Présentation de Shibboleth - Services · Le fournisseur d’identités 2. Le fournisseur de services 3. Le service de découverte 4. Échanges au format SAML Référentiels SSO 1

Présentation de Shibboleth - journée fédération, 25 Janvier 2007 1

Com

itéR

éseau des Universités

Présentation deShibboleth

Journée d’information sur la fédération du CRU,

25 Janvier 2007


Com

itéR


Intérêt


Com

itéR


Beaucoup de ressources web, autant de mots de passe

Webmail

Intranet

Listes de diffusion

Ressources documentaires

Cours en ligne

Applications métiers

Extranet


Com

itéR


La démarche ENT a amélioré les choses…

Webmail

Intranet

Listes de diffusion


Cours en ligne


Extranet

SSO

ENT


Com

itéR


Comment authentifier des utilisateurs quand on ne les gère pas ?

• Le compte invité– Un seul mot de passe pour

tout le monde• L’identification du poste

– L’enfer des plages d’adresse IP

• L’enregistrement local– Un effort démesuré

• Le méta-annuaire– Un seul ne suffira pas


Cours en ligne

Extranet


Com

itéR


La fédération d’identités doit permettre de rendre ces accès simples et sûrs

Webmail Intranet

Listes de diffusion


Cours en ligne


Extranet

SSO

ENT


Com

itéR


Des cas d’utilisation

• Contrôle d’accès en fonction du profil de l’utilisateur– Exemple : étudiant en pharmacie

• Intranet pour un groupe de travail– Chercheur, étudiants, association, informaticiens

• Accès aux périodiques électroniques depuis un ENT– Science Direct, JSTOR, …


Com

itéR


Fonctionnement


Com

itéR


Le SSO de l'établissement est prolongé vers l'extérieur

Cours en ligne dans un autre établissement

Établissement de rattachement

de l’étudiant

1

3

2

4

1. Tentative d’accès à la ressource

2. Redirection vers le SSO de l’établissement de rattachement

3. Authentification sur le SSO

4. Redirection vers la ressource avec une preuve d’authentification

SSO


Com

itéR


Des attributs d’un utilisateur peuvent être propagés vers les ressources



de l’étudiant

1

3

2

4

5. Demande d’attribut sur l’utilisateur

6. Extraction des attributs

7. Propagation vers la ressource

5 7

6

Référentiels


Com

itéR


Les nouvelles briques pour la fédération d’identités



de l’étudiant1. Le fournisseur d’identités

2. Le fournisseur de services

3. Le service de découverte

4. Échanges au format SAML

Référentiels

SSO

IdP1

WAYF3SP2


Com

itéR


Le Service de découverteou Where Are You From (WAYF)

• La partie visible de l’iceberg– La seul brique de Shibboleth avec laquelle

l’usager interagit directement• Objectif

– Orienter l’utilisateur vers son fournisseur d’identités

• Localisation– Au plus près du fournisseur de services


Com

itéR


Fonctionement du WAYF

WAYF

IdP 1

IdP 2

IdP 3

SP


Com

itéR


L’établissement choisit les attributs qu’il propage, selon la ressource

Intranet d’un groupe de travail



Périodiques électroniques(prestataire privé)

NomPrénomEmail

EtapeDiscipline

Statut(étudiant,Personnel)


Com

itéR


Apports de la fédération d’identités

• Pour l’utilisateur– Il n’utilise que le mot de passe de son SSO– Adapté aux utilisateurs nomades

• Pour l’établissement de rattachement– Niveau de sécurité constant (SSO)– Meilleure maîtrise des données personnelles

• Pour les gestionnaires de ressources– Plus besoin de gérer des comptes utilisateurs– Accès à des données utilisateurs fiables


Com

itéR


Shibboleth


Com

itéR

éseau des Universités • Logiciel « open source »

• Issu du monde universitaire– USA, Internet 2

• Basé sur la norme SAML• Utilisé dans d’autres pays

– en production en Suisse, USA, Angleterre, Finlande, Australie, Suède

– en cours de déploiement en Belgique, Allemagne, Danemark, Slovénie, République Tchèque

http://shibboleth.internet2.edu


Com

itéR


Shibboleth est une solution peu intrusive

• Conçu pour s’intégrer dans des SI très variés– pas de pré requis sur le système

d’authentification– exploitation de sources de données variées

• Forme une colle entre des SI et des ressources très hétérogènes


Com

itéR


Des briques techniques multi plateformes• Fournisseur d’identités :

– servlet Java

• Fournisseurs de services : – module Apache ou IIS– Des RPMs disponibles


Com

itéR


Intégration au SI


Com

itéR


Le fournisseur d’identitésIntégration avec le SSO

• Choix du SSO : CAS ou autre système• Localisation : même serveur ou pas• Fonctionnement : partage la session avec le

SSO• Charge de travail

– Installation 1 seule fois– Temps installation < semaine (en moyenne)– Configuration pour chaque SP (attributs)


Com

itéR


Le fournisseur d’identitésBranchement avec les référentiels

• Connecteurs disponibles– JNDI (annuaire LDAP)– JDBC (bases SQL métiers)– Sources extensibles

• SupAnn = langage commun de la fédération du CRU

• Possibilités de « mapping »– Des noms d’attributs– De la valeur des attributs


Com

itéR


Le fournisseur de servicesIntégration

• Différents niveaux d’intégration1. Authentification uniquement (identifiant)2. Utilisation des attributs utilisateur (roles

applicatifs)3. Le WAYF peut être assuré par l’application

• Travail comparable à une « CASification »• De nombreuses applications déjà

compatibles


Com

itéR


Les applications déjà « shibbolisées »http://shibboleth.internet2.edu/seas.html

• Blackboard• Moodle• OLAT• Webassign• WebCT• Confluence Wiki• Media Wiki• Twiki• Fedora• Horde

• eAcademia• MyProxy• Napster• Microsoft

SharePoint• Sympa• Symplicity• uPortal• Zope Plone• …

• ArtSTOR• CSA• Digitalbrain PLC• EBSCO publish.• ExLibris SFX• ILIAS• JSTOR• NSDL• OCLC• Ovid Tech.• Thomson Gale


Com

itéR


Pour commencer, concrètement…

• Documentations en Français sur le site du CRU (http://federation.cru.fr)

• Une fédération de test

• Support – Liste : [email protected]– Contact : [email protected]– Actualité : http://www.cru.fr/echo


Com

itéR


Formation « mise en place de Shibboleth »

• Formation CiRen, organisée par Renater• 6 et 7 mars 2007, Montpellier• Public visé :

– Enseignement supérieur– Personnes chargées de la mise en place d’un

fournisseur d’identités Shibboleth• Nombre de places : 20 ou 40 places

http://www.renater.fr/spip/spip.php?article535


Com

itéR


en bref…

• Shibboleth, technologie pivot• Dans la continuité des ENT• Ouvre des perspectives de collaboration• Intérêt croissant des Universités• Pas seulement en France• Pas seulement pour la documentation

électronique

Documents

Présentation de Shibboleth - Services · Le fournisseur d’identités 2. Le fournisseur de services 3. Le service de découverte 4. Échanges au format SAML Référentiels SSO 1