19
10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe Gestion des identités et services authentifiés mécanismes Bordeaux1 et retours d’expériences

Gestion des identités et services authentifiés

  • Upload
    melody

  • View
    29

  • Download
    0

Embed Size (px)

DESCRIPTION

Gestion des identités et services authentifiés. mécanismes Bordeaux1 et retours d’expériences. Mars 2003 – Le contexte. Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…) - PowerPoint PPT Presentation

Citation preview

Page 1: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Gestion des identités et services authentifiés

mécanismes Bordeaux1 et retours d’expériences

Page 2: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Mars 2003 – Le contexte

• Existence de multiples applications avec leur propre référentiel (intranet, messageries, accès stations Unix/W2k, service ftp…)

• Pas d’unicité de l’identifiant ni du mot de passe dans toutes ces applications

• Multiplication par individu des couples identifiant/mot de passe

Page 3: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Conséquences

• l'utilisateur face à des comptes informatiques multiples, problème d'ergonomie et de sécurité également (mot de passe communiqué ou écrit quelque part).

• Difficulté des administrateurs pour assurer la cohérence et la validité de l'ensemble des bases utilisateurs.

• Référencement des individus multiplié, temps de gestion allongés et beaucoup de temps perdu

Page 4: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

LA Contrainte

• Pas de moyen évident pour fédérer toutes les applications authentifiés autour d’un seul référentiel ou outil d’authentification– pas toujours de support natif pour tous les backend

NIS/AD/LDAP/SQL …– pas toujours possible de tout interfacer avec des

mécanismes ou protocoles d’authentification genre Pam, CAS, Kerberos, Sasl, …

– le format des mots de passe peut aussi poser problème

Page 5: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Principes retenus

• Référencer tous les acteurs de l’établissement (Étudiants, Personnels, Partenaires)

• Offrir aux services numériques les moyens de reconnaître et identifier les individus

• Seuls les usagers recensés dans l’annuaire peuvent être authentifiés par les services numériques

• Assurer l'unicité de l’identifiant d'une personne et d’un seul mot de passe personnel

• Permettre à l’utilisateur de changer librement son MDP

Page 6: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Gérer les services

• Gestion des autorisations• Gestion du cycle de vie d’une application :

création,destruction,activation,désactivation• Gestion des paramètres et préférences des

utilisateurs (répertoire d’accueil, préférences imp/horde, …)

• Offrir des mécanisme d’unification et de synchronisation des mots de passe et identifiants

Page 7: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Architecture logique

Page 8: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Composition de l’interface

• Une structure de données qui reflète l’architecture logique : choix d’un annuaire LDAP (bon choix ,effet de mode, facilité de mise en oeuvre ???)

• Chaque service est une vue représentée par une OU (sens LDAP) • Chaque OU ‘service’ est constituée d’un conteneur de gestion des

comptes• Chaque entrée dans le conteneur de comptes du service représente

un utilisateur et instancie des objets constitués :– D’attributs obligatoires pour la gestion du cycle de vie et

l’unification login/passwd– D’attributs optionnels (choisis et gérés par l’administrateur de

l’appli) pour les paramètres du service si exploitation native• L’authentification de chaque service peut s’appuyer nativement

(bind LDAP ) ou non sur le couple login/passwd de l’entrée

Page 9: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Conditions de fonctionnement

• Le MDP ‘en clair’ n’est jamais connu du gestionnaire de l’application

• Si utilisation non native (pas de bind LDAP direct ou indirect ) du couple login/passwd , le MDP est encodé ou crypté selon les besoins de l’application

• Le changement de MDP n’est plus autorisé depuis les outils locaux de l’application (yppasswd NIS, Ctrl-Alt-Sup W2K, passwd de Horde, …)

• Le changement de MDP toujours réalisé depuis une IHM Web

• La synchronisation est toujours réalisée à l’initiative d’agents de propagation de l’annuaire seuls à connaître le mdp en ‘clair’ (encodage réversible en fait)

Page 10: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Architecture Physique et structure de données : ‘le couteau suisse’

Page 11: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Application support LDAP non natif

Page 12: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Application support LDAP natif

Page 13: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Changement de MDP : quand ?

• A l’initiative de l’utilisateur :– Changement volontaire– Perte de mot de passe

• A la déclaration d’un nouvel utilisateur autorisé (moteur d’attribution)– Eviter de lui demander de changer de MDP !!!

Page 14: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

LES ECHANGES

Page 15: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Bilan V0 – mai 2004

• Positif :– unification réussie identifiant/mot de passe– support de n’importe quelle application– Utilisateurs familiarisés et plutôt satisfaits

• Négatif :– structure de données lourde– mécanismes de propagation parfois longs- de trop fortes charges lectures/écritures LDAP

concurrentes

Page 16: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Et demain la V2 ?

• Disposer d’un workflow complet de gestion des entrées dans l’annuaire PB et des services autorisés

• Prendre en compte la notion d’invite très temporaire (sans référencement PB obligatoire)

• Revoir la structure de données de l’interface de gestion des services

• Ne plus stocker ‘en clair’ (réversible) les mots de passe dans l’annuaire

• Distinguer applis Web (gestion des autorisations seulement , SSO CAS pour l’authentif) et non Web (propagation des identifiants et mdp ou support LDAP natif)

• Solutions commerciales : Microsoft Identity Integration Server , Sun Java Identity Manager , Novell Identity Manager

Page 17: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

La V2

Page 18: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

La V2 … suite

Page 19: Gestion des identités et services authentifiés

10-2005 Doris Chauvet Table ronde RAISIN - Unification des mots de passe

Les application recensées/à venir

• IntranetIntranet• messagerie étudiants et personnelsmessagerie étudiants et personnels• NIS AgenNIS Agen• Unix/W2K CREMIUnix/W2K CREMI• Unix/W2K LSIUnix/W2K LSI• NIS CRMTNIS CRMT• portail captif Wifi et amphisportail captif Wifi et amphis• portail webproxy du SCDportail webproxy du SCD• FTP iut Bx1FTP iut Bx1• UlysseUlysse• comptes/postes sous AD des personnels administratifs,comptes/postes sous AD des personnels administratifs,• comptes/postes sous AD d’un Dpt Iut Bx1comptes/postes sous AD d’un Dpt Iut Bx1