lUVS ?
Pour rpondre une demande croissante daccs l'enseignement suprieur.
Pour avoir une universit qui sintgre au tissu social, dlivrer des formations en adquation
avec la demande du march (emploi & auto emploi).
Pour tre le vecteur de concepts lis : lusage des TIC des fins pdagogiques, aux capacits
lies lapprentissage tout au long de la vie, lautonomie, aux capacits lies au travail
collaboratif.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
9
Pour faire du concept une formation pour tous une ralit, acclrer l'amnagement numrique
du territoire.
Pour renforcer la position du pays dans lconomie de la connaissance.
Luniversit Virtuelles du Sngal est destine pour les:
Les nouveaux bacheliers (priorit de lUVS);
Les personnes mobilit rduite ou dans limpossibilit de suivre des enseignements dans les
universits traditionnelles ;
Les femmes qui trouveront travers lUVS un modle capable de les accueillir et de les
maintenir dans lenseignement suprieur ;
Les professionnels en activit
Les exclus du systme universitaire traditionnel ;
Les cibles des partenaires tels que les ministres, entreprises, universits nationales et
trangres, organismes internationaux.
1.7 Concept d'Espace Numrique Ouvert (ENO)
Le Ministre de lEnseignement Suprieur et de la Recherche (MESR), prenant en compte les
aspects socioculturels et les contraintes lies lenseignement distance, prvoit un dispositif original
pour accompagner et faciliter laccs aux diverses ressources et services. Ce dispositif est lEspace
Numrique Ouvert (ENO). Les ENO sont conus pour offrir un cadre technologique performant aux
tudiants, lves, enseignants et chercheurs, groupements socio-conomiques et autres acteurs.
Dans le cadre de lUVS, le rseau des ENO ira en se densifiant au fil des ans. Les tudiants de
lUVS trouveront toutefois dans leur ENO de rattachement des quipements, des ressources et des
outils informatiques ncessaires au bon droulement des activits pdagogiques. Espaces de
socialisation par excellence, les tudiants trouveront dans leur ENO les appuis en cas de difficult mais
aussi les conditions et les activits propices laffermissement dun sentiment dappartenance.
Pour faciliter tous, et en particulier aux tudiants, laccs aux ressources numriques et aux
quipements informatiques, lUVS mettra en place sur lensemble du territoire national des ENO. Ces
ENO permettront aux tudiants daccder des quipements, des ressources et des outils
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
10
informatiques ncessaires au bon droulement des activits pdagogiques. Ils permettront galement de
disposer de relais physiques pour un bon dploiement de lUVS, et en ce sens, ils permettront la fois
de disposer despaces pour les enseignements prsentiels ou pour les travaux collaboratifs.
1.8 Prsentation du sujet
1.8.1 Contexte du sujet
A lheure o la socit de linformation et du savoir simpose un peu partout travers le monde
et que les technologies de linformation et de la communication envahissent chaque jour un peu
plus tous les secteurs de lactivit humaine, lenseignement suprieur et de la recherche ne peuvent
rester en marge de ce phnomne.
Dans le cadre des rformes universitaires lances au Sngal en vue damliorer la qualit de
lenseignement comme de la recherche, de faciliter laccs aux ressources numriques, dappuyer le
dveloppement de lenseignement distance, et surtout de mieux armer les tudiants en vue dune
insertion russie dans le monde du travail, l' tat du Sngal a dcid dinvestir massivement dans les
TIC. Pour ce faire, le gouvernement du Sngal a organis une Concertation nationale sur lavenir de
lenseignement suprieur, en dsignant un comit de pilotage dont les membres proviennent de toutes
les composantes de la socit (universitaires, chercheurs, entrepreneurs, parlementaires, membres de la
socit civile).
La principale orientation de cette rforme est la rorientation du systme denseignement
suprieur sngalais vers les sciences, la technologie, lingnierie et les mathmatiques (STEM) ainsi
que la promotion des formations professionnelles.
En outre, le Contrat de performance, sign entre ltat et les universits public du Sngal avec
lappui technique et financire de la Banque mondiale, va mettre la disposition des universits, des
crdits additionnels pour une perspective dexcellence.
Toutes les universits ont formuls leurs besoins pour atteindre le pari de la performance,
cependant elles ont tous un point commun : disposer d'une plate-forme d'enseignement distance.
Suite au besoin numr ci-dessus, lEtat du Sngal a recommand la cration de lUniversit
virtuelle du Sngal qui sappuie sur : des espaces numriques ouverts, un environnement de travail
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
11
numrique(ENT) et une plateforme de-Learning afin doffrir un accs partag des ressources
numriques.
LUVS qui repose sur la formation distance, prconise de mettre en place une solution de-
Learning base sur MOODLE pour mettre la disposition des universits des ressources numriques
dont les cours seront rdigs et posts par des professeurs issus des diffrents tablissements afin de
fournir des contenus de qualits.
Fort de ce constat, le partenariat entre les diffrents organismes disperss gographiquement,
notamment les universits est gnralement pressenti comme une ncessit tant pour les tudiants que
pour les formateurs. En effet, il constitue une rponse la carence de ressources disponibles et permet
douvrir laccs une ressource locale d'autres tablissements, mais aussi un levier pour faire de
l'enseignement suprieure le moteur du processus devant conduire le Sngal vers lmergence
conomique et sociale.
1.8.2 Problmatique
Les entreprises comme les tablissements suprieurs connaissent un rel besoin de cooprer en
extriorisant leurs ressources ; particulirement web qui ont l'apanage dtre plus rapide et moins
coteuses mettre en uvre, dlivrant souvent les entreprises de la complexit d'administration de
l'infrastructure. Les applications Web permettent aussi de simplifier, d'acclrer et d'amplifier les
changes entre l'entreprise et ses partenaires, cependant chaque connexion sur une application,
l'utilisateur doit fournir un identifiant et un mot de passe spcifiques la plate-forme Web visite.
Chaque utilisateur doit donc retenir plus d'une dizaine d'identifiants et de mots de passe, plus ou
moins complexes selon les exigences de scurit de l'application.
Soucieux des pertes ou doublis des paramtres des connexions chez les usagers, alors il savre
ncessaire de mettre en place une solution palliative pour contourner le problme dauthentification
multiple.
Pour rsoudre les problmes numrs ci-dessus en toute scurit tout en rduisant les cots et
en amliorant la productivit, alors on a recours la fdration didentit qui met la disposition de
nos utilisateurs un passeport unique pour accder aux diffrentes applications via un mcanisme de
propagation didentits.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
12
1.8.3 Objectifs attendus
Les objectifs principaux de ce mmoire consistent :
mettre en place un systme dinformation (rfrentiel utilisateur)
concevoir et dployer un systme de fdration didentit
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
13
Chapitre 2: tat de lart de la fdration d'identit
Ce chapitre prsente ltat de lart de la fdration d'identit, dont lobjectif est didentifier et
cerner les concepts lis aux organisations virtuelles et leurs modes de fonctionnement.
La fdration d'identit fournit un moyen de dlgation de l'authentification et du processus
d'affectation d'accrditations. Ceci permet une organisation de ne grer que ses propres utilisateurs et
dlguer la tche de gestion des utilisateurs externes leurs organisations de rattachement fournissant
ainsi une solution l'htrognit des systmes d'authentification et d'accrditation adopts au niveau
des sites partenaires. Une fdration repose la fois sur une infrastructure informatise et une
architecture de services.
2.1 Concepts dorganisations virtuelles
Les besoins de collaboration entre organisations et les facilits technologiques donnent
aujourdhui naissance une nouvelle forme dorganisation et de coopration dnomme : Virtuelle
Eva Fueher (1997) dans [B01] dfinit l'organisation virtuelle(OV) comme un rseau temporaire
d'institutions indpendantes, entreprises ou individus, qui travers l'utilisation des technologies de
l'information et de la communication s'unissent spontanment pour atteindre leurs objectifs qui sont
gnralement orients sur la mobilisation des ressources et des comptences distinctives places
dans diffrents lieux gographiques.
Contrairement aux organisations traditionnelles, les frontires de lorganisation virtuelle restent
ambigus. Ces frontires sont dfinies par la stratgie de chacune des organisations pour raliser les
tches qui lui sont confies.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
14
Figure2.1-Organisation virtuelle
2.2 Dfinition de la fdration d'identit
Une fdration didentit est une organisation virtuelle constitue dun groupe dorganisations qui
sont lies entre elles par des intrts communs dans un ou plusieurs domaines daffaires. Chaque
organisation de la fdration est autonome et dlgue celle-ci la gestion des accs. Cette gestion
permet lauthentification et lautorisation des usagers selon un niveau de confiance dfini par des
politiques de la fdration.
Les services de la fdration offrent les oprations suivantes :
mission, validation et transmissions des informations relatives aux utilisateurs, des demandes
de justification, des attributs et des assertions relatives la scurit;
Intgration des informations relatives la scurit;
Application des politiques qui utilisent les informations relatives la scurit, afin de valider
lautorisation pour une demande ou une action sur une ressource ou un service
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
15
Les solutions de fdration didentits permettent une application, dans un organisme, dinteragir
avec un systme dauthentification dune autre entit. Lapplication, appele fournisseur de service(ou
SP, Service Provider), dlgue la phase dauthentification dun utilisateur lorganisme auquel il est
rattach, appel fournisseur didentit(ou IdP, Identity Provider). Le SP conserve la prrogative du
contrle daccs, mais peut pour cela utiliser des attributs de lutilisateur fournis par lIdP. Un SP peut
tre sollicit par des utilisateurs issus de diffrents IdP. Inversement, les utilisateurs rattachs un IdP
peuvent accder diffrents SP.
2.3 Cercle de confiance
La dfinition des relations de confiance entre les IdP et les SP un plus haut niveau est cruciale.
Un SP se repose sur les IdP pour assurer une authentification sre de ses utilisateurs et la qualit de ses
attributs. Rciproquement un IdP fait confiance aux SP quant la bonne utilisation des attributs
nominatifs. La formalisation de ces relations de confiance peut se faire de gr gr entre chaque paire
dIdP/SP. Cependant, il est naturel de vouloir formaliser la dfinition de ces relations de confiance pour
[B08] un ensemble de fournisseurs qui forment alors un cercle de confiance. Linscription un tel
cercle impose de respecter des rgles communes. Au sein dun cercle de confiance, des rgles existent
pour assurer la protection des donnes personnelles des utilisateurs qui peuvent tre communiques
entre fournisseurs.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
16
Figure2.2 Fonctionnement dun cercle de confiance
2.4 Fonctionnement des fdrations d'identits
Les types dutilisateurs :
Les utilisateurs finaux sont les personnes qui vont effectivement se connecter des sites web
via une fdration d'identits. En gnral elles ne savent pas et ne voient pas que leur connexion
a lieu vers une fdration d'identits, c'est transparent pour elles
les fournisseurs d'identits sont les organismes auxquels sont rattachs les utilisateurs finaux.
Un fournisseur d'identits a pour rle d'authentifier ses utilisateurs quand ceux-ci accdent un
site web via la fdration d'identit.
les ressources sont les sites web auxquels peuvent accder les utilisateurs finaux via une
fdration d'identits. Il peut s'agir par exemple de sites d'enseignement distance, d'outils
collaboratifs en ligne, de portail de documentations numrises.
l'oprateur de la fdration est l'entit qui gre la fdration, a dfini ses rgles de
fonctionnement et prend en charge l'inscription des fournisseurs d'identits et des ressources
dans la fdration.
Droulement de l'accs une ressource dune fdration d'identits
l'utilisateur se rend avec son navigateur sur la page d'accueil d'une ressource
il est redirig vers une page ou il choisit son organisme de rattachement
l'utilisateur est automatiquement renvoy vers la page d'authentification classique de son
organisme sur laquelle il peut saisir son identifiant et mot de passe
si l'authentification russit, le logiciel fournisseur d'identits de l'organisme va automatiquement
rcuprer des informations sur l'utilisateur dans le ou les rfrentiels de l'organisme
l'utilisateur est renvoy sur la ressource o il est alors automatiquement authentifi et peut alors
l'utiliser.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
17
lors de la redirection de l'utilisateur depuis le fournisseur d'identits vers la ressource, cette
dernire reoit de la part du fournisseur d'identits une preuve informatique d'authentification
de l'utilisateur et ventuellement des informations sur l'utilisateur.
Figure2.3 - schma rcapitulatif dune fdration didentit
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
18
Chapitre 3 : Systme dauthentification centralis
Dans ce chapitre, nous examinons en premier lieu le mcanisme du Single Sign-On (SSO), pour
centraliser l'authentification afin de permettre l'utilisateur d'accder toutes les ressources
auxquelles il est autoris d'accder, en sidentifiant une seule fois sur le rseau, ensuite faire une tude
gnrale sur les annuaires, et enfin terminer par une tude comparative des diffrentes technologies
pour lauthentification unique. Dans le projet l'objectif du SSO est de propager l'information
d'authentification aux diffrents services du rseau, et d'viter ainsi l'utilisateur la saisie de multiples
identifications par mot de passe.
3.1 Single Sign-On (SSO)
Les organisations actuelles possdent un rseau complexe compos de ressources diverses telles
que des applications internes, des applications web ou diffrents systmes dexploitations. Lutilisateur
se voit oblig de saisir chaque fois un identifiant et un mot de passe. Dans certains cas, on a plusieurs
applications diffrentes, toutes ayant une authentification propre. Une telle situation nest pas sans
crer des problmes: non seulement la saisie manuelle cote un temps prcieux, mais il est
extrmement difficile de se souvenir de plusieurs mots de passe. Ainsi, les utilisateurs utilisent toutes
sortes de mthodes, peu sres, pour faire face cette multiplication des identifiants. Le plus souvent, ils
notent leurs mots de passe sur un post-it, le glissent sous le clavier ou choisissent un mot de passe trs
simple. Par ailleurs, il est trs frquent que les utilisateurs appellent le support informatique cause
dun mot de passe oubli.
Les avantages de l'authentification unique sont :
La rduction de la fatigue de mot de passe : manque de souplesse lie l'utilisation de
diffrentes combinaisons de nom d'utilisateur et de mot de passe
La centralisation des systmes d'authentification
La centralisation des informations de contrles d'accs pour les tests de conformits aux
diffrentes normes
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
19
Les technologies fournissant des SSO utilisent des serveurs centraliss d'authentification que toutes les
autres applications et systmes utilisent pour l'authentification, combinant ceux-ci avec des techniques
logicielles pour s'assurer que les utilisateurs n'aient pas entrer leurs identifiants plus d'une fois
3.2 Mthode d'authentification SSO
Les services numriques accessibles par le web (intranet, courrier lectronique, forums,
agendas, applications spcifiques) disposition des tudiants, enseignants, personnels administratifs se
sont multiplis en quelques annes. Ces services ncessitent trs souvent une authentification.
L'utilisation de techniques de synchronisation entre domaines d'authentification htrognes, puis de
serveurs LDAP a permis la mise en uvre d'un compte unique (login / mot de passe) pour chaque
utilisateur, ce qui est un progrs. Toutefois on est contraint des problmes suivants :
L'authentification unique (ou identification unique ; en anglais Single Sign-On : SSO) est une
mthode permettant un utilisateur de ne procder qu' une seule authentification pour accder
plusieurs applications informatiques (ou sites web scuriss).
Luniversalit du protocole HTTP fait que les applications portes sur le web sont de plus en
plus nombreuses.
La mise en place dannuaires (LDAP par exemple) permettra aux utilisateurs de mmoriser
quun seul mot de passe, mais ils devront sauthentifier chaque fois quil accde une
application
Les mcanismes de SSO [B02] (authentification unique pour accder plusieurs applications)
tentent de rsoudre ces problmes en utilisant tous des techniques assez semblables, savoir :
une centralisation de lauthentification sur un serveur qui est le seul recueillir les mots de
passe des utilisateurs, travers un canal chiffr ;
des redirections HTTP transparentes du navigateur client, depuis les applications vers le serveur
dauthentification, puis du serveur vers les applications
le passage dinformations entre le serveur dauthentification et les applications laide de
cookies, et/ou de paramtres CGI de requtes HTTP (GET ou POST).
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
20
Figure 3.1 - Authentification SSO
3.3 Les diffrents types dauthentification unique
3.3.1 Approche fdrative
Dans ce mcanisme, dont le systme Liberty Alliance est le principal exemple, chaque service
gre une partie des donnes d'un utilisateur (l'utilisateur peut donc disposer de plusieurs comptes),
mais partage les informations dont il dispose sur l'utilisateur avec les services partenaires. Ce
mcanisme a t dvelopp pour rpondre un besoin de gestion dcentralise des utilisateurs, o
chaque service partenaire dsire conserver la matrise de sa propre politique de scurit.
3.3.2 Approche centralis
Le principe de base est ici de disposer d'une base de donnes globale et centralise de tous les
utilisateurs ou d'un annuaire. Cela permet galement de centraliser la gestion de la politique de scurit
3.3.3 Approche cooprative
Le mcanisme coopratif, dont les systmes Shibboleth et CAS sont les principaux
reprsentants, part du principe que chaque utilisateur dpend d'une des entits partenaires. Ainsi,
lorsqu'il cherche accder un service du rseau, l'utilisateur est authentifi par le partenaire dont il
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
21
dpend. Comme dans l'approche fdrative, cependant, chaque service du rseau gre indpendamment
sa propre politique de scurit.
3.4 Prsentation du CAS
Le Service central dauthentification (CAS) [B03] est un systme d'authentification unique
(SSO) pour le web dvelopp par l'Universit Yale . On s'authentifie sur un site Web, et on est alors
authentifi sur tous les sites Web qui utilisent le mme serveur CAS. Il vite de s'authentifier chaque
fois qu'on accde une application en mettant en place un systme de ticket.
3.5 Fonctionnement du CAS
1- Le client web tente une connexion vers une application web partir dune requte initiale en
http. Lapplication web redirige la requte vers une page dauthentification du serveur CAS. Le
client peut accder directement en https au CAS (1)
.
2- Le serveur CAS ralise lauthentification grce LDAP (login + mot de passe)
3- Le CAS gnre un ticket ST (Service Ticket) au client. Ce dernier envoie les paramtres de
connexion lapplication web et passe en paramtre le ticket ST.
4- Lapplication web accde directement au CAS en http ou en https et passe en paramtre lID de
service (lID de service est lURL du service).
5- Le CAS gnre un ticket TGC (Ticket Granting Cookies). Le CAS envoie le TGC lapplication
web. C'est un cookie de session qui est transmis par le serveur CAS au navigateur du client lors de
la phase de login.
6- Le CAS valide le ticket ST et retourne lUID de lutilisateur. En ce moment lutilisateur est
authentifi et peut maintenant accder la page
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
22
Formulaire CAS
Figure 3.2- Fonctionnement du CAS
3.6 Gnralits sur les annuaires lectroniques
Dans le cadre de la mise en place d'une fdration didentit, une grande quantit
dinformations relatives aux acteurs sont manipules. Ces informations doivent tre stockes dans une
base d'informations afin d'en assurer la cohrence, la scurit, laccessibilit et la centralisation.
Ainsi la base d'information tant beaucoup plus sollicite en lecture, nous avons porte notre choix
sur les annuaires LDAP qui sont rputs tre performants pour les accs en lecture.
Pour une homognit de la reprsentation des donnes dans un annuaire LDAP concernant
l'enseignement suprieur, une norme a t dfinie : c'est la norme Supann2009
3.6.1 Prsentation
Un annuaire lectronique peut tre vu comme une base de donnes spcialise, dont la fonction
premire est de retourner un ou plusieurs attributs d'un objet grce des fonctions de recherche
multicritres.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
23
Les objets peuvent tre de nature trs diverse. Par exemple, un objet de lannuaire peut
reprsenter une personne et les attributs de cet objet seront alors son nom, son prnom, son numro de
tlphone, etc. Un annuaire lectronique va centraliser des informations et les rendre disponibles, via le
rseau, des applications, des systmes dexploitation ou des utilisateurs.
3.6.2 Diffrences entre annuaire et une Base de Donnes
Bien quun annuaire soit comparable une base de donnes pour un grand nombre de
fonctionnalits, il en diffre en de nombreux points.
Un annuaire est trs performant en consultation (cest--dire en lecture ou en recherche). Par
contre, un annuaire nest pas trs adapt pour des mises jour frquentes (criture). Les donnes
contenues dans un annuaire sont en effet beaucoup plus prennes, et il est donc totalement inutile
doptimiser les fonctions de mise jour.
Une base de donnes doit, par contre, gnralement supporter des applications qui la remettent
constamment jour. Cela signifie que la fonctionnalit criture dans une base de donnes est
importante et doit par consquent tre optimise.
Un annuaire LDAP organise les donnes de manire arborescente, tandis que les bases de
donnes le font au sein de tableaux deux dimensions.
3.6.3 Protocole LDAP
LDAP (Lightweight Directory Access Protocol, ou Protocole d'accs aux annuaires lger) est un
protocole standard permettant de grer des annuaires, c'est--dire d'accder des bases d'informations
sur les utilisateurs dun rseau par lintermdiaire du protocole TCP/IP.
Les bases d'informations sont gnralement relatives des utilisateurs, mais elles sont parfois utilises
dautres fins comme pour grer du matriel dans une entreprise. Il est normalis par lIETF (Internet
Engineering Task Force) dans sa version 3 en 1997, LDAP est un protocole client-serveur et offre
quatre modles prdfinis. Lobjectif de cette modlisation est de favoriser le partage et de simplifier la
gestion des informations concernant des personnes, et plus gnralement toutes les ressources de
lentreprise, ainsi que des droits daccs des utilisateurs sur ces ressources.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
24
Les modles LDAP :
Modle dinformation : Il dfinit la nature des donnes stockes dans lannuaire. Celles-ci sont
constitues dun ensemble denregistrements dans lequel chaque enregistrement est linstance
dune classe dobjet comportant une srie dattributs. Chaque attribut est dfini par un type
(entier, chaine de caractre etc.) et contient un ou plusieurs valeurs, qui peuvent tre obligatoire
ou non.
Modle de dsignation : Il dfinit la faon dorganiser et de designer les entres dans
lannuaire. Les donnes sont classes de faon hirarchique dans un arbre, refltant en gnral
lorganisation de lentreprise. Le nom dune entre contient le nom des diffrents nuds de
larbre puis lidentifiant de celle-ci.
Modle des services : Il dcrit les fonctions offertes par un annuaire LDAP. Ces fonctions
comprennent la recherche et la consultation des entres de lannuaire, la mise a jour de celui-ci,
et lauthentification des utilisateurs auprs de ces services.
Modle de scurit : Il dfinit la manire de sidentifier de faon scurise un annuaire
LDAP et le concept des droits daccs aux diffrents objets de lannuaire. La gestion de la
scurit est pointue car elle permet de dfinir des droits daccs non seulement au niveau dun
objet, mais aussi au niveau dun attribut de cet objet.
3.6.4 Les classes d'objets
La classe dobjet dun annuaire LDAP permet de spcifier les attributs possibles pour une entre
reprsentant un objet particulier du monde rel. Cette liste d'attributs est subdivise en deux parties :
la premire liste dfinit quels sont les attributs obligatoires que doit possder une entre,
la seconde liste dfinit les attributs optionnels que peut possder cette entre.
En effet, les classes d'objet dun annuaire LDAP sont dfinies par plusieurs caractristiques. En
premier lieu, une classe d'objet possde au moins un nom de faon l'identifier facilement.
En second lieu, indiquer si la classe est structurelle ou auxiliaire. Les classes structurelles sont les
seules qui permettent de construire des entres. Ce qui signifie que toute entre doit possder au moins
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
25
une classe structurelle. Les classes auxiliaires permettent de rajouter facilement un certain nombre
d'attributs une entre existante.
Les classes d'objets ont une autre particularit trs intressante. On peut construire de nouvelles
classes partir de classes existantes. Autrement dit, la notion d'hritage existe galement pour les
classes d'objets.
3.6.5 Les schmas
Les annuaires permettent de stocker et de grer des identits, on y trouve des objets
reprsentants des personnes et des attributs permettant didentifier et de dfinir la personne comme le
nom, prnom, tlphone
Lensemble des types dobjets possible dans lannuaire, et pour chaque objet lensemble des
attributs utilisables est dfini dans lannuaire. Le schma contient la syntaxe et la liste des attributs
connus de l'annuaire.
Extension de schma
Parfois il arrive quon veuille stocker dans lannuaire des informations de nature particulires pour
les besoins propres ses applications. Si le schma dorigine ne le permet pas, on peut raliser une
extension de schma. Lextension de schma [B06] consiste dfinir pour un annuaire de nouveaux
types dobjets, ou de nouveaux attributs pour un type dobjet existant.
Attributs LDAP
Un attribut est une valeur contenue dans une entre. Une entre peut contenir plusieurs attributs.
Format dchange de donnes LDIF
LDIF (LDAP Data Interchange Format ou Format dchange des donnes LDAP) permet
lexportation ou limportation des donnes depuis ou vers un annuaire LDAP. Il dcrit le format de
fichier de texte qui contient tout ou partie des donnes dun annuaire.
3.6.6 La norme Supann
SUPANN [B05] est un groupe de travail ayant pour mission d'laborer des recommandations
annuaires compatibles avec les prconisations existantes au niveau interministriel ainsi qu'au niveau
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
26
international (IETF et Internet2) et satisfaisant les spcificits relatives aux tablissements
d'enseignement suprieur.
Supann a rdig des recommandations en matire d'annuaires d'tablissements compatibles sur
le plan national, au standard LDAP. Ces recommandations s'adressent l'ensemble des tablissements
d'enseignement suprieur et s'inscrivent dans le cadre du schma directeur des environnements de
travail. Disposer d'un annuaire national de l'enseignement suprieur, permettre la mutualisation des
ressources entre les tablissements ou accder des ressources externes, offrir aux applications de
l'enseignement suprieur une structure d'annuaire standardise.
3.6.7 Les objectifs de la norme Supann
Les principaux objectifs de la norme Supann sont :
proposer aux tablissements un cadre adquat pour la mise en uvre de leur base
dinformations en respectant les spcifications d'un noyau LDAP.
favoriser la portabilit des logiciels utiliss par les tablissements denseignement suprieur, en
homognisant les schmas d'annuaires.
converger vers des comptences internes similaires en matire d'annuaire
Faciliter lchange dinformations entre les diffrents tablissements
Permettre un contrle daccs des ressources distantes, bases sur le profil de lutilisateur issu
de lannuaire de son tablissement de rattachement.
3.6.8 Prsentation des schmas
Pour la mise en place d'un annuaire LDAP digne de ce nom, il faut inclure le schma Supann.
Ce dernier comporte un ensemble de classes et d'attributs pour la reprsentation des informations
relatives l'enseignement suprieur. Par contre toutes les informations ne sont pas prise en compte par
le schma Supann, do la ncessite dinclure d'autres schmas tels Internet2, Schac afin d'avoir une
reprsentation optimale.
Schma Internet 2
Internet2 est conus pour inclure des personnes largement utilis et les caractristiques
organisationnelles de l'enseignement suprieur.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
27
Le problme majeur dInternet2 est quil n'existe pas de modles tablis pour la construction de
rpertoires institutionnels usage gnral. Chaque institution doit commencer partir de zro, et il n'ya
pas deux rpertoires d'enseignement suprieur qui se ressemblent.
La classe d'objet eduPerson donnerait une liste d'attributs communs et des dfinitions. Le
groupe de travail prvoit de s'appuyer sur les travaux des normes en vigueur dans l'enseignement
suprieur, slectionnez les lments qui sont d'une grande utilit, et dfinir une reprsentation LDAP
commun pour chacun d'eux. L'usage du schma Internet2 nous permet d'avoir lattribut statut des
acteurs de notre annuaire
Prsentation du schma Schac
SCHAC est une collection de schmas qui vise dfinir et promouvoir des schmas communs
dans le domaine de l'enseignement suprieur pour faciliter l'change de donnes entre organisations, il
dfinit un ensemble d'attributs pour dcrire les individus dans les institutions universitaires et de
recherche et contient un profil LDAP appropri . L'usage du schma Schac nous permets d'avoir les
attributs suivants :
Tableau 1.3-Attributs schac pour lannuaire LDAP
Attributs Attributs correspondant
Date de Naissance shacDateOfBirth
Pays d'origine schacCountryOfCitizenship
Lieu de naissance schacPlaceOfBirth
Pays de rsidence schacCountryOfResidence
3.7 Structure du DIT (Directory Information Tree)
La racine de l'arborescence est nomme par le nom DNS de l'tablissement conformment aux
recommandations prconises par l'IETF (utilisation des Domain Component - RFC 2377). Ceci permet
d'adresser de manire fiable les informations de tout tablissement puisque l'unicit d'un domaine est
assure au sein d'Internet.
Exemple : pour l'UVS, nous aurons "dc=uvs, dc=sn"
Trois Organizational Unit sont dcrites par Supann :
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
28
la premire appele people dsigne le conteneur de l'ensemble des informations concernant
les personnes prsentes dans l'tablissement. Il s'agit d'informations dcrites l'aide des classes
InetOrgPerson, eduPerson, supannPerson ;
la seconde appele groups dsigne le conteneur des informations concernant la mise en
cohorte d'individus. Ces informations sont dcrites l'aide des classes GroupOfNames et
supannGroupe.
la troisime appele structures est le conteneur des structures matrielles (services, etc.) et
des structures immatrielles (instances lectives, modules d'enseignement, etc.). Ces
informations sont dcrites par les classes OrganizationalUnit et SupannEntite.
Pour implmenter lannuaire on a nomm notre racine dc=uvs, dc=sn.
Nous avons aussi cr une branche people pour les divers acteurs. Quant aux dpartements et filires
ils ont t intgrs dans des structures organisationnelles. Il faut noter que nous avons fait une
distinction significative entre les dpartements et filires. En effet, les filires sont relies une branche
filire et les dpartements placs dans la branche direction gnrale DG).
Figure3.3-Structure du DIT
3.7.1 Scurit LDAP
La mise en place dun annuaire d'entreprise, ncessite une rflexion au modle de scurit
appliquer. LDAP fournit plusieurs mcanismes permettant de scuriser les donnes
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
29
L'authentification simple, le binding
L'annuaire met en place un mcanisme d'authentification pour avoir accs aux donnes qu'il
contient. L'une des oprations pralables l'interrogation de l'annuaire est cette opration dite de
"binding" (dans le cas d'une authentification simple). Le client envoie alors le DN d'un compte
contenu dans l'annuaire lui-mme, ainsi que le mot de passe associ. On pourra par la suite appliquer
des droits particuliers sur ce compte en utilisant les ACLs.
Les ACL
Les ACLs (Access Control Lists) interviennent aprs la notion de binding. Il sera possible de
donner des droits de lecture, d'criture (ou d'autres droits divers) sur des branches particulires de
l'annuaire au compte connect. Ceci permet de grer finement les droits d'accs aux donnes.
Le chiffrement des communications (SSL/TLS)
Le chiffrement des communications, via SSL (Secure Socket Layer, ou TLS - Transport Layer
Security) est galement une mthode de protection de l'information. Il est possible, avec la plupart des
annuaires existants, de chiffrer le canal de communication entre l'application cliente et l'annuaire. Ceci
permet de garantir (un minimum) la confidentialit des donnes et d'viter qu'un tiers n'coute les
communications sur le rseau.
La rplication
OpenLDAP, permet de manire native, de mettre en place un annuaire rpliqu. Un annuaire dit
matre envoie alors, par le biais du format LDIF, toutes les modifications effectues sur un annuaire
esclave.
L'avantage d'une telle opration est double :
permettre une meilleure monte en charge pour de gros annuaires : il est possible de rediriger le
client vers l'un ou l'autre des annuaires rpliqus
disposer d'une copie conforme du premier annuaire, utile en cas de panne
Deux types de rplication existent :
le mode "matre-esclave", le plus courant : la rplication est unidirectionnelle, un annuaire
matre envoie toutes les modifications un annuaire esclave. Ceci n'autorise bien videmment
l'criture que sur l'annuaire matre ; l'esclave est alors disponible uniquement en lecture.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
30
le mode "matre-matre" : la rplication est bidirectionnelle, chaque annuaire peut tre matre
de l'autre. Ceci permet d'crire indiffremment sur l'un ou l'autre des annuaires.
Figure 3.4- Architecture des annuaires maitre esclaves
La distribution (les referrals)
La distribution est un mcanisme qui va permettre de faire pointer un lien vers un autre annuaire
pour une branche particulire. Ceci va permettre de dlguer la gestion de cette branche, un peu au sens
DNS lorsqu'on dlgue la gestion d'un domaine.
Fonctionnement des referrals
Lannuaire 1 possde un referral pour la branche ou=groups. Ce referral [B07] pointe vers lannuaire2
La gestion de cette branche est donc en quelques sortes "dlgue" l'annuaire2.
Au niveau de lannuaire 1, ceci se traduit par une entre de la classe "referral", qui contient alors un
attribut "ref" contenant ladresse de suite de larborescence.
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
31
dc=uvs,dc=sn
Ou=people, dc=uvs, dc=sn ou=groups, dc=uvs, dc=sn
uid=papis.niang,ou=people, dc=uvs,dc=sn
uid=amoussa.achiraf,ou=people,dc=uvs,dc=sn
Annuaire 1: ldap1.uvs.sn Referral
cn=tudiants, ou=groups, dc=uvs, dc=sn
cn=Enseignants, ou=groups, dc=uvs, dc=sn
Annuaire 2: ldap2.uvs.sn
Figure 3.5-Architecture Fonctionnelle dun annuaire en referral
3.8 Les solutions techniques
Diffrentes solutions dauthentification et de contrle daccs aux applications ont t
dveloppes, apportant des satisfactions dans certains cas, mais prsentant nanmoins certains dfauts.
Pour palier ces difficults la dlgation dauthentification a t prconise.
En effet, la phase dauthentification avant laccs une application sera assur par les services
dauthentification de ltablissement de rattachement de lutilisateur. Ce service enverra une assertion
lapplication indiquant si lutilisateur sest bien authentifi. Par contre, le contrle daccs est toujours
effectu au niveau de lapplication.
Ou=groups, dc=uvs, dc=sn
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
32
3.8.1 Les solutions propritaires
CA SiteMinder Federation Security Services et CA SOA Security Manager
HP OpenView Select Federation
IBM Tivoli Federated Identity Manager
Microsoft Active Directory Federation Services
Ping Identity PingFederate et Ping Identity Ping Trusts
RSA Federated Identity Manager
3.8.2 La solution libre : Shibboleth
Shibboleth [W02] est dvelopp depuis 2001 par Internet2 et dsigne la fois une norme et un
produit, il repose sur un mcanisme de propagation d'identits. Son objectif est double :
d'une part il permet, lors de la connexion un service enregistr dans la fdration, de dlguer
l'authentification l'tablissement d'origine de l'utilisateur.
d'autre part il contribue obtenir certains attributs (donnes annuaire) de l'utilisateur, afin de
grer le contrle d'accs ou personnaliser les contenus.
Shibboleth s'appuie en gnral sur un systme CAS et offre donc galement les fonctionnalits de
SSO standards (fentre d'authentification unique, plus besoin de retaper son mot de passe lorsque
l'utilisateur passe d'un service l'autre).
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
33
Tableau 3.1. Comparaison des produits de fdration d'identit
CA SiteMinder FSS CA SOA
SecurityManager
HP OpenView Select
Federation
Facilit de dploiement
et de configuration
Moyen
Moyen
Moyen
Conformit aux
langages dchange de
linformation de
scurit
SAML 2.0 et
WS-Federation
SAML 2.0 et
WS-Federation
SAML 2.0 et
WS-Federation
Possibilit de fdrer
des identits entre des
Web Services
Non
Oui
Oui
Cot 21000 + 4000 pour
maintenance annuelle
100000 (licence pour
4cpu) + 2000 pour
Maintenance annuelle
18500 pour une
connexion
Support pour diffrents
Systmes et technologies
dauthentification
mots de passe, jetons,
certificatsX.509,
techniques biomtrique
mots de passe, jetons,
certificatsX.509,
techniques
biomtriques
mots de passe, jetons,
cartes puce, certificats
didentit X.509,
Niveau de scurit offert -clustering, haute
disponibilit
- load balancing,
-Cluster, haute
disponibilit
Respect de la vie prive Protge Protge Protge
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
34
IBM Tivoli FIM Microsoft
ADFS
Ping Identity
PingFederate
Facilit de dploiement
et de configuration
Difficile Moyen Facile
Approche adopte pour
grer la fdration
Intgre Tivoli
Access Manager
Intgre
Windows Server
2003
Autonome
Conformit aux langages
dchanges de
linformation de scurit
SAML 2.0 et
WS-Federation
WS-Federation SAML 2.0 et
WS-Federation
Possibilit de fdrer
des identits entre des
Web Services
Oui Oui Non
Cot 8200 pour une
licence en plus de
licences pour les
logiciels requis
3000 + prix de
licences annuelles
8000 pour 1
connexion par an
Support pour diffrents
systmes et
technologies
dauthentification
Les mcanismes
supports par Tivoli
Access Manager
(cartes puce,
technique biomtriques,
Kerberos, etc.)
Microsoft Active
Directory (Krberos,
cartes puce et
certificats didentit
X.509) et LDAP
Mots de passe, cartes
puce, techniques
biomtriques, clsUSB,
certificats X.509,
Niveau de scurit
offert
-cluster pour
une haute
performance et
disponibilit
- Possibilit de
dploiement de serveurs
de fdration
additionnels pour
load balancing et
volutivit
-cluster pour une
haute disponibilit et
rcupration
Respect de la vie prive Protge Protge Protge
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
35
Ping Identity
PingTrust
RSA Federated
Identity ManagerRSA
Federated Identity
Manager
Internet2
Shibboleth
Facilitde dploiement
et de configuration
Facile Moyen Moyen
Approche adopte pour
grer la fdration
Autonome Autonome Intgr un WAM
Conformit aux
languages dchange de
linformation de
scurit
SAML 2.0 et
WS-Federation
SAML 2.0 SAML 2.0 et
WS-Federation
Possibilit de fdrer
des identits entre des
Web Services
Oui Oui Non
Cot 8000 pour 1
connexion par an
37000 pour
3 connexions
74000 pour
10 connexions
Logiciel libre
Support pour diffrents
systmes et
technologies
dauthentification
mots de passe, cartes
puce, techniques
biomtriques, cls
USB, certificats X.509,
Authentification
2 facteurs bass
sur RSA
Active Directory,
LDAP, Kerberos
Niveau de scurit
offert
-cluster, haute
disponibilit
-cluster, haute
disponibilit
-haute disponibilit
- load balancing
Respect de la vie prive Protge Protge Protge
Mmoire de fin de cycle NIANG Pape Saer
Conception et implmentation d'une plateforme de fdration didentit pour luvs
36
3.9 Le choix de Shibboleth
De cette tude, il ressort que les produits de fdration tudis prsentent un fort potentiel en termes
dinteroprabilit, de niveau de scurit offert, de support de standards dchange dinformation de
scurit, etc. Cependant, tous ces produits bien quefficaces en termes de gestion didentit, prsentent
des insuffisances en termes de gestion daccs.
Aprs ltude des diffrentes solutions, nous avons port notre choix sur Shibboleth pour plusieurs
raisons :
Les fonctionnalits offertes par Shibboleth sont moins tendues, mais correspondent aux
principaux cas dusages de notre communaut. Surtout la topologie dune fdration de type
Shibboleth correspond bien la s
Recommended