Le séminaire consacré à LinID.org, suite logicielle de gestion, fédération et contrôle des identités a eu lieu au siège de Linagora le 3 avril2014. Il a réuni prés de 15 clients et partenaires. La matinée a été animée par Clément Oudot, product owner et le retour d’expérience a été présenté par M Guillard de l'AFNIC.
Text of Matinée pour conmrendre consacrée à LinID.org, gestion, fédération et contrôle des identités
1. #mpclinid2014 Sminaire LinID.orgSminaire LinID.org Gestion,
fdration et contrle des identits 3 AVRIL 2014 WWW.LINAGORA.COM
2. 2#mpclinid2014 Sommaire Introduction (15') Prsentation des
composants de LinID.org (30') Intgration du serveur Active
Directory avec LinID.org (30') Pause (15') Mise en place de la
fdration des identits avec le protocole SAML (45') Retour
d'exprience par Olivier Guillard, AFNIC (30')
3. 3 Notre mission Avec sesAvec ses logicielslogiciels etet
servicesservices,, LINAGORA permet aux grandesLINAGORA permet aux
grandes organisations publiquesorganisations publiques etet
privesprives de dvelopper leurde dvelopper leur indpendance
technologiqueindpendance technologique
4. 4#mpclinid2014 Prsentation de LINAGORA Logiciels et services
pourLogiciels et services pour russirrussir vos grands projets
devos grands projets de transformationtransformation open
sourceopen source Principaux clientsPrincipaux clients Edition
LogicielleEdition Logicielle ServicesServices Assurance
LogicielleAssurance Logicielle Messagerie Collaborative Partage de
fichiers scuris Gestion et Fdration des Identits Plateforme
d'intgration SOA 150 salaris Bureaux en France, Belgique, tats Unis
et Canada
5. 5 Le 1er investisseur priv en R&D Open Sourceen France !
PARIS TOULOUSE LYON SOPHIA MONTPELLIER GRENOBLE 13 ingnieurs 16 1 1
2 6 +40ingnieurs R&D 1 1 +10nouveaux postes pourvoir pour le
dveloppement d'OpenPaaS HAMBOURG COPENHAGEN 2,5 Md'investissement
en R&D +50 ingnieurs R&D dans les 3 ans
6. 6#mpclinid2014 Modle conomique On se rmunre par : Conseil et
intgration Dveloppement de fonctionnalits spcifiques Support
technique 100% Free Free100% Free Free = aucunaucun cotcot de
licence = rellementrellement Open Source = paspas de modle
Freemium
7. 7 Signature lectronique uniquement pour .doc Signature
lectronique pour tout type de document L'alternative aux logiciels
propritaires existe
8. 8#mpclinid2014 Sommaire Introduction (15') Prsentation des
composants de LinID.org (30') Intgration du serveur Active
Directory avec LinID.org (30') Pause (15') Mise en place de la
fdration des identits avec le protocole SAML (45') Retour
d'exprience par Olivier Guillard, AFNIC (30')
9. #mpclinid2014 Prsentation desPrsentation des composants de
LinIDcomposants de LinID
10. 10#mpclinid2014 Des logiciels libres de gestion des
identits LinID est un ensemble de logiciels libres destins fournir
une solution complte de gestion des identits et des accs: LinID
Directory Server: annuaire rfrentiel d'identits LinID Directory
Manager: interface de publication et de gestion LinID Access &
Federation Manager: SSO, contrle d'accs et fdration des identits
LinID Provisioning Manager: synchronisation des identits entre les
rfrentiels du SI
11. 11#mpclinid2014 Des composants complmentaires et intgrs
Rfrentiel desRfrentiel des identitsidentits DirectoryDirectory
ServerServer SourcesSources d'identitsd'identits (SIRH, ...)(SIRH,
...) Identits duIdentits du systmesystme d'informationd'information
ProvisioningProvisioning ManagerManager Applications duApplications
du systmesystme d'informationd'information Applications
CloudApplications CloudApplications CloudApplications Cloud
ConsoleConsole d'administrationd'administration OpenLDAPOpenLDAP
ManagerManager Interface de gestionInterface de gestion
DirectoryDirectory ManagerManager SSO, contrle d'accs, fdrationSSO,
contrle d'accs, fdration d'identitsd'identits FederationFederation
& Access& Access ManagerManager
12. 12#mpclinid2014 Directory Server
13. 13#mpclinid2014 LinID Directory Server Annuaire de rfrence:
OpenLDAP Paquetages RPMs et Debian des dernires versions Utilitaire
de sauvegarde/restauration des donnes et de la configuration
Console d'administration: LinID OpenLDAP Manager Greffons de
supervision Nagios/Centreon/Cacti
14. 14#mpclinid2014 L'annuaire le plus performant du march
Tests de charge en lecture raliss en 2013: Source:
http://fr.slideshare.net/ldapcon/benchmarks-on-ldap-directories
15. 15#mpclinid2014 Respect des standards et richesse
fonctionnelle OpenLDAP est l'implmentation de rfrence des RFC IETF
sur le protocole LDAP Un systme de greffons permet l'activation de
nombreuses fonctionnalits: Intgrit rfrentielle Unicit globale
Groupes dynamiques Politique des mots de passe Pagination et VLV
Attributs collectifs Service dynamiques Gestion de l'attribut
memberOf
16. 16#mpclinid2014 OpenLDAP Manager
17. 17#mpclinid2014 LinID OpenLDAP Manager Console Web de
gestion de la configuration OpenLDAP (depuis la version 2.3)
Gestion des backends et des overlays Gestion du schma Dtection
dynamique des modules compils et de la version Possibilit
d'administrer plusieurs serveurs depuis une interface unique
18. 18#mpclinid2014 Gestion des connexions
19. 19#mpclinid2014 dition du schma
20. 20#mpclinid2014 Directory Manager
21. 21#mpclinid2014 LinID Directory Manager Framework J2EE haut
niveau pour cration d'interfaces de gestion d'annuaires LDAP
Fonctionnalits: Pages blanches, pages jaunes Formulaire de cration,
mise jour et suppression Dlgation Recherches multicritres
Navigation par arbre Gestion des photos Organigrammes Adaptabilit
dynamique au schma de donnes et aux contrles d'accs
22. 22#mpclinid2014 Formulaire de recherche
23. 23#mpclinid2014 Consultation d'une fiche
24. 24#mpclinid2014 Gestion de la photo
25. 25#mpclinid2014 Arbre de navigation
26. 26#mpclinid2014 Arbre de navigation
27. 27#mpclinid2014 Personnalisation graphique
28. 28#mpclinid2014 Access & Federation Manager
29. 29#mpclinid2014 LinID Access Manager Produit de WebSSO et
contrle d'accs (LemonLDAP::NG) Modules d'authentificationLDAP, SQL,
CAS, Kerberos, OpenID, SAML, SSL, OTP (Yubikey), etc. Intgration
directe SiteMinder, Apache htaccess, HTTP Basic, Tomcat Rejeu de
formulaires Historique de connexion
30. 30#mpclinid2014 Portail d'authentification
31. 31#mpclinid2014 Liste des applications
32. 32#mpclinid2014 Personnalisation graphique
33. 33#mpclinid2014 Console d'administration
34. 34#mpclinid2014 LinID Federation Manager Extension de LinID
Access Manager pour la fdration d'identit Support: Authentification
et fournisseur d'identit SAML2 / Shibboleth Authentification et
fournisseur d'identit OpenID Authentification et fournisseur
d'identit CAS Cas d'usage Partage d'applications pour plusieurs
organisations Accs des applications dans une organisation multi AD
hors fort Scurisation de l'accs des applications SaaS (Google Apps)
via une authentification locale (AD, certificats, token, ...)
Passerelle mutli-protocoles (CAS/SAML/LDAP/OpenID/...)
35. 35#mpclinid2014 IDP SP SLO mission des requtes et rponses
Mthode Authn Response Authn Request Attribute Request Request
Response HTTP GET OK OK OK OK HTTP POST OK OK OK OK Artifact GET OK
OK Artifact POST OK OK PAOS TODO TODO SOAP OK OK OK Rception des
requtes et rponses Mthode Authn Request Authn Response Attribute
Response Request Response HTTP GET OK OK OK OK OK HTTP POST OK OK
OK OK OK Artifact GET OK OK OK Artifact POST OK OK OK PAOS TODO
TODO TODO SOAP OK OK OK Matrice du support SAML2
36. 36#mpclinid2014 LinID Federation Manager et le Cloud
37. 37#mpclinid2014 Provisionning Manager
38. 38#mpclinid2014 LinID Provisioning Manager - PM Moteur
d'approvisionnement et de synchronisation Fonctionnement : unitaire
ou vnementiel Rfrentiels supports : SGBD : Oracle, MySQL,
PostgreSQL, Ingres, Sybase Annuaires LDAP : Sun/Oracle DS,
OpenLDAP, Active Directory, ... Fichiers : CSV, XML, LDIF, ...
Autres: Google Apps, OBM, NIS, Executable Libraires avances :
Active Directory Samba Extensibilit simple via Java Supervision
temps rel Nagios/Centreon via JMX
39. 39#mpclinid2014 Exemples d'implmentation Synchronisation
d'un annuaire d'entreprise vers des annuaires techniques Samba
Synchronisation bidirectionnelle entre Active Directory et
OpenLDAP, avec gestion des mots de passe Import des comptes dans un
annuaire depuis une base de donnes RH Approvisionnement d'identits
dans des bases de donnes d'applications
40. 40#mpclinid2014 Sommaire Introduction (15') Prsentation des
composants de LinID.org (30') Intgration du serveur Active
Directory avec LinID.org (30') Pause (15') Mise en place de la
fdration des identits avec le protocole SAML (45') Retour
d'exprience par Olivier Guillard, AFNIC (30')
41. #mpclinid2014 Intgration du serveurIntgration du serveur
Active Directory avecActive Directory avec LinID.orgLinID.org
42. 42#mpclinid2014 Le serveur Active Directory
43. 43#mpclinid2014 Active Directory Active Directory est le
serveur de gestion de parc de Microsoft Parmi ses services, Active
Directory propose un annuaire LDAP, toutefois quelques liberts ont
t prises vis--vis du standard LDAP : Chiffrement spcifique du mot
de passe, pas d'export possible Limites sur le nombre d'entres
retournes (page size) et le nombre de valeurs retournes par
attributs (val range) Schma non standard, en particulier la classe
d'objet user Priode de validit de l'ancien mot de passe mme aprs
son changement Utilisation de nombreux attributs binaires Format de
temps spcifique (nombre de blocs de 100 ns depuis le 1er janvier
1601)
44. 44#mpclinid2014 Synchronisation OpenLDAP AD
45. 45#mpclinid2014 Objectifs de la synchronisation Utiliser
LinID Directory Server (OpenLDAP) comme rfrentiel des identits
Conserver Active Directory comme composant d'infrastructure
Synchroniser utilisateurs et groupes entre les annuaires Le sens
d'implmentation de la synchronisation dpend du serveur grant les
crations/modifications/suppressions d'utilisateur La
synchronisation du mot de passe ncessite un traitement
particulier
46. 46#mpclinid2014 Dmonstration Synchronisation en temps rel
des utilisateurs de LinID Directory Server vers Active Directory
LinID Directory Server Active DirectoryLinID Provisionning
Manager
47. 47#mpclinid2014 Stratgies de synchronisation du mot de
passe 1re solution: pas de synchronisation, conservation du mot de
passe dans AD et utilisation de la dlgation SASL dans OpenLDAP 2me
solution: modification du mot de passe sur OpenLDAP, utilisation
d'un chiffrement rversible pour synchronisation vers AD 3me
solution: modification du mot de passe sur AD, utilisation d'une
DLL (passwdHK) pour transmettre le mot de passe OpenLDAP
48. 48#mpclinid2014 Fonctionnement de la dlgation SASL
49. 49#mpclinid2014 Utilisation d'un chiffrement rversible
LinID Provisionning Manager peut utiliser le chiffrement AES Un
connecteur peut tre crit pour chiffrer la vole un mot de passe en
clair: En SHA pour le mot de passe standard LDAP (userPassword) EN
AES rversible dans un attribut ddi Le connecteur AD peut ensuite
utiliser l'attribut ddi pour dchiffrer le mot de passe avant de
l'envoyer AD On simule une authentification sur AD pour chaque
entre afin de ne mettre jour le mot de passe que s'il a chang
50. 50#mpclinid2014 Utilisation d'une DLL L'utilisation d'une
DLL check password est un mcanisme standard propos par Active
Directory, initialement pour implmenter sa propre politique de
vrification de mot de passe Cette DLL intercepte le mot de passe en
clair lors du changement par l'utilisateur, et accepte ou non son
changement dans Active Directory Une implmentation libre de la DLL
existe: passwdHK On configure alors un script qui est appel par la
DLL et qui va faire la modification du mot de passe dans
OpenLDAP
51. 51#mpclinid2014 Authentification sur Active Directory
52. 52#mpclinid2014 Support AD dans LinID A&F Manager LinID
Access & Federation Manager sait s'interfacer avec
l'authentification Active Directory: Soit en utilisant
l'authentification LDAP (identifiant et mot de passe) Soit en
utilisant l'authentification Windows intgre (Kerberos) Soit les
deux, en testant d'abord Kerberos, puis LDAP Le changement du mot
de passe dans Active Directory peut galement se faire depuis le
portail LinID A&F Manager
53. 53#mpclinid2014 Utilisation de LDAP L'authentification se
fait de manire standard au protocole LDAP Le module AD vrifie en
plus le champ changement du mot de passe la prochaine connexion et
force l'utilisateur faire ce changement au niveau du portail Le
module AD traite ensuite l'opration de changement de mot de passe
en utilisant l'attribut spcifique unicodePwd
54. 54#mpclinid2014 Utilisation de Kerberos L'authentification
de l'utilisateur est ralise grce au ticket Kerberos obtenu
l'ouverture de session et stock dans le navigateur C'est un module
d'authentification Apache qui traite les changes Kerberos Le
portail LinID A&F Manager peut ensuite consolider les
informations de l'utilisateur en effectuant une recherche LDAP dans
Active Directory Une configuration spcifique permet de prsenter un
formulaire d'authentification standard dans le cas o
l'authentification Kerberos choue
55. 55#mpclinid2014 Sommaire Introduction (15') Prsentation des
composants de LinID.org (30') Intgration du serveur Active
Directory avec LinID.org (30') Pause (15') Mise en place de la
fdration des identits avec le protocole SAML (45') Retour
d'exprience par Olivier Guillard, AFNIC (30')
56. #mpclinid2014 Mise en place de laMise en place de la
fdration des identitsfdration des identits avec le protocole
SAMLavec le protocole SAML
57. 57#mpclinid2014 Fdration des identits
58. 58#mpclinid2014 Pourquoi la fdration des identits? Le SSO
est un moyen d'unifier l'authentification au sein d'une
organisation L'utilisateur ne choisit pas sur quelles applications
il souhaite avoir du SSO L'utilisateur a la mme identit sur chaque
application Vie prive? Anonymat? L'utilisateur doit pouvoir:
Possder des identits diffrentes sur des services diffrents (Clment
OUDOT chez Google, Mon Petit Chou sur Meetic) Choisir de relier une
identit une autre pour faire du SSO sur un service Briser le lien a
posteriori
59. 59#mpclinid2014 Cercle de confiance Service Provider
Identity Provider Service Provider Attributes Provider User
interaction Web service
60. 60#mpclinid2014 Fdration d'un compte Fournisseur d'identit
Fournisseur de service clement.oudot abcd1234 abcd1234
monpetitchou=abcd1234? clement.oudot monpetitchou
61. 61#mpclinid2014 Fdration et protocoles La fdration
d'identit permet de crer des cercles de confiance entre
fournisseurs de service et fournisseurs d'identits Les comptes des
diffrents fournisseurs de services peuvent tre fdrs avec le compte
du fournisseur d'identit (ce compte est appel principal) Chaque
fournisseur de service dialogue alors avec le fournisseur d'identit
pour s'assurer que l'utilisateur est bien reconnu sur le cercle de
confiance Les standards d'origine SAML1, Liberty Alliance et
Shibboleth convergent aujourd'hui vers SAML2 SAML gre galement la
dconnexion (Single Logout), l'change d'attributs,
l'autorisation...
64. 64#mpclinid2014 Cinmatique SAML 2.0 1. Premier accs
l'application IDP SAML SP SAML 2. Authentification sur le serveur
SAML choisi par l'utilisateur et autoris dans le cercle de
confiance 3. Rponse SAML IDP SAML IDP SAML
65. 65#mpclinid2014 Les composants du protocole SAML
67. 67#mpclinid2014 Dmonstration Utilisation de LinID A&F
Manager comme IDP et de simpleSAMLphp comme SP LinID Directory
Server SP LinID Access & Federation Manager IDP
68. 68#mpclinid2014 Sommaire Introduction (15') Prsentation des
composants de LinID.org (30') Intgration du serveur Active
Directory avec LinID.org (30') Pause (15') Mise en place de la
fdration des identits avec le protocole SAML (45') Retour
d'exprience par Olivier Guillard, AFNIC (30')